Infrastruktur für öffentliche Schlüssel (PKI) als Begriff beschreibt Systeme und Komponenten, die zur Sicherung von Internetkommunikation und -transaktionen verwendet werden. Dieser Artikel behandelt eine grobe Aufschlüsselung der verschiedenen PKI Komponenten und wie sie in der PKI Ökosystem. Wenn Sie ein Firmeninhaber sind, der Ihre Cybersicherheit verbessern möchte, oder einfach jeder, der sich für Public Key Infrastructure interessiert, bietet Ihnen dieser Artikel einige praktische und fundierte Beispiele.
Wo ist PKI benutzt?
Diskussionen über PKI wird schnell zu dir führen SSL (Secure Sockets Layer)/TLS (Transportschichtsicherheit), die einen privaten Schlüssel und einen öffentlichen Schlüssel erfordern. Der private Schlüssel wird auf dem Webserver gespeichert. Der öffentliche Schlüssel ist in das SSL-Zertifikat eingebettet. Wenn Sie eine Website besuchen und dieses Schloss links neben der Adressleiste sehen und die URL lautet: „HTTPS“ (im Gegensatz zu HTTP), lädt Ihr Browser diesen öffentlichen Schlüssel automatisch zusammen mit dem Zertifikat herunter, das bestätigt, dass die Website tatsächlich der ist, als der sie sich präsentiert. Wenn etwas diesen Austausch nicht bestanden hat, gibt der Browser eine Fehlerwarnung aus. Der Browser durchläuft diesen Austausch von Zertifikaten und Schlüsseln in Sekundenbruchteilen.
Der private Schlüssel wird auf dem Webserver gespeichert. Dies darf von niemand anderem als autorisiertem Personal auf der Website entdeckt werden. Der öffentliche Schlüssel wird an Sie, mich und alle anderen verteilt.
Wie funktioniert PKI in einem Browser arbeiten?
Der private Schlüssel und der öffentliche Schlüssel sind ein Paar. Nehmen wir an, Bob hat einen privaten Schlüssel und Sally und Joe haben den öffentlichen Schlüssel. Sally und Joe können nicht miteinander kommunizieren, weil sie beide den öffentlichen Schlüssel haben. Bob weiß, dass jede Nachricht, die er bekommt, von jemandem stammt, der den öffentlichen Schlüssel hat.
Woher wissen Sally und Joe, dass sie mit jemandem kommunizieren, der sich Bob nennt? Hier kommen Zertifikate ins Spiel. Damit Sally und Joe wissen, dass sie tatsächlich mit Bob interagieren, wird dies sein Zertifikat bestätigen. Das Zertifikat wird von einer Zertifizierungsstelle wie SSL.com signiert und wird auf jeder Plattform, die sie verwenden, vertraut, in diesem Fall einem Browser.
Public Key und Private Key sind rechenintensiv. Um mit der heutigen Computertechnologie ein komfortables Verschlüsselungsniveau zu erreichen, beträgt die Größe der öffentlichen Schlüssel mindestens 2048 Bit. Sie können sie bis zu 4096 erreichen, was viel intensiver ist. Es ist sicherer, aber es gibt einen Punkt, an dem die Renditen sinken. 2048 ist das, was die meisten Leute verwenden. Mit geheimem Schlüssel hingegen kann man das mit 256 Bit aushalten.
Was ist der SSL-Handshake?
An SSL /TLS Handschlag ist eine Verhandlung zwischen zwei Parteien in einem Netzwerk - wie einem Browser und einem Webserver -, um die Details ihrer Verbindung herzustellen. Es bestimmt, welche Version von SSL /TLS wird in der Sitzung verwendet, welche Chiffresuite die Kommunikation verschlüsselt, den Server überprüft (und manchmal auch den Auftraggeber) und stellt sicher, dass eine sichere Verbindung besteht, bevor Daten übertragen werden. Du kannst lesen mehr Details in unserem Ratgeber.
Wie funktioniert PKI sichere E-Mails aktivieren?
