Υποδομή δημόσιου κλειδιού (PKI) ως όρος περιγράφει συστήματα και στοιχεία που χρησιμοποιούνται για την εξασφάλιση επικοινωνιών και συναλλαγών μέσω Διαδικτύου. Αυτό το άρθρο θα καλύψει μια ανάλυση υψηλού επιπέδου των διαφόρων PKI συστατικών και πώς αλληλεπιδρούν στο PKI οικοσύστημα. Εάν είστε ιδιοκτήτης εταιρείας που θέλετε να ενισχύσετε την κυβερνοασφάλειά σας ή απλώς οποιοσδήποτε ενδιαφέρεται για την υποδομή δημόσιου κλειδιού, αυτό το κομμάτι θα σας δώσει μερικά πρακτικά και βασισμένα παραδείγματα.
Πού είναι PKI μεταχειρισμένος?
Συζητήσεις για PKI θα οδηγήσει γρήγορα σε εσάς SSL (Secure Sockets Layer)/TLS (Ασφάλεια επιπέδου μεταφοράς), τα οποία απαιτούν ιδιωτικό και δημόσιο κλειδί. Το ιδιωτικό κλειδί διατηρείται στον διακομιστή ιστού. Το δημόσιο κλειδί είναι ενσωματωμένο στο πιστοποιητικό SSL. Όταν επισκέπτεστε έναν ιστότοπο και βλέπετε αυτό το κλείδωμα στα αριστερά της γραμμής διευθύνσεων και το URL λέει "HTTPS", (σε αντίθεση με το HTTP), το πρόγραμμα περιήγησής σας θα κατεβάσει αυτόματα αυτό το δημόσιο κλειδί μαζί με το πιστοποιητικό, το οποίο επιβεβαιώνει ότι ο ιστότοπος είναι όντως αυτό που παρουσιάζεται. Εάν υπήρχε κάτι που δεν πέρασε αυτήν την ανταλλαγή, το πρόγραμμα περιήγησης θα σας δώσει μια προειδοποίηση σφάλματος. Το πρόγραμμα περιήγησης περνά από αυτήν την ανταλλαγή πιστοποιητικών και κλειδιών σε ένα κλάσμα του δευτερολέπτου.
Το ιδιωτικό κλειδί διατηρείται στον διακομιστή ιστού. Αυτό δεν πρέπει να ανακαλυφθεί από κανέναν άλλο εκτός από εξουσιοδοτημένο προσωπικό στον ιστότοπο. Το δημόσιο κλειδί διανέμεται σε εσάς, σε μένα, σε όλους τους άλλους.
Πώς λειτουργεί PKI δουλεύω σε πρόγραμμα περιήγησης;
Το ιδιωτικό κλειδί και το δημόσιο κλειδί είναι ζευγάρι. Ας πούμε ότι ο Bob έχει ιδιωτικό κλειδί και η Sally και ο Joe έχουν το δημόσιο κλειδί. Η Σάλι και ο Τζο δεν μπορούν να επικοινωνήσουν μεταξύ τους επειδή έχουν και οι δύο το δημόσιο κλειδί. Ο Μπομπ ξέρει ότι όποιο μήνυμα και αν παίρνει είναι από κάποιον που έχει το δημόσιο κλειδί.
Πώς γνωρίζουν η Σάλι και ο Τζο ότι επικοινωνούν με κάποιον που αυτοαποκαλείται Μπομπ; Εδώ μπαίνουν τα πιστοποιητικά για να παίξουν. Για να ξέρουν η Σάλι και ο Τζο ότι πραγματικά αλληλεπιδρούν με τον Μπομπ, το πιστοποιητικό του θα το επιβεβαιώσει. Το πιστοποιητικό είναι υπογεγραμμένο από μια Αρχή Πιστοποίησης όπως το SSLgl και θα είναι αξιόπιστο σε οποιαδήποτε πλατφόρμα χρησιμοποιούν, σε αυτήν την περίπτωση ένα πρόγραμμα περιήγησης.
