Public Key Infrastructure
Når folk refererer til offentlige or private PKI [01], henviser de faktisk til offentligt betroet , privat tillid infrastrukturer. Husk, at offentlige og private nøgler ikke er relateret til offentlige og private PKI.
Hvad mere er, begge tilfælde henviser til hostet PKI or PKI-som-en-service (PKIaaS) -løsninger. Internt (eller lokalt hostet) PKI kan arbejde som privat PKI, men det kræver en betydelig mængde kræfter og ressourcer at implementere de værktøjer og tjenester, du vil få fra en vært PKI or PKIaaS udbyder.
Grundlæggende a PKI har to funktioner:
- at styre en samling af offentligheden[02] og private nøgler, og
- at binde hver nøgle med identiteten af en individuel enhed, f.eks. en person eller organisation.
Indbinding etableres ved udstedelse af elektroniske identitetsdokumenter, kaldet digitale certifikater [03]. Certifikater er kryptografisk underskrevet med en privat nøgle, så klientsoftware (såsom browsere) kan bruge den tilsvarende offentlige nøgle til at bekræfte et certifikats ægthed (dvs. den blev underskrevet af den rigtige private nøgle) og integritet (dvs. det blev ikke ændret på nogen måde).
Offentlig tillid og privat tillid PKI
Mens begge PKI konfigurationer giver den samme funktion, deres skelnen er ganske ligetil.
offentlige PKIs er automatisk tillid til af klientsoftware, mens de er private PKIs skal manuelt have tillid til af brugeren (eller i virksomheds- og IoT-miljøer, der er implementeret til alle enheder af domæneadministratoren), før certifikater udstedt af dette PKI kan valideres.
En organisation, der opretholder en offentligt betroet PKI kaldes a Certifikatmyndighed (CA). For at blive offentligt betroet skal en CA revideres mod standarder såsom CA / B-forumets baseline-krav [04] og accepteres i offentlige tillidsforretninger som Microsoft Trusted Root Store-programmet.
Selvom det er privat PKI implementeringer kan være lige så sikre som deres offentlige kolleger, de er som standard ikke tillid til, fordi de ikke beviselig overholder disse krav og accepteres i tillidsprogrammer.
Hvorfor vælge en offentligt betroet PKI?
At være offentligt betroet betyder det offentligt betroet rodcertifikater (tilknytning af en CA's identitet med deres officielle offentlige nøgler) distribueres allerede i de fleste klienter. Browsere, operativsystemer og anden klientsoftware leveres med en indbygget liste over sådanne betroede offentlige nøgler, der bruges til at validere certifikater, de støder på. (Ansvarlige leverandører kan også forventes at opdatere disse lister, når de opdaterer deres software.) I modsætning hertil er private betroede rodcertifikater (nødvendige for en privat PKI) skal installeres manuelt i en klient inden certifikater fra sådan privat PKIs kan valideres.
Som en konsekvens, hvis du forsøger at beskytte et offentligt tilgængeligt websted eller en anden online ressource, udstedes et certifikat fra en offentligt betroet PKI (dvs. en CA) er vejen at gå, da det kræver, at hver besøgende manuelt installerer en privat PKI's rodcertifikat i deres browser er ikke praktisk (og de konsekvente sikkerhedsadvarsler, der sandsynligvis vil resultere, vil påvirke dit websteds omdømme negativt).
Hvorfor vælge en privat betroet PKI?
offentlige PKIs skal nøje følge regler og gennemgå regelmæssige revisioner, mens de er privat tillid PKI må afstå fra revisionskrav og afvige fra standarder på enhver måde, som dens operatør finder passende. Selvom dette kan betyde, at de ikke følger den bedste praksis så strengt, giver det også kunder mulighed for at bruge en privat PKI mere frihed med hensyn til deres certifikatpolitikker og operationer.
Et eksempel: Baseline-kravene forbyder offentligt betroede CA'er at udstede certifikater til interne domæner (f.eks example.local). En privat PKI kan om ønsket udstede certifikater for ethvert domæne efter behov, inklusive sådanne lokale domæner.
Offentligt tillidte certifikater skal også altid indeholde specifikke oplysninger på en måde, der er strengt defineret i deres kontrollerende regler og formateret i en certifikatprofiltilknytning til den accepterede X.509-standard for offentlige certifikater. Dog kan nogle kunder kræve en brugerdefineret certifikatprofil, der er specifikt skræddersyet til deres organisations forventede anvendelse og sikkerhedsproblemer. En privat PKI kan udstede certifikater ved hjælp af en specialiseret certifikatprofil.
Bortset fra selve certifikatet, privat PKI muliggør også fuld kontrol af identitets- og legitimationsbekræftelsesprocedurerne. En kundes egne adgangskontrolsystemer (såsom enkeltlogins eller LDAP-telefonbøger) kan integreres med det private PKI service til let at levere certifikater til parter, der allerede har tillid til af operatøren. I modsætning hertil en offentligt betroet PKI skal udføre streng manuel og automatiseret kontrol og validering mod kvalificerede databaser, før der udstedes et certifikat.
Certifikatgennemsigtighed
Vi skal også bemærke, at en privat PKI er ikke forpligtet til at deltage i Certifikatgennemsigtighed [05].
Browsere som Chrome håndhæver nu [06] CT til alle offentligt tillidte certifikater, hvilket kræver, at CA'er offentliggør alle certifikater udstedt til en offentligt tilgængelig database. Privat PKI operatører er imidlertid ikke forpligtet til at implementere CT og kan som et resultat give bedre privatliv for følsomme applikationer, eller hvor offentlig videregivelse af interne netværksstrukturer vil blive betragtet som skadelig [07].
Konklusion
Valg af en PKI løsning over den anden er ikke en triviel beslutning. Både offentlige og private PKI tilbyde fordele og ulemper, og dit eget valg kan afhænge af mange faktorer, herunder behov for offentlig adgang, brugervenlighed og sikkerhed og politiske krav til kontrol med din infrastruktur.
Her på SSL.com, hjælper vi dig med at opbygge en effektiv PKI plan, der passer til din organisations unikke behov.
