Ιδιωτικό έναντι δημόσιου PKI: Δημιουργία ενός αποτελεσματικού σχεδίου

Υποδομή δημόσιου κλειδιού

Όταν αναφέρονται οι άνθρωποι δημόσιο or ιδιωτικός PKI [01], στην πραγματικότητα αναφέρονται δημόσια αξιόπιστη και ιδιωτικά αξιόπιστα υποδομές. Λάβετε υπόψη ότι τα δημόσια και ιδιωτικά κλειδιά δεν σχετίζονται με δημόσια και ιδιωτικά PKI.

Επιπλέον, και οι δύο περιπτώσεις αναφέρονται στο φιλοξενούμενο PKI or PKI- ως-υπηρεσία (PKIaaS) λύσεις. Εσωτερικό (ή τοπικά φιλοξενούμενο) PKI μπορεί να λειτουργήσει ως ιδιωτικό PKI, αλλά χρειάζεται σημαντική προσπάθεια και πόροι για την εφαρμογή των εργαλείων και των υπηρεσιών που θα λάβετε από έναν φιλοξενούμενο PKI or PKIπάροχος aaS.

Βασικά, α PKI έχει δύο λειτουργίες:

  1. για τη διαχείριση μιας συλλογής κοινού[02] και ιδιωτικά κλειδιά, και
  2. να συνδέσετε κάθε κλειδί με την ταυτότητα μιας μεμονωμένης οντότητας, όπως ένα άτομο ή έναν οργανισμό.

Η δέσμευση δημιουργείται μέσω της έκδοσης ηλεκτρονικών εγγράφων ταυτότητας, που ονομάζονται ψηφιακών πιστοποιητικών [03]. Τα πιστοποιητικά υπογράφονται κρυπτογραφικά με ιδιωτικό κλειδί, έτσι ώστε το λογισμικό πελάτη (όπως προγράμματα περιήγησης) να μπορεί να χρησιμοποιεί το αντίστοιχο δημόσιο κλειδί για να επαληθεύει το πιστοποιητικό αυθεντικότητα (δηλαδή υπογράφηκε από το σωστό ιδιωτικό κλειδί) και ακεραιότητα (δηλαδή δεν τροποποιήθηκε με κανέναν τρόπο).

Δημοσίως αξιόπιστος και ιδιωτικός PKI

Ενώ και οι δύο PKI Οι διαμορφώσεις παρέχουν την ίδια λειτουργία, η διάκρισή τους είναι αρκετά απλή.

Δημόσιο PKIs εμπιστεύονται αυτόματα το λογισμικό πελάτη, ενώ είναι ιδιωτικό PKIΠρέπει να εμπιστεύονται χειροκίνητα ο χρήστης (ή, σε εταιρικά και IoT περιβάλλοντα, να αναπτύσσονται σε όλες τις συσκευές από τον διαχειριστή τομέα) πριν από τυχόν πιστοποιητικά που εκδίδονται από αυτό PKI μπορεί να επικυρωθεί.

Ένας οργανισμός που διατηρεί αξιόπιστο στο κοινό PKI ονομάζεται a Αρχή έκδοσης πιστοποιητικών (CA). Για να γίνετε αξιόπιστοι στο κοινό, μια ΑΠ πρέπει να ελέγχεται βάσει προτύπων όπως οι βασικές απαιτήσεις του φόρουμ CA / B [04] και να γίνετε δεκτοί σε δημόσια καταστήματα εμπιστοσύνης όπως το Πρόγραμμα Microsoft Trusted Root Store.

Αν και ιδιωτικό PKI Οι υλοποιήσεις μπορούν να είναι εξίσου ασφαλείς με τους δημόσιους ομολόγους τους, δεν είναι αξιόπιστες από προεπιλογή, επειδή δεν είναι αποδεδειγμένα συμβατές με αυτές τις απαιτήσεις και γίνονται δεκτές σε προγράμματα εμπιστοσύνης.

Γιατί να επιλέξετε μια αξιόπιστη δημόσια PKI?