Το δημόσιο κλειδί και το ιδιωτικό κλειδί είναι υπολογιστικά εντατικά. Για να αποκτήσετε ένα άνετο επίπεδο κρυπτογράφησης με τη σημερινή τεχνολογία υπολογιστών, τα μεγέθη δημοσίου κλειδιού είναι τουλάχιστον 2048 bit. Μπορείτε να τα πάρετε μέχρι 4096 που είναι πολύ πιο εντατικά. Είναι πιο ασφαλές, αλλά υπάρχει ένα σημείο μείωσης των αποδόσεων. Το 2048 είναι αυτό που χρησιμοποιούν οι περισσότεροι. Με το μυστικό κλειδί, από την άλλη πλευρά, μπορείτε να το τοποθετήσετε με 256 bit.
Τι είναι η χειραψία SSL;
An SSL /TLS χειραψία είναι μια διαπραγμάτευση μεταξύ δύο μερών σε ένα δίκτυο - όπως ένα πρόγραμμα περιήγησης και ένας διακομιστής ιστού - για τον καθορισμό των λεπτομερειών της σύνδεσής τους. Καθορίζει ποια έκδοση του SSL /TLS θα χρησιμοποιηθεί στη συνεδρία, η οποία cipher suite θα κρυπτογραφήσει την επικοινωνία, επαληθεύει τον διακομιστή (και μερικές φορές επίσης το πελάτης), και διαπιστώνει ότι υπάρχει ασφαλής σύνδεση πριν από τη μεταφορά δεδομένων. Μπορείς να διαβάσεις περισσότερες λεπτομέρειες στον οδηγό μας.
Πώς λειτουργεί PKI ενεργοποίηση ασφαλών μηνυμάτων ηλεκτρονικού ταχυδρομείου;
Σε κάποιο βαθμό, το SSL/TLS η χειραψία ισχύει και για Επεκτάσεις αλληλογραφίας ασφαλούς/πολλαπλών χρήσεων Διαδικτύου (S/MIME)Το Δεν είναι ακριβώς ότι πηγαίνετε στον ιστότοπο και παίρνετε το πιστοποιητικό. Με τη χειραψία SSL, διαρκεί μια συνεδρία, ας πούμε πέντε λεπτά, και μετά η κίνηση έχει φύγει. Όταν το κάνεις με S/MIME, είναι η ίδια ιδέα, αλλά τα email σας μπορεί να διαρκέσουν χρόνια.
Για να δείξω πώς PKI βοηθά στην ασφαλή ανταλλαγή email, ας χρησιμοποιήσουμε ξανά τους προηγούμενους χαρακτήρες. Η Σάλι στέλνει στον Μπομπ το δημόσιο κλειδί της σε ένα S/MIME πιστοποιητικό και θα λάβει το email του Bob σε ένα S/MIME πιστοποιητικό επίσης. Και δεδομένου ότι και οι δύο έχουν το ιδιωτικό τους κλειδί, μπορούν να κάνουν κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου μεταξύ τους. Ενα S/MIME το πιστοποιητικό σας επιτρέπει να κάνετε μηνύματα ηλεκτρονικού ταχυδρομείου πολλών μερών, αρκεί να έχετε όλα S/MIME πιστοποιητικά σε μια ομάδα, μπορείτε να στείλετε email σε όλους και μπορούν να κάνουν το ίδιο πράγμα σε εσάς. Συνήθως, εάν χρησιμοποιείτε ένα κοινό πρόγραμμα -πελάτη ηλεκτρονικού ταχυδρομείου και προσπαθείτε να κάνετε κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου σε μια ομάδα ατόμων, θα πρέπει να σας προειδοποιήσει εάν δεν έχετε S/MIME για ένα συγκεκριμένο άτομο, οπότε δεν θα μπορείτε να κρυπτογραφήσετε το μήνυμα ηλεκτρονικού ταχυδρομείου.
Πώς εμφανίζεται η κρυπτογράφηση και ο έλεγχος ταυτότητας S/MIME?
Ας κάνουμε επίσης διάκριση μεταξύ κρυπτογράφησης και ελέγχου ταυτότητας. Αν σας ζητήσω S/MIME και ζητάς το δικό μου S/MIME, μπορούμε να στείλουμε κρυπτογραφημένο email. Ωστόσο, εάν υπογράψω το email μου χρησιμοποιώντας το δικό μου S/MIME πιστοποιητικό και να σας το στείλω, μπορώ να υπογράψω ένα email και θα κρυπτογραφηθεί αλλά ξέρετε ότι προήλθε από εμένα.
