Public Key Infrastructure, almindeligvis forkortet som PKI, er blevet en kernekomponent i sikring af online kommunikation og transaktioner. Men hvad udgør denne kritiske sikkerhedsramme?
I sin essens refererer en offentlig nøgleinfrastruktur til politikker, procedurer, teknologier og komponenter, der letter sikker elektronisk overførsel af information, transaktioner og kommunikation mellem enheder som individer, enheder og systemer. Det sigter mod at opnå dette gennem kryptografiske mekanismer for at sikre fortrolighed, integritet, autentificering og ikke-afvisning.
Den centrale præmis bygger på asymmetrisk kryptografi, især offentlig nøglekryptering, baseret på et matematisk forbundet kryptografisk nøglepar - en privat nøgle og en offentlig nøgle. Disse nøgler krypterer og dekrypterer data på en måde, så kun den anden tilsvarende nøgle kan få adgang til indholdet. Mere om dette senere. Lad os først undersøge de kernekomponenter, der udgør en komplet PKI system.
Hovedkomponenterne i en PKI Ecosystem
En funktionel PKI har en kombination af tekniske, organisatoriske og proceduremæssige elementer.
Certifikatmyndigheder (CA'er)
CA'er danner grundlaget for PKI. De udsteder, tilbagekalder og fornyer digitale identitetscertifikater. Et digitalt certifikat indeholder oplysninger om en enhed sammen med dens offentlige nøgle. I det væsentlige binder det digitale certifikat et kryptografisk nøglepar, der bruges til at kryptere kommunikation, til en valideret identitet, som nøgleparret tilhører. CA'erne, såsom SSL.com, verificerer detaljerne i vid udstrækning, før de underskriver disse certifikater digitalt til distribution.
Et certifikat og den CA, der udsteder det, har tillid til af brugere og systemer, der er afhængige af certifikaterne til sikker kommunikation. Dette introducerer tillid, da modtagerne anerkender, at en velrenommeret CA har valideret certifikatindehaveren.
Tillid til certifikatmyndigheder og certifikater
Begrebet "tillid" i forbindelse med certifikatmyndigheder drejer sig om forsikringen om, at et givet digitalt certifikat er legitimt, og at den enhed, der præsenterer certifikatet, er den, de hævder at være. Denne tillidsramme er afgørende for sikker kommunikation på internettet, især for aktiviteter som netbank, shopping og fortrolig kommunikation, hvor det er vigtigt at verificere ægtheden af et websted eller en tjeneste.
Offentlig tillid
Offentlig tillid involverer certifikater udstedt af CA'er, som er bredt anerkendt og automatisk betroet af større browservirksomheder, softwareudviklere og operativsystemer. Denne tillid er etableret, fordi CA følger strenge politikker og procedurer, før de udsteder et certifikat, og sikrer, at den enhed, der anmoder om certifikatet, er legitim og har ret til at bruge det pågældende domæne, anvende en digital signatur med et specifikt navn eller på anden måde repræsentere en identitet knyttet til en kryptografisk funktion.
Offentlig tillid stammer fra de retningslinjer og krav, der er fastsat af et standardorgan kaldet Certificate Authority Browser Forum eller CA / Browser Forum. CA/Browser Forum er et frivilligt konsortium af certificeringsmyndigheder, internetbrowserleverandører og andre interesserede parter, som udvikler retningslinjer, der styrer udstedelse og administration af disse offentligt betroede certifikater. Større browservirksomheder og operativsystemer bestemmer, hvilke CA'er, de har tillid til, og inkluderer disse i deres betroede rodcertifikatlagre. Hvis en CA ikke er i dette tillidslager, kan brugere modtage advarsler om, at certifikatet ikke er tillid til.
Privat Tillid
Privat tillid involverer certifikater udstedt inden for et lukket økosystem, såsom et virksomheds intranet eller et kontrolleret miljø, hvor de involverede enheder har et direkte forhold eller tillid til hinanden. I disse scenarier kan en organisation fungere som sin egen CA (Privat CA) og udstede certifikater til sine brugere, enheder eller tjenester. Disse certifikater anerkendes ikke nødvendigvis af omverdenen, men er fuldt ud gyldige i organisationens økosystem.
Afgrænsning mellem offentlig og privat tillid
Den primære afgrænsning mellem offentlig og privat tillid ligger i omfanget og anerkendelsen af de udstedte certifikater. Offentligt betroede CA'er har deres rodcertifikater inkluderet i de betroede butikker i større browsere og operativsystemer, hvilket gør det muligt automatisk at have tillid til deres udstedte certifikater af et bredt publikum uden yderligere konfiguration.
I modsætning hertil kræver certifikater udstedt af en privat CA manuel tillidskonfiguration i alle systemer uden for det private netværk, der ønsker at stole på disse certifikater. Disse er ikke automatisk betroet af det bredere internet og bruges hovedsageligt til interne formål, hvor organisationen har kontrol over de tillidsfulde parter.
Både offentlige og private tillidsmodeller spiller afgørende roller i internetsikkerhed og den interne sikkerhed i organisationer, der hver især tjener forskellige behov baseret på omfanget af tillid og anerkendelse, der kræves.
PKI Hierarki
CA'er kommer i to kategorier. Root CA'er udgør toppen af hierarkiet, mens mellemliggende CA'er distribuerer certifikater under dem.