Η δημόσια εμπιστοσύνη σημαίνει ότι εμπιστεύεστε δημόσια πιστοποιητικά ρίζας (συσχετίζοντας την ταυτότητα μιας ΑΠ με ​​τα επίσημα δημόσια κλειδιά τους) έχουν ήδη διανεμηθεί στους περισσότερους πελάτες. Τα προγράμματα περιήγησης, τα λειτουργικά συστήματα και άλλο λογισμικό πελάτη αποστέλλονται με μια ενσωματωμένη λίστα τέτοιων αξιόπιστων δημόσιων κλειδιών που χρησιμοποιούνται για την επικύρωση των πιστοποιητικών που αντιμετωπίζουν. (Οι υπεύθυνοι προμηθευτές μπορούν επίσης να ανανεώσουν αυτές τις λίστες κατά την ενημέρωση του λογισμικού τους.) Αντίθετα, ιδιωτικά αξιόπιστα πιστοποιητικά ρίζας (απαιτούνται για ένα ιδιωτικό PKI) πρέπει να εγκατασταθεί χειροκίνητα σε έναν πελάτη πριν από πιστοποιητικά από τέτοιου είδους ιδιωτικό PKIs μπορεί να επικυρωθεί.

Κατά συνέπεια, εάν προσπαθείτε να προστατέψετε μια δημόσια προσβάσιμη τοποθεσία Web ή άλλο διαδικτυακό πόρο, ένα πιστοποιητικό που εκδίδεται από δημόσια αξιόπιστο PKI (δηλαδή, μια ΑΠ) είναι ο τρόπος να πάει, αφού απαιτείται από κάθε επισκέπτη να εγκαταστήσει χειροκίνητα ένα ιδιωτικό PKIΤο ριζικό πιστοποιητικό στο πρόγραμμα περιήγησής τους δεν είναι πρακτικό (και οι συνεπείς προειδοποιήσεις ασφαλείας που ενδέχεται να προκύψουν θα επηρεάσουν αρνητικά τη φήμη του ιστότοπού σας).

Γιατί να επιλέξετε έναν εμπιστευτικό απόρρητο PKI?

Δημόσιο PKIΠρέπει να ακολουθεί αυστηρά τους κανονισμούς και να υποβάλλει τακτικούς ελέγχους, ενώ είναι ιδιωτικά αξιόπιστος PKI μπορεί να παραλείψει τις απαιτήσεις ελέγχου και να αποκλίνει από τα πρότυπα με οποιονδήποτε τρόπο θεωρεί ο χειριστής του κατάλληλη. Αν και αυτό μπορεί να σημαίνει ότι δεν ακολουθούν αυστηρά τις βέλτιστες πρακτικές, επιτρέπει επίσης στους πελάτες που χρησιμοποιούν ιδιωτικό PKI περισσότερη ελευθερία σχετικά με τις πολιτικές και τις λειτουργίες πιστοποιητικών τους.

Ένα παράδειγμα: οι βασικές απαιτήσεις απαγορεύουν στις δημόσιες αξιόπιστες αρχές να εκδίδουν πιστοποιητικά για εσωτερικούς τομείς (π.χ. example.local). Ένα ιδιωτικό PKI μπορεί, εάν είναι επιθυμητό, ​​να εκδίδει πιστοποιητικά για οποιονδήποτε τομέα, όπως απαιτείται, συμπεριλαμβανομένων αυτών των τοπικών τομέων.

Τα δημόσια αξιόπιστα πιστοποιητικά πρέπει επίσης να περιλαμβάνουν πάντα συγκεκριμένες πληροφορίες με τρόπο αυστηρά καθορισμένο από τους κανονισμούς ελέγχου τους και να μορφοποιούνται σε αντιστοίχιση προφίλ πιστοποιητικών με το αποδεκτό πρότυπο X.509 για δημόσια πιστοποιητικά. Ωστόσο, ορισμένοι πελάτες ενδέχεται να απαιτούν ένα προσαρμοσμένο προφίλ πιστοποιητικού, ειδικά προσαρμοσμένο στις αναμενόμενες χρήσεις και τις ανησυχίες ασφάλειας του οργανισμού τους. Ένα ιδιωτικό PKI μπορεί να εκδώσει πιστοποιητικά χρησιμοποιώντας ένα εξειδικευμένο προφίλ πιστοποιητικού.