Αν πάρω λοιπόν S/MIME πιστοποιητικό που εκδόθηκε από το SSLLL και υπογράφω το email μου και σας το στέλνω και δεν μου στέλνετε το δικό σας S/MIME πιστοποιητικό, δεν θα μπορούμε να στείλουμε και να αποκρυπτογραφήσουμε κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου. Αλλά θα μπορείτε ακόμα να δείτε ότι το email μου ήταν υπογεγραμμένο με ένα S/MIME πιστοποιητικό που εκδόθηκε από το SSLgl και θα πρέπει να αναφέρει το όνομα του αποστολέα, πληροφορίες που έχουν επικυρωθεί.
Πληροφορίες που δεν μπορούν να επικυρωθούν δεν εμφανίζονται στο πιστοποιητικό. Εάν πρόκειται για ένα δημόσιο αξιόπιστο πιστοποιητικό, το οποίο σημαίνει ότι είναι αξιόπιστο από δημοφιλείς πλατφόρμες, πρέπει να επικυρωθεί σύμφωνα με τις βασικές απαιτήσεις, οι οποίες είναι τα ελάχιστα πρότυπα που συντάσσονται από τη φόρμα του προγράμματος περιήγησης CA.
Τι είναι PKI πιστοποιητικά;
Πώς διανέμεται ένα δημόσιο κλειδί και πώς συνδέετε μια ταυτότητα σε αυτό; Είναι μέσω πιστοποιητικού. Και αυτό κάνει μια Αρχή Πιστοποίησης, εκδίδει πιστοποιητικά που μπορείτε να επισυνάψετε σε ένα δημόσιο κλειδί και να το διανείμετε.
Υπάρχουν ορισμένα πρότυπα που πρέπει να τηρούνται για να εκδοθεί ένα πιστοποιητικό. Η αρχή πιστοποίησης πρέπει να κατανοήσει ότι έχετε δικαίωμα σε αυτό το πιστοποιητικό και σε οποιαδήποτε πληροφορία είναι ενσωματωμένη σε αυτό το πιστοποιητικό. Επομένως, όταν εκδίδουμε αυτό το πιστοποιητικό, είναι αξιόπιστο από τα προγράμματα περιήγησης.
Τι είναι το X.509 PKI πιστοποιητικό?
X.509 είναι σαν βλαστοκύτταρο. Είναι βασικά μια μορφή με ορισμένα πεδία. Πριν καταλάβετε τι είδους πιστοποιητικό είναι, ξεκινά ως αυτό το ζυγωτό. Πριν γίνει κάποιος πιστοποιητικό SSL, υπάρχουν ορισμένοι κανόνες σχετικά με τις πληροφορίες που μπορούν να συμπληρωθούν εδώ. Το ίδιο πράγμα με S/MIME, Υπογραφή κώδικα, Υπογραφή εγγράφου, Έλεγχος ταυτότητας πελάτη και άλλα πιστοποιητικά που ενδέχεται να προκύψουν στο μέλλον. Εκτός από το SAN, τα ακόλουθα πεδία αποτελούν το Διακεκριμένο Όνομα Θέματος.
- Κοινή ονομασία (ΣΟ) - συνήθως, αυτό εμφανίζεται ως το θέμα του πιστοποιητικού. Για ένα πιστοποιητικό SSL, αυτό αναφέρεται στο όνομα τομέα. Πρέπει να έχει επεκτάσεις τομέα ανώτατου επιπέδου που υποστηρίζονται παγκοσμίως (π.χ. .com; .net; .io). Υπάρχουν κυριολεκτικά εκατοντάδες, ίσως χιλιάδες μέχρι τώρα, και πρέπει να είμαστε σε θέση να τα φιλοξενήσουμε όλα αυτά.
- Οργανισμός (O) - ο ιδιοκτήτης της εταιρείας ή της ιστοσελίδας
- Οργανωτική Μονάδα (OU) - αυτό θα ήταν κάτι σαν τμήμα: πληροφορικής, οικονομικών, ανθρώπινων πόρων
- Τοπικότητα (L) - βασικά μια πόλη
- Πολιτεία (ST) - η περιφερειακή τοποθεσία, γνωστή και ως επαρχία, ανάλογα με τη χώρα
- Χώρα (C) - ο κωδικός χώρας
- Θέμα Εναλλακτικό Όνομα (SAN) - μια επέκταση στο X.509 που χρησιμεύει για τον προσδιορισμό αυτών των ονομάτων κεντρικού υπολογιστή που έχουν εξασφαλιστεί με ένα πιστοποιητικό SSL.
