ما هي تفاصيل PKI?

المدونة

البنية التحتية للمفتاح العام (PKI) كمصطلح يصف الأنظمة والمكونات المستخدمة في تأمين اتصالات ومعاملات الإنترنت. ستغطي هذه المقالة تفصيلًا عالي المستوى لمختلف PKI المكونات وكيفية تفاعلها في PKI النظام البيئي. إذا كنت مالك شركة تتطلع إلى تعزيز الأمن السيبراني الخاص بك أو مجرد أي شخص مهتم بالبنية التحتية للمفتاح العام ، فستزودك هذه القطعة ببعض الأمثلة العملية والمتعلقة بالأساس.  

 

أين هو PKI مستخدم؟

مناقشات PKI سيقودك بسرعة SSL (طبقة مآخذ التوصيل الآمنة) /TLS (أمان طبقة النقل)، والتي تتطلب مفتاح خاص ومفتاح عام. يتم الاحتفاظ بالمفتاح الخاص على خادم الويب. المفتاح العام مضمن في شهادة SSL. عندما تزور موقع ويب وترى هذا القفل على يسار شريط العناوين ، ويظهر عنوان URL "HTTPS" (على عكس HTTP)، سيقوم المستعرض الخاص بك تلقائيًا بتنزيل هذا المفتاح العام مع الشهادة ، مما يؤكد أن موقع الويب هو بالفعل من يقدم نفسه. إذا كان هناك أي شيء لم يجتاز هذا التبادل ، فسيعطيك المتصفح تحذيرًا بالخطأ. يمر المتصفح بهذا التبادل للشهادات والمفاتيح في غضون جزء من الثانية. 

يتم الاحتفاظ بالمفتاح الخاص على خادم الويب. لا يجب اكتشاف ذلك من قبل أي شخص آخر غير المصرح له على الموقع. يتم توزيع المفتاح العام عليك ، وأنا ، ولكل شخص آخر بشكل عام.

كيف PKI تعمل في متصفح؟

المفتاح الخاص والمفتاح العمومي زوجان. لنفترض أن بوب لديه مفتاح خاص وأن سالي وجو لديهما المفتاح العام. لا تستطيع سالي وجو التواصل مع بعضهما البعض لأن كلاهما يمتلك المفتاح العام. يعرف بوب أن أي رسالة يتلقاها هي من شخص لديه المفتاح العام.

كيف تعرف سالي وجو أنهما يتواصلان مع شخص يسمي نفسه بوب؟ هذا هو المكان الذي تأتي فيه الشهادات للعب. لكي يعرف جو وسالي أنهما يتفاعلان بالفعل مع بوب ، ستؤكد شهادته ذلك. تم توقيع الشهادة من قبل سلطة تصديق مثل SSL.com وسيتم الوثوق بها في أي نظام أساسي يستخدمونه ، في هذه الحالة المتصفح.

المفتاح العام والمفتاح الخاص مكثفان من الناحية الحسابية. من أجل الحصول على مستوى مريح من التشفير باستخدام تقنية الحوسبة الحالية ، لا تقل أحجام المفاتيح العامة عن 2048 بت. يمكنك الحصول عليها حتى 4096 وهو أكثر كثافة. إنه أكثر أمانًا ولكن هناك نقطة تناقص العوائد. 2048 هو ما يستخدمه معظم الناس. باستخدام المفتاح السري ، من ناحية أخرى ، يمكنك طرح ذلك باستخدام 256 بت.

ما هي مصافحة SSL؟

An SSL /TLS مصافحة عبارة عن مفاوضات بين طرفين على شبكة - مثل المتصفح وخادم الويب - لتحديد تفاصيل اتصالهما. يحدد أي إصدار من SSL /TLS سيتم استخدامه في الجلسة ، والتي ستقوم مجموعة التشفير بتشفير الاتصال والتحقق من الخادم (وأحيانًا أيضًا زبون) ، وتثبت وجود اتصال آمن قبل نقل البيانات. يمكنك أن تقرأ مزيد من التفاصيل في دليلنا.

SSL /TLS المصافحة: نظرة عامة - SSL.com

 

 

كيف PKI تمكين رسائل البريد الإلكتروني الآمنة؟

إلى حد ما ، فإن SSL /TLS المصافحة تنطبق أيضا على امتدادات بريد الإنترنت الآمن / متعدد الأغراض (S/MIME). ليس الأمر تمامًا كما لو كنت ذاهبًا إلى موقع الويب وتحصل على الشهادة. مع مصافحة SSL ، تستمر جلسة ، على سبيل المثال خمس دقائق ، ثم تختفي حركة المرور. عندما تفعل ذلك مع S/MIME، إنه نفس المفهوم ولكن رسائلك الإلكترونية قد تستمر لسنوات.