Εκτός από το ίδιο το πιστοποιητικό, ιδιωτικό PKI επιτρέπει τον πλήρη έλεγχο των διαδικασιών επαλήθευσης ταυτότητας και διαπιστευτηρίων. Τα δικά τους συστήματα ελέγχου πρόσβασης ενός πελάτη (όπως κατάλογοι μεμονωμένης σύνδεσης ή LDAP) μπορούν να ενσωματωθούν στο ιδιωτικό PKI υπηρεσία για την εύκολη παροχή πιστοποιητικών σε μέρη που έχουν ήδη εμπιστευτεί ο χειριστής. Αντίθετα, μια δημόσια αξιόπιστη PKI πρέπει να πραγματοποιήσει αυστηρούς χειροκίνητους και αυτοματοποιημένους ελέγχους και επικύρωση σε κατάλληλες βάσεις δεδομένων πριν από την έκδοση οποιουδήποτε πιστοποιητικού.

Διαφάνεια πιστοποιητικού

Πρέπει επίσης να σημειώσουμε ότι ένα ιδιωτικό PKI δεν απαιτείται να συμμετάσχετε Διαφάνεια πιστοποιητικού [05].

Εφαρμόζονται πλέον προγράμματα περιήγησης όπως το Chrome [06] CT για όλα τα δημόσια αξιόπιστα πιστοποιητικά, το οποίο απαιτεί από τις ΑΠ να δημοσιεύουν όλα τα πιστοποιητικά που εκδίδονται σε μια δημόσια προσβάσιμη βάση δεδομένων. Ιδιωτικός PKI Οι χειριστές, ωστόσο, δεν είναι υποχρεωμένοι να εφαρμόσουν CT, και μπορεί ως εκ τούτου να παρέχουν καλύτερη προστασία της ιδιωτικής ζωής σε ευαίσθητες εφαρμογές ή όπου η δημόσια αποκάλυψη της εσωτερικής δομής του δικτύου θα θεωρείται επιβλαβής [07].

Συμπέρασμα

Επιλέγοντας ένα PKI η λύση έναντι του άλλου δεν είναι μια ασήμαντη απόφαση. Δημόσιο και ιδιωτικό PKI Προσφέρετε οφέλη και μειονεκτήματα και η δική σας επιλογή μπορεί να εξαρτάται από πολλούς παράγοντες, συμπεριλαμβανομένης της ανάγκης για πρόσβαση του κοινού, της ευκολίας χρήσης και των απαιτήσεων ασφάλειας και πολιτικής για τον έλεγχο της υποδομής σας.

Εδώ στο SSL.com, είμαστε στην ευχάριστη θέση να σας βοηθήσουμε να δημιουργήσετε ένα αποτελεσματικό PKI σχέδιο που ταιριάζει στις μοναδικές ανάγκες του οργανισμού σας.

αναφορές

  1. Υποδομή δημόσιου κλειδιού
  2. Κρυπτογραφία δημόσιου κλειδιού
  3. Ψηφιακά πιστοποιητικά
  4. Βασικές απαιτήσεις του φόρουμ CA / B
  5. Διαφάνεια πιστοποιητικού
  6. Το Chrome επιβάλλει CT
  7. Σκοτεινή πλευρά του CT

Νικ Ναζιρίδης

Διαχειριστής CA - Τεχνικός συντάκτης
Όλες οι Δημοσιεύσεις

Σχετικά άρθρα

Δείτε όλα τα άρθρα
Facebook Youtube Twitter Github

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com

Τι είναι το SSL /TLS?

Αναπαραγωγή βίντεο

Εγγραφείτε στο ενημερωτικό δελτίο του SSL.com

Μην χάσετε νέα άρθρα και ενημερώσεις από το SSL.com

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.

Κάνω έρευνα