Bis zu einem gewissen Grad ist die SSL/TLS Handschlag gilt auch für Sichere/Mehrzweck-Internet-Mail-Erweiterungen (S/MIME). Es ist nicht so, als würden Sie auf die Website gehen und das Zertifikat erhalten. Mit dem SSL-Handshake dauert es eine Sitzung, sagen wir fünf Minuten, und dann ist der Verkehr weg. Wenn du es mit machst S/MIME, es ist das gleiche Konzept, aber Ihre E-Mails können Jahre dauern.
Um zu veranschaulichen, wie PKI hilft, den E-Mail-Austausch sicher zu machen, verwenden wir die vorherigen Zeichen erneut. Sally schickt Bob ihren öffentlichen Schlüssel in einer S/MIME Zertifikat und sie bekommt Bobs E-Mail in einem S/MIME auch Zertifikat. Und da beide ihren privaten Schlüssel haben, können sie miteinander verschlüsselte E-Mails versenden. Ein S/MIME Zertifikat ermöglicht es Ihnen, E-Mails mit mehreren Teilnehmern zu senden, solange Sie die von allen haben S/MIME Zertifikate in einer Gruppe können Sie allen eine E-Mail senden und sie können dasselbe mit Ihnen tun. Wenn Sie einen gewöhnlichen E-Mail-Client verwenden und versuchen, verschlüsselte E-Mails an eine Gruppe von Personen zu senden, sollten Sie normalerweise gewarnt werden, wenn dies nicht der Fall ist S/MIME für eine bestimmte Person. In diesem Fall können Sie die E-Mail nicht verschlüsseln.
Wie funktioniert Verschlüsselung und Authentifizierung in S/MIME?
Lassen Sie uns auch zwischen Verschlüsselung und Authentifizierung unterscheiden. Wenn ich nach dir frage S/MIME und du fragst nach meinem S/MIME, können wir verschlüsselte E-Mails senden. Wenn ich meine E-Mail jedoch mit meinem S/MIME Zertifikat und senden Sie es an Sie, ich kann eine E-Mail signieren und sie wird verschlüsselt, aber Sie wissen, dass sie von mir stammt.
Also wenn ich eine bekomme S/MIME von SSL.com ausgestelltes Zertifikat und ich unterschreibe meine E-Mail und ich sende sie an Sie und Sie senden mir Ihre nicht S/MIME Zertifikat, können wir keine verschlüsselten E-Mails senden und entschlüsseln. Aber Sie können trotzdem sehen, dass meine E-Mail mit einem signiert wurde S/MIME von SSL.com ausgestelltes Zertifikat und sollte den Namen des Absenders enthalten, Informationen, die validiert wurden.
Informationen, die nicht validiert werden können, erscheinen nicht auf dem Zertifikat. Wenn es sich um ein öffentlich vertrauenswürdiges Zertifikat handelt, das heißt, dass es von gängigen Plattformen als vertrauenswürdig eingestuft wird, muss es gemäß den Basisanforderungen validiert werden, die die Mindeststandards sind, die vom CA-Browserformular zusammengestellt werden.
Was sind PKI Zertifikate?
Wie wird ein öffentlicher Schlüssel da draußen verteilt und wie verbindet man ihn mit einer Identität? Es ist durch ein Zertifikat. Und genau das macht eine Zertifizierungsstelle, sie stellt Zertifikate aus, die Sie an einen öffentlichen Schlüssel anhängen und verteilen können.
Für die Ausstellung eines Zertifikats müssen bestimmte Standards eingehalten werden. Die Zertifizierungsstelle muss verstehen, dass Sie ein Recht auf dieses Zertifikat und alle darin enthaltenen Informationen haben. Wenn wir dieses Zertifikat ausstellen, wird es daher von den Browsern als vertrauenswürdig eingestuft.
Was ist ein X.509 PKI Zertifikat?
X.509 ist wie eine Stammzelle. Es ist im Grunde ein Format mit bestimmten Feldern. Bevor Sie wissen, um welche Art von Zertifikat es sich handelt, beginnt es als diese Zygote. Bevor man ein SSL-Zertifikat wird, gibt es bestimmte Regeln, welche Informationen hier eingetragen werden können. Das gleiche mit S/MIME, Code Signing, Document Signing, Client Authentication und andere Zertifikate, die in Zukunft erscheinen können. Mit Ausnahme von SAN bilden die folgenden Felder den Distinguished Name des Subjekts.