Ποια είναι τα συστατικά του PKI Οικοσύστημα;
- Η Αρχή Πιστοποίησης- είναι μια εταιρεία που εκδίδει αξιόπιστα πιστοποιητικά τα οποία έχουν εγκριθεί σε διάφορες πλατφόρμες, συνηθέστερα προγράμματα περιήγησης: Google Chrome, Safari, Firefox, Opera, 360. Στο πλαίσιο PKI, CA σημαίνει την εταιρεία έκδοσης ή τον μηχανισμό που εκδίδει το πιστοποιητικό.
- Η Αρχή Εγγραφής - αυτό συνήθως κάνει την επικύρωση. Θα κάνει μια δέσμη των προετοιμαστικών εργασιών και μόλις ολοκληρωθούν όλα αυτά, θα στείλει το αίτημα στην CA για την έκδοση του πιστοποιητικού. Το RA θα μπορούσε επίσης να είναι μια εταιρεία, μια εφαρμογή ή ένα στοιχείο.
- Προμηθευτής - αυτό είναι το πρόγραμμα περιήγησης
- Συνδρομητής - ο ιδιοκτήτης του ιστότοπου που αγοράζει το πιστοποιητικό (δηλαδή η εταιρεία που αγοράζει το πιστοποιητικό για τους υπαλλήλους του)
- Relying Party - το άτομο, στο τέλος, που καταναλώνει το πιστοποιητικό
Τι είναι Ιδιωτικός PKI?
Μπορείτε να κλείσετε; PKI δεν εμπιστεύεται δημοσίως; Ναι, όπως συσκευές IoT σε κλειστό περιβάλλον. Για παράδειγμα, μπορείτε να έχετε τη Samsung και μόνο τα προϊόντα της Samsung να μπορούν να μιλούν μεταξύ τους: Τηλεοράσεις, τηλέφωνα, στερεοφωνικά. Σε ιδιωτικές PKIs, συσκευές από τρίτα μέρη δεν μπορούν να επικοινωνούν με το εσωτερικό σύστημα. Μπορούν να είναι μικρά, μπορεί να είναι μεγάλα. Υπάρχουν PKIs που διαθέτουν δεκάδες συσκευές και PKIπου έχουν εκατομμύρια συσκευές.
Ποιο είναι το Μέλλον PKI?
Η τεχνολογία εξελίσσεται. Περιπτώσεις ιδιωτικών PKI δεν είναι λιγότερο σημαντικές από τον ιστό PKI, γιατί ακόμα και αν μια εταιρεία χρησιμοποιεί ιδιωτικά PKI, εξακολουθεί να είναι συνετό να συνεργαστείτε με μια CA όπως το SSLLG που υποβάλλεται σε ετήσιους ελέγχους και έχει επαγγελματίες που είναι αφοσιωμένοι στη διατήρηση της ακεραιότητας των ιδιωτικών κλειδιών κλειδώνοντάς τα μακριά και διατηρώντας τα εκτός σύνδεσης.
Tαυτός περισσότερο το PKI Το οικοσύστημα έχει συζητήσεις σχετικά με τις βασικές απαιτήσεις, τόσο πιο δύσκολο είναι να αντικατασταθεί αυτή η τεχνολογία. Μπορείτε να τοποθετήσετε τα πιστοποιητικά και να τα εγκαταστήσετε κατά την εγγραφή τομέα, αλλά οι πολιτικές δεν μπορούν να μεταφερθούν εύκολα.
Ακόμη και με τον κβαντικό υπολογισμό στον ορίζοντα και τις μελλοντικές αλλαγές στην τεχνολογία, η ανάγκη για ασφαλή ιδιωτικότητα και έλεγχο ταυτότητας δεν θα εξαφανιστεί. Εάν έρθει νέα τεχνολογία, η βιομηχανία θα προσαρμοστεί. Είμαστε στην επιχείρηση εμπιστοσύνης και αυτό δεν πρόκειται να φύγει.
