Hvad er PKI?

Blog

Infrastruktur til offentlig nøgle (PKI) som et udtryk beskriver systemer og komponenter, der bruges til at sikre internetkommunikation og transaktioner. Denne artikel vil dække en opdeling på højt niveau af de forskellige PKI komponenter og hvordan de interagerer i PKI økosystem. Hvis du er en virksomhedsejer, der ønsker at styrke din cybersikkerhed, eller bare enhver, der er interesseret i Public Key Infrastructure, vil dette stykke give dig nogle praktiske og begrundede eksempler.  

 

Hvor er PKI Brugt?

Diskussioner af PKI vil hurtigt føre til dig SSL (Secure Sockets Layer)/TLS (Transportlagsikkerhed), som kræver en privat nøgle og en offentlig nøgle. Den private nøgle opbevares på webserveren. Den offentlige nøgle er integreret i SSL -certifikatet. Når du besøger et websted, og du ser den lås til venstre for adresselinjen, og webadressen siger "HTTPS," (i modsætning til HTTP), vil din browser automatisk downloade den offentlige nøgle sammen med certifikatet, som bekræfter, at webstedet faktisk er det, det præsenterer sig for at være. Hvis der var noget, der ikke passerede denne udveksling, giver browseren dig en fejladvarsel. Browseren gennemgår denne udveksling af certifikater og nøgler i løbet af et splitsekund. 

Den private nøgle opbevares på webserveren. Det må ikke opdages af andre end autoriseret personale på webstedet. Den offentlige nøgle distribueres til dig, mig, alle andre generelt.

Hvordan PKI arbejde i en browser?

Den private nøgle og den offentlige nøgle er et par. Lad os sige, at Bob har en privat nøgle, og Sally og Joe har den offentlige nøgle. Sally og Joe kan ikke kommunikere med hinanden, fordi de begge har den offentlige nøgle. Bob ved, at uanset hvilken besked han får, er fra nogen, der har den offentlige nøgle.

Hvordan ved Sally og Joe, at de kommunikerer med en, der kalder sig Bob? Det er her certifikater kommer ind for at spille. For at Sally og Joe ved, at de faktisk interagerer med Bob, bekræfter hans certifikat det. Certifikatet er underskrevet af en Certificate Authority som SSL.com, og det vil have tillid til den platform, de bruger, i dette tilfælde en browser.

Offentlig nøgle og privat nøgle er beregningsmæssigt intensive. For at få et behageligt krypteringsniveau med nutidens computingteknologi er størrelser på offentlige nøgler minimum 2048 bit. Du kan få dem op til 4096, hvilket er meget mere intensivt. Det er mere sikkert, men der er et punkt i faldende afkast. 2048 er, hvad de fleste mennesker bruger. Med hemmelig nøgle kan du derimod stille det op med 256 bit.

Hvad er SSL Handshake?

An SSL /TLS håndtryk er en forhandling mellem to parter på et netværk - såsom en browser og webserver - for at fastslå detaljerne i deres forbindelse. Det bestemmer hvilken version af SSL /TLS vil blive brugt i sessionen, hvilken krypteringspakke vil kryptere kommunikation, verificerer serveren (og undertiden også kunde), og fastslår, at der er en sikker forbindelse, før data overføres. Du kan læse flere detaljer i vores guide.

SSL /TLS Handshake: en oversigt - SSL.com

 

 

Hvordan PKI aktivere sikre e -mails?

Til en vis grad er SSL/TLS håndtryk gælder også for Sikker/multifunktionel internetpostudvidelse (S/MIME). Det er ikke helt som om, at du går til webstedet og får certifikatet. Med SSL -håndtrykket varer det en session, siger fem minutter, og så er trafikken væk. Når du gør det med S/MIME, det er det samme koncept, men dine e -mails kan vare år.

For at illustrere hvordan PKI hjælper med at gøre e -mail -udvekslinger sikre, lad os bruge de tidligere tegn igen. Sally sender Bob sin offentlige nøgle i en S/MIME certifikat, og hun får Bobs e -mail i en S/MIME certifikat også. Og da de begge har deres private nøgle, kan de lave krypteret e -mail med hinanden. An S/MIME certifikat giver dig mulighed for at lave e-mails fra flere parter, så længe du har alles S/MIME certifikater i en gruppe, kan du sende e-mail til alle, og de kan gøre det samme for dig. Typisk, hvis du bruger en almindelig e-mail-klient, og du prøver at sende krypteret e-mail til en gruppe mennesker, bør den advare dig, hvis du ikke har S/MIME for en bestemt person, i så fald vil du ikke være i stand til at kryptere e-mailen. 

Hvordan fungerer kryptering og godkendelse i S/MIME?

Lad os også skelne mellem kryptering og godkendelse. Hvis jeg beder om din S/MIME og du beder om mit S/MIME, kan vi sende krypteret e -mail. Men hvis jeg underskriver min e -mail med min S/MIME certifikat og sende det over til dig, jeg kan underskrive en e -mail, og det bliver krypteret, men du ved, det kom fra mig.  