- Common Name (CN) – Dies wird normalerweise als Betreff des Zertifikats angezeigt. Bei einem SSL-Zertifikat bezieht sich dies auf den Domainnamen. Es muss über weltweit unterstützte Top-Level-Domain-Endungen verfügen (zB .com; .net; .io). Es gibt mittlerweile buchstäblich Hunderte, vielleicht Tausende von ihnen, und wir müssen in der Lage sein, all das unterzubringen.
- Organisation (O) – das Unternehmen oder der Eigentümer der Website
- Organisationseinheit (OU) – das wäre so etwas wie eine Abteilung: IT, Finanzen, Personal
- Lokalität (L) – im Grunde eine Stadt
- State (ST) – der regionale Standort, je nach Land auch als Provinz bekannt
- Land (C) – der Ländercode
- Subject Alternative Name (SAN) – eine Erweiterung von X.509, die dazu dient, Hostnamen zu identifizieren, die durch ein SSL-Zertifikat gesichert wurden.
Was sind die Bestandteile des PKI Ökosystem?
- Die Zertifizierungsstelle – ist ein Unternehmen, das vertrauenswürdige Zertifikate ausstellt, die auf einer Vielzahl von Plattformen, am häufigsten Browsern, zugelassen sind: Google Chrome, Safari, Firefox, Opera, 360. Im Rahmen von PKI, CA bedeutet das ausstellende Unternehmen oder der Mechanismus, der das Zertifikat ausstellt.
- Die Registrierungsbehörde – diese übernimmt in der Regel die Validierung. Es wird eine Menge Vorbereitungsarbeit leisten und sobald alles abgeschlossen ist, wird die Anfrage zur Ausstellung des Zertifikats an die CA gesendet. Der RA kann auch ein Unternehmen, eine App oder eine Komponente sein.
- Anbieter – das ist der Browser
- Abonnent – der Websitebesitzer, der das Zertifikat kauft (dh das Unternehmen, das das Zertifikat für seine Mitarbeiter kauft)
- Relying Party – die Person am Ende, die das Zertifikat verbraucht
Was ist ein Privat? PKI?
Kannst du eine geschlossen haben PKI das ist nicht öffentlich vertrauenswürdig? Ja, z. B. IoT-Geräte in einer geschlossenen Umgebung. Zum Beispiel können Sie Samsung und nur Samsung-Produkte miteinander sprechen lassen: Fernseher, Telefone, Stereoanlagen. Im Vertrauen PKIs können Geräte von externen Dritten von der Kommunikation mit dem internen System ausgeschlossen werden. Sie können klein sein, sie können groß sein. Es gibt PKIs mit Dutzenden von Geräten und PKIs mit Millionen von Geräten.
Was ist die Zukunft von PKI?
Die Technologie entwickelt sich weiter. Instanzen von privat PKI sind nicht weniger wichtig als das Web PKI, denn auch wenn ein Unternehmen privat nutzt PKI, ist es immer noch ratsam, mit einer Zertifizierungsstelle wie SSL.com zusammenzuarbeiten, die sich jährlichen Audits unterzieht und über Fachleute verfügt, die sich dafür einsetzen, die Integrität der privaten Schlüssel zu bewahren, indem sie sie sperren und offline halten.
Ter mehr PKI Ökosystem Diskussionen über die grundlegenden Anforderungen führt, desto schwieriger ist es, diese Technologie zu ersetzen. Sie können die Zertifikate bei der Domainregistrierung platzieren und installieren, aber die Richtlinien können nicht einfach übertragen werden.
Selbst mit dem Quantencomputing am Horizont und zukünftigen Veränderungen in der Technologie wird der Bedarf an sicherer Privatsphäre und Authentifizierung nicht verschwinden. Wenn neue Technologien auftauchen, wird sich die Branche anpassen. Wir sind im Treuhandgeschäft und das wird nicht verschwinden.