Registreringsmyndigheder (RA'er)
RA'er verificerer identiteten og etablerer tilmeldingsprocessen, før de anmoder om signerede certifikater fra CA'er i overensstemmelse hermed. RA'er sikrer, at kun legitime enheder modtager certifikater pr PKI politiske retningslinjer. De omfattende identitetstjek før certifikatgenerering øger tilliden blandt interessenter.
Offentlige og private kryptografiske nøgler
Dette matematisk forbundne par muliggør den indre kryptografiske funktion PKI. Data krypteret med den offentlige nøgle forbliver utilgængelige uden den tilsvarende private nøgle til dekryptering. Dette bevarer fortrolige data under transmissioner. Digitale signaturer signeret med en privat nøgle kan verificeres med den tilsvarende offentlige nøgle til identitetsgodkendelse.
For at forstå de forskellige typer PKI implementeringer, og hvilke der kan være rigtige for din organisation, se vores guide vedr Privat vs offentligt PKI Infrastruktur.
Digitale certifikater
Det digitale certifikat indeholder identificerende detaljer som navn, organisation, placering og den tilhørende offentlige nøgle. Certifikatet bærer også den udstedende CAs digitale signatur for forsikringer omkring den bundne identitet. Certifikater overholder X.509 internationale standarder for at muliggøre interoperabilitet på tværs af systemer.
Liste over tilbagekaldelse af certifikater (CRL)
CRL'en indeholder en liste over certifikatserienumre, der er tilbagekaldt af respektive CA'er, hvilket indikerer kompromitterede identiteter. Enheder krydstjekker CRL'er for at sikre, at de kun kommunikerer med certifikater, der stadig er gyldige. Denne centraliserede referenceliste letter en effektiv distribution af tilbagekaldelser.
For mere information om, hvordan tilbagekaldelse af certifikat fungerer, og hvordan organisationer opretholder deres sikkerhed, se vores omfattende guide til Liste over tilbagekaldelse af certifikater (CRL).
Hvad er PKI Anvendes til?
PKI er ikke kun en teoretisk ramme - den muliggør flere almindelige teknologier:
- Sikker webaktivitet: HTTPS, SSL/TLS protokoller, der etablerer sikre forbindelser mellem browsere og servere PKI for den underliggende kryptering drevet af digitale certifikater og offentlig nøglekryptering.
- Email kryptering og signering: Udveksling af følsom information via e-mails udnytter PKI standarder gennem certifikattyper som f.eks S/MIME (Secure/Multipurpose Internet Mail Extensions) til at kryptere og signere e-mails.
- Kodesigneringscertifikater: Anvender en kryptografisk signatur på softwarekode, der forsegler den mod uautoriserede ændringer og identificerer udgiveren.
- Godkendelse og adgangskontrol: Certifikatbaserede godkendelsesmekanismer til virksomheds VPN-adgang og bygningsadgangssystemer giver langt mere robust sikkerhed over ID-adgangskodeprotokoller gennem PKI metoder.
- Blockchain-transaktioner: Alle transaktioner på blockchain-reskontro involverer digital valutaoverførsel ved at signere via asymmetriske kryptografinøgler aktiveret af PKI principper omkring matematisk kobling mellem nøgler.
Efterhånden som digitale tilslutningsmuligheder vokser globalt på tværs af brancher, PKI vil forblive et grundlæggende element, der muliggør privatliv, tillid og sikkerhed gennem eksisterende standarder omkring certifikater, identitetsstyring og kryptering.
Hvordan virker det? PKI Arbejde?
Nu hvor vi forstår nøglekomponenterne i PKI, kan vi diskutere, hvordan alle disse komponenter arbejder sammen.
- Generering af nøglepar: Hver enhed opretter et offentligt og et privat nøglepar.
- Certifikatudstedelse: En betroet certifikatmyndighed (CA) verificerer enhedens identitet og udsteder et digitalt certifikat, der indeholder den offentlige nøgle.
- Distribution: Offentlige nøgler og certifikater distribueres, mens private nøgler forbliver hemmelige og bør opbevares sikkert af certifikatindehaveren.
- Kryptering: Afsendere bruger modtagerens offentlige nøgle til at kryptere meddelelser.
- Dekryptering: Modtagere bruger deres private nøgle til at dekryptere beskeder.
- Digitale signaturer: Afsendere signerer beskeder med deres private nøgle, som kan verificeres af andre ved hjælp af afsenderens offentlige nøgle.
- Certifikatvalidering: Enheder verificerer certifikater ved hjælp af CA's offentlige nøgle, før de har tillid til dem.
Dette system muliggør sikker kommunikation, autentificering og ikke-afvisning i digitale miljøer.
Betydningen af PKI
Hos SSL.com har vi selv set den enorme værdi PKI leverer i sikring af følsom datatransmission. Som en førende offentligt betroet certifikatmyndighed er vi fortsat forpligtet til at gøre fremskridt PKI standarder gennem robust identitetsverifikation, hurtig certifikatudstedelse og proaktiv infrastrukturovervågning.
Med PKI elementer, der er dybt integreret i moderne cybersikkerhed og digital identitet, forestiller vi os dens centrale rolle i fremtiden for privatliv og integritet på tværs af den ekspanderende digitale økonomi.