Infrastruktura veřejných klíčů
Když se lidé odkazují na veřejnosti or soukromý PKI [01], na které vlastně odkazují veřejně důvěryhodné a soukromě důvěryhodné infrastruktury. Mějte na paměti, že veřejné a soukromé klíče nesouvisejí s veřejnými a soukromými PKI.
A co víc, oba případy odkazují na hostované PKI or PKI-as-a-služba (PKIaaS) řešení. Interní (nebo místně hostovaný) PKI může pracovat jako soukromý PKI, ale implementace nástrojů a služeb, které získáte od hostovaného, vyžaduje značné úsilí a prostředky PKI or PKIposkytovatel aaS.
V zásadě: PKI má dvě funkce:
- spravovat sbírku veřejnosti[02] a soukromé klíče a
- svázat každý klíč s identitou jednotlivé entity, jako je osoba nebo organizace.
Vazba je stanovena vydáváním dokumentů elektronické identity, tzv digitální certifikáty [03]. Certifikáty jsou kryptograficky podepsány soukromým klíčem, aby klientský software (například prohlížeče) mohl použít odpovídající veřejný klíč k ověření certifikátu pravost (tj. byl podepsán správným soukromým klíčem) a integrita (tj. nebyl nijak upraven).
Veřejně důvěryhodné a soukromě důvěryhodné PKI
Zatímco obojí PKI konfigurace poskytují stejnou funkci, jejich rozlišení je zcela jednoduché.
Soukromí PKIKlientský software je automaticky důvěryhodný, zatímco soukromý PKIuživatel musí být ručně důvěryhodný (nebo v podnikových a IoT prostředích nasazen správcem domény na všechna zařízení) před jakýmikoli certifikáty vydanými tímto uživatelem PKI lze ověřit.
Organizace, která udržuje veřejně důvěryhodné PKI se nazývá a Certifikační autorita (CA). Aby se stal veřejně důvěryhodným, musí být CA auditován podle standardů, jako jsou základní požadavky fóra CA / B [04] a být přijat do veřejných důvěryhodných obchodů, jako je program Microsoft Trusted Root Store Program.
I když soukromé PKI implementace mohou být stejně bezpečné jako jejich veřejné protějšky, ve výchozím nastavení nejsou důvěryhodné, protože nejsou prokazatelně v souladu s těmito požadavky a přijímány do programů důvěry.
Proč zvolit veřejně důvěryhodnou PKI?
Být veřejně důvěryhodný znamená to veřejně důvěryhodné root certifikáty (přidružení identity CA k jejich oficiálním veřejným klíčům) jsou již distribuovány ve většině klientů. Prohlížeče, operační systémy a další klientský software jsou dodávány se zabudovaným seznamem důvěryhodných veřejných klíčů, které se používají k ověření certifikátů, se kterými se setkávají. (Od odpovědných dodavatelů lze také očekávat, že tyto seznamy aktualizují při aktualizaci svého softwaru.) Naproti tomu soukromé důvěryhodné kořenové certifikáty (potřebné pro soukromé PKI) musí být ručně nainstalovány v klientovi před certifikáty od takového soukromého PKIs lze ověřit.
V důsledku toho, pokud se snažíte chránit veřejně přístupný web nebo jiný online zdroj, certifikát vydaný z důvěryhodného PKI (tj. CA) je způsob, jak jít, protože vyžaduje, aby každý návštěvník ručně nainstaloval soukromý PKIKořenový certifikát do jejich prohlížeče není praktický (a důsledná bezpečnostní upozornění, která pravděpodobně vzniknou, negativně ovlivní pověst vašeho webu).
Proč si vybrat soukromě důvěryhodného PKI?
Soukromí PKIMusí přísně dodržovat předpisy a pravidelně se podrobovat auditům, zatímco jsou důvěryhodné v soukromí PKI mohou se vzdát požadavků na audit a odchýlit se od norem jakýmkoli způsobem, který provozovatel považuje za vhodný. Ačkoli to může znamenat, že se neřídí osvědčenými postupy tak přísně, ale také to umožňuje zákazníkům používat soukromé PKI více svobody, pokud jde o jejich certifikační politiku a provoz.
Jeden příklad: Základní požadavky zakazují veřejně důvěryhodným CA, aby vydávaly certifikáty pro interní domény (např example.local). Soukromý PKI může v případě potřeby vydávat certifikáty pro jakoukoli doménu podle potřeby, včetně takových lokálních domén.
Veřejně důvěryhodné certifikáty musí také vždy obsahovat konkrétní informace způsobem striktně definovaným jejich řídícími předpisy a naformátované v profilu certifikátu mapování na přijatý standard X.509 pro veřejné certifikáty. Někteří zákazníci však mohou vyžadovat vlastní profil certifikátu, který je speciálně přizpůsoben očekávanému použití a bezpečnostním problémům jejich organizace. Soukromý PKI může vydávat certifikáty pomocí specializovaného profilu certifikátů.
Kromě samotného certifikátu, soukromý PKI umožňuje plnou kontrolu nad postupy ověřování totožnosti a pověření. Do soukromého lze integrovat vlastní systémy řízení přístupu zákazníka (například jednotné přihlášení nebo adresáře LDAP) PKI služba, která snadno poskytuje certifikáty stranám, kterým již operátor důvěřuje. Naproti tomu veřejně důvěryhodný PKI musí před vydáním jakéhokoli certifikátu provést přísné manuální a automatizované kontroly a ověření proti kvalifikovaným databázím.
Průhlednost certifikátu
Měli bychom také poznamenat, že soukromý PKI nemusí se účastnit Průhlednost certifikátu [05].
Prohlížeče jako Chrome nyní vynucují [06] CT pro všechny veřejně důvěryhodné certifikáty, což vyžaduje, aby CA zveřejnily všechny certifikáty vydané do veřejně přístupné databáze. Soukromé PKI operátoři však nejsou povinni implementovat CT, a v důsledku toho mohou poskytovat lepší soukromí citlivým aplikacím nebo tam, kde by zveřejnění vnitřní struktury sítě bylo považováno za škodlivé [07].
Proč investovat do čističky vzduchu?
Výběr jednoho PKI řešení nad ostatními není triviální rozhodnutí. Veřejné i soukromé PKI nabízí výhody a nevýhody a vaše vlastní volba může záviset na mnoha faktorech, včetně potřeby přístupu veřejnosti, snadného použití a požadavků na bezpečnost a politiku pro řízení vaší infrastruktury.
Zde na SSL.com, rádi vám pomůžeme vybudovat efektivní PKI plán, který vyhovuje jedinečným potřebám vaší organizace.
