Infrastruktura veřejného klíče (PKI), jak termín popisuje systémy a komponenty používané při zabezpečení internetové komunikace a transakcí. Tento článek se bude zabývat podrobným rozpisem různých PKI komponenty a jak na sebe vzájemně působí PKI ekosystém. Pokud jste vlastníkem společnosti, která chce posílit vaši kybernetickou bezpečnost, nebo jen někdo, koho zajímá infrastruktura veřejného klíče, tento článek vám poskytne několik praktických a podložených příkladů.
Kde je PKI použitý?
Diskuze o PKI rychle povede k vám SSL (Secure Sockets Layer)/TLS (Zabezpečení transportní vrstvy), které vyžadují soukromý klíč a veřejný klíč. Soukromý klíč je uložen na webovém serveru. Veřejný klíč je vložen do certifikátu SSL. Když navštívíte webovou stránku a uvidíte ten zámek nalevo od adresního řádku a URL říká „HTTPS“ (na rozdíl od HTTP), váš prohlížeč automaticky stáhne tento veřejný klíč spolu s certifikátem, který potvrzuje, že web je skutečně tím, kým se prezentuje. Pokud něco prošlo touto výměnou, prohlížeč vás upozorní na chybu. Prohlížeč prochází touto výměnou certifikátů a klíčů během zlomku sekundy.
Soukromý klíč je uložen na webovém serveru. To nesmí zjistit nikdo jiný než autorizovaný personál na webových stránkách. Veřejný klíč je distribuován vám, mně a všem ostatním.
Jak se dělá PKI pracovat v prohlížeči?
Soukromý klíč a veřejný klíč tvoří pár. Řekněme, že Bob má soukromý klíč a Sally a Joe mají veřejný klíč. Sally a Joe spolu nemohou komunikovat, protože oba mají veřejný klíč. Bob ví, že jakákoli zpráva, kterou dostává, je od někoho, kdo má veřejný klíč.
Jak Sally a Joe vědí, že komunikují s někým, kdo si říká Bob? Tady se hrají certifikáty. Aby Sally a Joe věděli, že ve skutečnosti komunikují s Bobem, jeho certifikát to potvrdí. Certifikát je podepsán certifikační autoritou, jako je SSL.com, a bude důvěryhodný na jakékoli platformě, kterou používají, v tomto případě v prohlížeči.
Veřejný klíč a soukromý klíč jsou výpočetně náročné. Aby byla zajištěna pohodlná úroveň šifrování s dnešní výpočetní technologií, jsou velikosti veřejných klíčů minimálně 2048 bitů. Můžete je získat až 4096, což je mnohem intenzivnější. Je to bezpečnější, ale má to bod klesajících výnosů. 2048 používá většina lidí. S tajným klíčem to naopak můžete dát s 256 bity.
Co je to SSL Handshake?
An SSL /TLS stisk ruky je jednání mezi dvěma stranami v síti - jako je prohlížeč a webový server - za účelem zjištění podrobností jejich připojení. Určuje, jakou verzi SSL /TLS bude použito v relaci, která šifrovací sada zašifruje komunikaci, ověří server (a někdy i zákazník) a před přenosem dat zjistí, že je zajištěno zabezpečené připojení. Umíš číst více podrobností v našem průvodci.
Jak se dělá PKI povolit zabezpečené e -maily?
Do určité míry SSL/TLS podání ruky platí také pro Zabezpečená/víceúčelová internetová rozšíření pošty (S/MIME). Není to úplně tak, jako byste šli na web a získali certifikát. S podáním ruky SSL trvá relace, řekněme pět minut, a pak je provoz pryč. Když to uděláte s S/MIME„Je to stejný koncept, ale vaše e -maily mohou trvat roky.
Pro ilustraci jak PKI pomáhá zajistit bezpečnou výměnu e -mailů, použijme znovu předchozí znaky. Sally pošle Bobovi svůj veřejný klíč S/MIME certifikát a ona dostane Bobův e -mail v souboru S/MIME certifikát také. A protože oba mají svůj soukromý klíč, mohou mezi sebou provádět šifrované e -maily. An S/MIME certifikát vám umožňuje provádět e-maily s více účastníky, pokud máte všechny S/MIME certifikáty ve skupině, můžete všem poslat e -mail a oni vám mohou udělat totéž. Pokud používáte běžného e -mailového klienta a pokoušíte se zašifrovat e -maily skupině lidí, obvykle by vás mělo varovat, pokud nemáte S/MIME pro konkrétní osobu, v takovém případě nebudete moci e -mail šifrovat.
Jak figuruje šifrování a autentizace v S/MIME?
Pojďme také rozlišovat mezi šifrováním a ověřováním. Pokud vás požádám o vaše S/MIME a ty žádáš mé S/MIME, můžeme posílat šifrovaný e -mail. Pokud však svůj e -mail podepíšu pomocí svého S/MIME certifikát a odešlete vám ho, mohu podepsat e -mail a bude zašifrován, ale víte, že pochází ode mě.
