Инфраструктура с публичен ключ (PKI) като термин описва системи и компоненти, използвани за защита на интернет комуникации и транзакции. Тази статия ще обхваща разбивка на високо ниво на различните PKI компоненти и как те си взаимодействат в PKI екосистема. Ако сте собственик на компания, който иска да подобри вашата киберсигурност, или просто всеки, който се интересува от инфраструктурата с публичен ключ, това парче ще ви предостави някои практически и обосновани примери.
Къде е PKI използва?
Дискусии на PKI бързо ще доведе до вас SSL (слой за защитени гнезда)/TLS (Защита на транспортния слой), които изискват частен ключ и публичен ключ. Частният ключ се съхранява на уеб сървъра. Публичният ключ е вграден в SSL сертификата. Когато посещавате уебсайт и виждате това заключване вляво от адресната лента и URL адресът казва „HTTPS“ (за разлика от HTTP), Вашият браузър автоматично ще изтегли този публичен ключ заедно със сертификата, което потвърждава, че уебсайтът наистина е такъв, какъвто се представя. Ако нещо не е преминало тази размяна, браузърът ще ви предупреди за грешка. Браузърът преминава през този обмен на сертификати и ключове за част от секундата.
Частният ключ се съхранява на уеб сървъра. Това не трябва да се открива от никой друг, освен упълномощен персонал на уебсайта. Публичният ключ се разпространява до вас, мен, всички останали като цяло.
Как действа PKI работи в браузър?
Частният ключ и публичният ключ са двойка. Да кажем, че Боб има частен ключ, а Сали и Джо имат публичния ключ. Сали и Джо не могат да комуникират помежду си, защото и двамата имат публичния ключ. Боб знае, че каквото и да е съобщение, което получава от някой, който има публичния ключ.
Как Сали и Джо знаят, че общуват с някой, който се нарича Боб? Тук влизат сертификатите за игра. За да разберат Сали и Джо, че всъщност взаимодействат с Боб, неговият сертификат ще потвърди това. Сертификатът е подписан от сертифициращ орган като SSL.com и ще му се вярва във всяка платформа, която използват, в този случай в браузър.
Публичният ключ и частният ключ са изчислително интензивни. За да се постигне удобно ниво на криптиране с днешната изчислителна технология, размерите на публичния ключ са минимум 2048 бита. Можете да ги получите до 4096, което е много по -интензивно. Той е по -сигурен, но има точка на намаляване на възвръщаемостта. 2048 е това, което повечето хора използват. От друга страна, със секретен ключ можете да го поставите с 256 бита.
Какво е SSL ръкостискане?
An SSL /TLS ръкостискане е преговори между две страни в мрежа - като браузър и уеб сървър - за установяване на подробностите за тяхната връзка. Той определя коя версия на SSL /TLS ще се използва в сесията, който набор от шифри ще шифрова комуникацията, проверява сървъра (а понякога и клиент) и установява, че е налице защитена връзка преди прехвърляне на данни. Можеш да четеш повече подробности в нашето ръководство.
Как действа PKI разрешаване на защитени имейли?
До известна степен SSL/TLS ръкостискането се отнася и за Сигурни/многофункционални разширения за интернет поща (S/MIME). Не е като да отидете на уебсайта и да получите сертификата. Със SSL ръкостискането трае сесия, да речем пет минути, и след това трафикът изчезна. Когато го правите с S/MIME, това е същата концепция, но имейлите ви могат да продължат години.
За да илюстрирам как PKI помага за безопасна размяна на имейли, нека използваме предишните знаци отново. Сали изпраща на Боб нейния публичен ключ в S/MIME сертификат и тя ще получи имейла на Боб в S/MIME сертификат също. И тъй като и двамата имат свой личен ключ, те могат да правят криптирани имейли помежду си. Ан S/MIME сертификатът ви позволява да правите многостранни имейли, стига да имате всички S/MIME сертификати в група, можете да изпратите имейл на всички и те могат да направят същото с вас. Обикновено, ако използвате общ имейл клиент и се опитвате да направите криптиран имейл на група хора, той трябва да ви предупреди, ако нямате S/MIME за конкретно лице, в този случай няма да можете да шифровате имейла.
Как фигурират криптирането и удостоверяването S/MIME?
Нека също така да направим разлика между криптиране и удостоверяване. Ако поискам вашето S/MIME и ти искаш моята S/MIME, можем да изпращаме криптиран имейл. Ако обаче подпиша имейла си с моя S/MIME сертификат и да ви го изпратя, мога да подпиша имейл и той ще бъде шифрован, но знаете, че е дошъл от мен.