Så hvis jeg får en S/MIME certifikat udstedt af SSL.com, og jeg underskriver min e -mail, og jeg sender den til dig, og du sender mig ikke din S/MIME certifikat, kan vi ikke sende og dekryptere krypteret e -mail. Men du vil stadig kunne se, at min e -mail var underskrevet med en S/MIME certifikat udstedt af SSL.com, og det skal sige afsenderens navn, oplysninger, der blev valideret.

Oplysninger, der ikke kan valideres, fremgår ikke af certifikatet. Hvis det er et offentligt betroet certifikat, hvilket betyder, at det er tillid fra populære platforme, skal det valideres i henhold til baseline-krav, som er minimumsstandarderne, der er sammensat af CA-browserformularen.  

Hvad er PKI certifikater?

Hvordan distribueres en offentlig nøgle derude, og hvordan knytter du en identitet til den? Det er gennem et certifikat. Og det er, hvad en Certificate Authority gør, den udsteder certifikater, som du kan vedhæfte til en offentlig nøgle og distribuere den.

Der er visse standarder, der skal følges for at udstede et certifikat. Certifikatmyndigheden skal forstå, at du har ret til dette certifikat og alle oplysninger, der er integreret i certifikatet. Og derfor, når vi udsteder dette certifikat, er det tillid til browserne. 

Hvad er en X.509 PKI certifikat?

 X.509 er som en stamcelle. Det er dybest set et format med bestemte felter. Inden du ved, hvilken slags certifikat det er, starter det som denne zygote. Inden man bliver et SSL -certifikat, er der visse regler for, hvilke oplysninger der kan udfyldes her. Samme ting med S/MIME, Kodesignering, Dokumentsignering, Klientgodkendelse og andre certifikater, der kan komme frem i fremtiden. Bortset fra SAN udgør følgende felter Subject Distinguished Name.

  • Fællesnavn (CN) – typisk er det det, der optræder som emne for certifikatet. For et SSL-certifikat refererer dette til domænenavnet. Det skal have globalt understøttede topdomæneudvidelser (dvs. .com; .net; .io). Der er bogstaveligt talt hundredvis, måske tusinder af dem nu, og vi skal være i stand til at rumme alt dette.
  • Organisation (O) - virksomhedens eller webstedets ejer
  • Organisationsenhed (OU) - dette ville være noget i stil med en afdeling: IT, økonomi, menneskelige ressourcer
  • Lokalitet (L) - dybest set en by
  • Stat (ST) - den regionale placering, også kendt som provins, afhængigt af landet
  • Land (C) – landekoden
  • Subject Alternative Name (SAN) - en udvidelse til X.509, der tjener til at identificere de værtsnavne, der er blevet sikret med et SSL -certifikat.
I henhold til resultaterne af afstemningen SC47V2 har Certificate Authority/Browser (CA/B) Forum stemt for at udfase feltet Organisational Unit (OU) for offentlig SSL/TLS certifikater, med deadline fastsat til 1. september 2022.

Hvad er komponenterne i PKI Økosystem?

  • Certificate Authority- er en virksomhed, der udsteder pålidelige certifikater, som er godkendt på forskellige platforme, oftest browsere: Google Chrome, Safari, Firefox, Opera, 360. I forbindelse med PKI, CA betyder det udstedende selskab eller den mekanisme, der udsteder certifikatet.
  • Registreringsmyndigheden – denne vil typisk foretage valideringen. Det vil udføre en masse forarbejde, og når alt det er afsluttet, sender det anmodningen til CA for udstedelse af certifikatet. RA kan også være et firma, en app eller en komponent.
  • Leverandør - dette er browseren
  • Abonnent – ​​webstedsejeren, der køber certifikatet (dvs. den virksomhed, der køber certifikatet til deres ansatte)
  • Støttende part - personen i sidste ende, der forbruger certifikatet 

Hvad er en privatperson PKI?

Kan du have en lukket PKI det er ikke offentligt betroet? Ja, såsom IoT-enheder i et lukket miljø. For eksempel kan du få Samsung, og kun Samsung -produkter kan tale med hinanden: Tv, telefoner, stereoanlæg. Privat PKIs, kan enheder fra eksterne tredjeparter forhindres i at kommunikere med det interne system. De kan være små, de kan være store. Der er PKIs, der har snesevis af enheder og PKIs, der har millioner af enheder.

Hvad er fremtiden for PKI?

Teknologien udvikler sig. Forekomster af private PKI er ikke mindre vigtige end nettet PKI, for selvom en virksomhed bruger privat PKI, er det stadig klogt at samarbejde med en CA som SSL.com, der årligt gennemgår revisioner og har fagfolk, der er dedikeret til at bevare integriteten af ​​de private nøgler ved at låse dem væk og holde dem offline.

Than mere det PKI økosystem har diskussioner om baseline -kravene, jo vanskeligere er det at erstatte denne teknologi. Du kan sætte certifikaterne og installere dem ved domæneregistreringen, men politikkerne kan ikke let overføres.

Selv med quantum computing i horisonten og fremtidige ændringer i teknologien, vil behovet for sikkert privatliv og autentificering ikke forsvinde. Hvis der kommer ny teknologi, vil industrien tilpasse sig. Vi er i tillidsbranchen, og det er ikke ved at forsvinde.

Twitter
Facebook
LinkedIn
Reddit
E-mail

SSL Support Team

Alle indlæg »

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.

Tag undersøgelse