Pokud tedy dostanu S/MIME certifikát vydaný SSL.com a já podepisuji svůj e -mail a já vám ho posílám a vy mi neposíláte svůj S/MIME certifikátu, nebudeme moci odesílat a dešifrovat šifrované e -maily. Ale i tak uvidíte, že můj e -mail byl podepsán znakem S/MIME certifikát vydaný SSL.com a měl by obsahovat jméno odesílatele, informace, které byly ověřeny.
Informace, které nelze ověřit, se na certifikátu neobjeví. Pokud se jedná o veřejně důvěryhodný certifikát, což znamená, že je důvěryhodný populárními platformami, musí být ověřen podle základních požadavků, což jsou minimální standardy sestavené formulářem prohlížeče CA.
Jaké jsou PKI certifikáty?
Jak se tam veřejný klíč distribuuje a jak k němu připojíte identitu? Jde to přes certifikát. A to certifikační autorita dělá, vydává certifikáty, které můžete připojit k veřejnému klíči a distribuovat ho.
K vydání certifikátu je třeba dodržovat určité standardy. Certifikační autorita musí pochopit, že máte právo na tento certifikát a veškeré informace, které jsou v něm obsaženy. A proto když vydáme tento certifikát, je důvěryhodný v prohlížečích.
Co je X.509 PKI osvědčení?
X.509 je jako kmenová buňka. Je to v podstatě formát s určitými poli. Než budete vědět, o jaký druh certifikátu jde, začíná jako tato zygota. Než se člověk stane certifikátem SSL, existují určitá pravidla o tom, jaké informace zde lze vyplnit. Totéž s S/MIME, Podepisování kódu, Podepisování dokumentů, Ověření klienta a další certifikáty, které mohou přijít v budoucnu. Kromě SAN tvoří následující pole rozlišující název subjektu.
- Běžný název (CN) - obvykle se toto zobrazuje jako předmět certifikátu. U certifikátu SSL se jedná o název domény. Musí mít globálně podporovaná rozšíření domén nejvyšší úrovně (tj. .Com; .net; .io). Jsou jich doslova stovky, možná tisíce a my tomu všemu musíme vyhovět.
- Organizace (O) - společnost nebo vlastník webových stránek
- Organizační jednotka (OU) - to by bylo něco jako oddělení: IT, finance, lidské zdroje
- Lokalita (L) - v podstatě město
- State (ST) - regionální poloha, v závislosti na zemi také známá jako provincie
- Země (C) - kód země
- Subject Alternative Name (SAN) - rozšíření X.509, které slouží k identifikaci těch názvů hostitelů, které byly zabezpečeny jedním SSL certifikátem.
Jaké jsou součásti souboru PKI Ekosystém?
- Certifikační autorita- je společnost, která vydává důvěryhodné certifikáty, které jsou schváleny na různých platformách, nejčastěji v prohlížečích: Google Chrome, Safari, Firefox, Opera, 360. V kontextu PKI, CA znamená vydávající společnost nebo mechanismus, který vydává certifikát.
- Registrační úřad - to obvykle provede ověření. Odvede spoustu přípravných prací a jakmile bude vše dokončeno, odešle žádost CA o vydání certifikátu. RA může být také společnost, aplikace nebo komponenta.
- Prodejce - toto je prohlížeč
- Předplatitel - majitel webu, který kupuje certifikát (tj. Společnost, která certifikát kupuje pro své zaměstnance)
- Relying Party - osoba na konci, která konzumuje certifikát
Co je to soukromý PKI?
Můžete mít zavřeno PKI to není veřejně důvěryhodné? Ano, například zařízení IoT v uzavřeném prostředí. Můžete například nechat komunikovat Samsung a pouze produkty Samsung: Televize, telefony, stereofonní zařízení. Soukromě PKIs, zařízením od třetích stran lze zakázat komunikaci s interním systémem. Mohou být malé, mohou být velké. Existují PKIs, které mají desítky zařízení a PKIs, které mají miliony zařízení.
Jaká je budoucnost PKI?
Technologie se vyvíjí. Případy soukromé PKI nejsou o nic méně důležité než web PKI, protože i když společnost používá soukromé PKI„Je stále moudré spolupracovat s certifikační autoritou, jako je SSL.com, která prochází každoročními audity a má profesionály, kteří se věnují zachování integrity soukromých klíčů tím, že je zamknou a ponechají je offline.
Ton více PKI ekosystém diskutuje o základních požadavcích, tím obtížnější je tuto technologii nahradit. Certifikáty můžete vložit a nainstalovat je při registraci domény, ale zásady nelze snadno přenést.
I když je na obzoru kvantová výpočetní technika a budoucí změny v technologii, potřeba bezpečného soukromí a autentizace nezmizí. Pokud přijde nová technologie, průmysl se přizpůsobí. Jsme v důvěryhodném oboru a to nezmizí.