لتوضيح كيف PKI يساعد في جعل عمليات تبادل البريد الإلكتروني آمنة ، فلنستخدم الأحرف السابقة مرة أخرى. ترسل سالي إلى بوب مفتاحها العام في ملف S/MIME شهادة وستتلقى البريد الإلكتروني لبوب في ملف S/MIME شهادة كذلك. ونظرًا لأن كلاهما لديه مفتاحه الخاص ، فيمكنهما عمل بريد إلكتروني مشفر مع بعضهما البعض. ان S/MIME تسمح لك الشهادة بعمل رسائل بريد إلكتروني متعددة الأطراف طالما أن لديك رسائل بريد إلكتروني للجميع S/MIME شهادات في مجموعة ، يمكنك إرسال بريد إلكتروني للجميع ويمكنهم فعل نفس الشيء لك. عادةً ، إذا كنت تستخدم عميل بريد إلكتروني شائعًا ، وتحاول إرسال بريد إلكتروني مشفر إلى مجموعة من الأشخاص ، فيجب أن يحذرك إذا لم يكن لديك S/MIME لشخص معين ، وفي هذه الحالة ، لن تتمكن من تشفير البريد الإلكتروني. 

كيف يظهر التشفير والمصادقة في S/MIME?

لنقم أيضًا بالتمييز بين التشفير والمصادقة. إذا سألت عن الخاص بك S/MIME وأنت تسأل عن S/MIME، يمكننا إرسال بريد إلكتروني مشفر. ومع ذلك ، إذا وقعت على بريدي الإلكتروني باستخدام S/MIME شهادة وإرسالها إليك ، يمكنني التوقيع على بريد إلكتروني وسيتم تشفيره ولكنك تعلم أنه جاء مني.  

لذلك إذا حصلت على ملف S/MIME شهادة صادرة عن SSL.com وأنا أوقع بريدي الإلكتروني وأرسله إليك وأنت لا ترسل لي S/MIME شهادة ، لن نتمكن من إرسال وفك تشفير البريد الإلكتروني المشفر. ولكن ستظل قادرًا على رؤية أن بريدي الإلكتروني قد تم توقيعه بامتداد S/MIME شهادة صادرة عن SSL.com ويجب أن تذكر اسم المرسل والمعلومات التي تم التحقق من صحتها.

المعلومات التي لا يمكن التحقق من صحتها لا تظهر في الشهادة. إذا كانت شهادة موثوقة بشكل عام ، مما يعني أنها موثوقة من قبل الأنظمة الأساسية الشائعة ، فيجب التحقق من صحتها وفقًا لمتطلبات خط الأساس التي تمثل الحد الأدنى من المعايير التي تم وضعها معًا بواسطة نموذج مستعرض CA.  

ما هي PKI الشهادات؟

كيف يتم توزيع المفتاح العام هناك وكيف يمكنك إرفاق هوية به؟ من خلال شهادة. وهذا ما يفعله المرجع المصدق ، فهو يصدر الشهادات التي يمكنك إرفاقها بمفتاح عام وتوزيعها.

هناك معايير معينة يجب اتباعها من أجل إصدار الشهادة. يجب أن تفهم سلطة الشهادة أن لديك الحق في تلك الشهادة وأي معلومات مضمنة في تلك الشهادة. وبالتالي ، عندما نصدر تلك الشهادة ، فإن المتصفحات تثق بها. 

ما هو X.509 PKI شهادة؟

 X.509 يشبه الخلية الجذعية. إنه في الأساس تنسيق يحتوي على حقول معينة. قبل أن تعرف أي نوع من الشهادة ، تبدأ هذه الزيجوت. قبل أن يصبح المرء شهادة SSL ، هناك قواعد معينة حول المعلومات التي يمكن ملؤها هنا. نفس الشيء مع S/MIME، وتوقيع الرمز ، وتوقيع المستند ، ومصادقة العميل ، والشهادات الأخرى التي قد تظهر في المستقبل. باستثناء SAN ، تشكل الحقول التالية الاسم المميز للموضوع.