Така че ако получа S/MIME сертификат, издаден от SSL.com и аз подписвам имейла си и ви го изпращам, а вие не ми изпращате вашия S/MIME сертификат, няма да можем да изпращаме и дешифрираме криптиран имейл. Но все пак ще можете да видите, че имейлът ми е подписан с S/MIME сертификат, издаден от SSL.com и трябва да съдържа името на подателя, информацията, която е валидирана.
Информация, която не може да бъде валидирана, не се появява в сертификата. Ако това е публично доверен сертификат, което означава, че се ползва с доверие от популярни платформи, той трябва да бъде валидиран според базовите изисквания, които са минималните стандарти, събрани във формуляра за браузър CA.
Какви са PKI сертификати?
Как се разпространява публичен ключ и как да прикачите идентичност към него? Това е чрез сертификат. И това е, което прави орган за сертифициране, той издава сертификати, които можете да прикачите към публичен ключ и да го разпространявате.
За да се издаде сертификат, трябва да се спазват определени стандарти. Органът за сертифициране трябва да разбере, че имате право на този сертификат и на всяка информация, която е вградена в този сертификат. И следователно, когато издаваме този сертификат, той се ползва с доверие от браузърите.
Какво е X.509 PKI сертификат?
X.509 е като стволова клетка. По принцип това е формат с определени полета. Преди да разберете какъв сертификат е, той започва като тази зигота. Преди да стане SSL сертификат, има определени правила каква информация може да бъде попълнена тук. Същото нещо с S/MIME, Подписване на код, Подписване на документи, Удостоверяване на клиента и други сертификати, които може да се появят в бъдеще. С изключение на SAN, следните полета съставляват Субектното отличително име.
- Общо наименование (CN) - обикновено това се явява предмет на сертификата. За SSL сертификат това се отнася до името на домейна. Той трябва да има глобално поддържани разширения на домейн от първо ниво (т.е. .com; .net; .io). Има буквално стотици, може би хиляди от тях досега и ние трябва да можем да поберем всичко това.
- Организация (O) - собственикът на компанията или уебсайта
- Организационна единица (OU) - това би било нещо като отдел: IT, финанси, човешки ресурси
- Местност (L) - основно град
- Щат (ST) - регионалното местоположение, известно също като провинция, в зависимост от страната
- Държава (C) - кодът на държавата
- Алтернативно име на субект (SAN) - разширение към X.509, което служи за идентифициране на тези имена на хостове, които са защитени с един SSL сертификат.
Какви са компонентите на PKI Екосистема?
- Сертифициращият орган- е компания, която издава доверени сертификати, които са одобрени на различни платформи, най-често браузъри: Google Chrome, Safari, Firefox, Opera, 360. В контекста на PKI, CA означава издаващата компания или механизъм, който издава сертификата.
- Регистрационният орган - това обикновено прави валидирането. Той ще извърши куп подготвителни работи и след като всичко приключи, ще изпрати искането до CA за издаване на сертификата. RA може също да бъде компания, приложение или компонент.
- Доставчик - това е браузърът
- Абонат - собственикът на уебсайта, който купува сертификата (т.е. компанията, която купува сертификата за своите служители)
- Доверяваща се страна - лицето, което в края на краищата консумира сертификата
Какво е редник PKI?
Можете ли да имате затворен PKI това не се вярва публично? Да, като например IoT устройства в затворена среда. Например, можете да накарате Samsung и само продуктите на Samsung да разговарят помежду си: Телевизори, телефони, стерео уредби. Насаме PKIs, на устройства от трети страни може да бъде забранено да комуникират с вътрешната система. Те могат да бъдат малки, могат да бъдат големи. Има PKIs, които имат десетки устройства и PKIкоито имат милиони устройства.
Какво е бъдещето на PKI?
Технологията се развива. Лични случаи PKI са не по -малко важни от мрежата PKI, защото дори ако една компания използва частна PKI, все още е разумно да си партнираме с CA като SSL.com, който преминава ежегодни одити и има професионалисти, които са посветени на запазването на целостта на личните ключове, като ги заключват и поддържат офлайн.
Tтой повече PKI екосистемата води дискусии относно базовите изисквания, толкова по -трудно е да се замени тази технология. Можете да поставите сертификатите и да ги инсталирате при регистрацията на домейн, но правилата не могат да бъдат пренесени лесно.
Дори с квантовите изчисления на хоризонта и бъдещите промени в технологията, необходимостта от сигурна поверителност и удостоверяване няма да изчезне. Ако се появят нови технологии, индустрията ще се адаптира. Ние сме в доверителния бизнес и това няма да изчезне.