  • الاسم الشائع (CN) - عادة ، هذا ما يظهر كموضوع الشهادة. بالنسبة لشهادة SSL ، يشير هذا إلى اسم المجال. يجب أن يكون لديه امتدادات نطاق المستوى الأعلى المدعومة عالميًا (مثل .com ؛ .net ؛ .io). هناك المئات ، وربما الآلاف منهم الآن ، وعلينا أن نكون قادرين على استيعاب كل ذلك.
  • المنظمة (O) - الشركة أو صاحب الموقع
  • الوحدة التنظيمية (OU) - سيكون هذا بمثابة قسم: تكنولوجيا المعلومات ، المالية ، الموارد البشرية
  • المنطقة المحلية (L) - مدينة في الأساس
  • الولاية (ST) - الموقع الإقليمي ، المعروف أيضًا باسم المحافظة ، اعتمادًا على البلد
  • الدولة (C) - رمز الدولة
  • الاسم البديل للموضوع (SAN) - امتداد لـ X.509 يعمل على تحديد أسماء المضيف التي تم تأمينها بشهادة SSL واحدة.
وفقًا لنتائج الاقتراع SC47V2 ، صوت منتدى المرجع المصدق / المتصفح (CA / B) لإلغاء حقل الوحدة التنظيمية (OU) لـ SSL العام /TLS الشهادات ، مع الموعد النهائي المحدد في 1 سبتمبر 2022.

ما هي مكونات PKI النظام البيئي؟

  • المرجع المصدق- هي شركة تصدر شهادات موثوقة معتمدة على عدد مختلف من الأنظمة الأساسية ، وأكثرها شيوعًا المتصفحات: Google Chrome ، Safari ، Firefox ، Opera ، 360. في سياق PKICA تعني الشركة أو الآلية المصدرة للشهادة.
  • سلطة التسجيل - ستقوم عادةً بالتحقق من الصحة. ستقوم بمجموعة من الأعمال التحضيرية وبمجرد الانتهاء من كل ذلك ، سترسل الطلب إلى CA لإصدار الشهادة. يمكن أن يكون RA أيضًا شركة أو تطبيقًا أو مكونًا.
  • البائع - هذا هو المتصفح
  • مشترك - صاحب الموقع الذي يشتري الشهادة (أي الشركة التي تشتري الشهادة لموظفيها)
  • Relying Party - الشخص ، في النهاية ، الذي يستهلك الشهادة 

ما هو ملف خاص PKI?

هل يمكن أن يكون لديك ملف PKI هذا غير موثوق به علنًا؟ نعم ، مثل أجهزة إنترنت الأشياء في بيئة مغلقة. على سبيل المثال ، يمكنك الحصول على Samsung ومنتجات Samsung فقط يمكنها التحدث مع بعضها البعض: أجهزة التلفاز والهواتف وأجهزة الاستريو. بخصوصية PKIs ، يمكن منع الأجهزة من جهات خارجية من الاتصال بالنظام الداخلي. يمكن أن تكون صغيرة ، يمكن أن تكون كبيرة. يوجد PKIالتي تحتوي على العشرات من الأجهزة و PKIالتي تحتوي على ملايين الأجهزة.

ما هو مستقبل PKI?

التكنولوجيا تتطور. مثيلات خاصة PKI لا تقل أهمية عن الويب PKI، لأنه حتى لو كانت الشركة تستخدم ملفات خاصة PKI، لا يزال من الحكمة الدخول في شراكة مع CA مثل SSL.com التي تخضع لعمليات تدقيق سنوية ولديها متخصصون مكرسون للحفاظ على سلامة المفاتيح الخاصة عن طريق قفلها بعيدًا وإبقائها في وضع عدم الاتصال.

Tهو أكثر ال PKI النظام البيئي لديه مناقشات حول متطلبات خط الأساس ، كلما كان من الصعب استبدال هذه التكنولوجيا. يمكنك وضع الشهادات وتثبيتها في تسجيل المجال ولكن لا يمكن نقل السياسات بسهولة.

حتى مع وجود الحوسبة الكمومية في الأفق والتغييرات المستقبلية في التكنولوجيا ، فإن الحاجة إلى الخصوصية والمصادقة الآمنة لن تختفي. إذا ظهرت تكنولوجيا جديدة ، فإن الصناعة سوف تتكيف. نحن في مجال الثقة وهذا ليس على وشك أن يختفي.

تويتر
فيسبوك
لينكدين:
رديت
البريد إلكتروني:

فريق دعم SSL

كل المشاركات »

نحن نحب ملاحظاتك

شارك في استبياننا وأخبرنا بأفكارك حول عملية الشراء الأخيرة.

خذ المسح