Infrastructure à clé publique (PKI) en tant que terme décrit les systèmes et les composants utilisés pour sécuriser les communications et les transactions sur Internet. Cet article couvrira une ventilation de haut niveau des différents PKI composants et comment ils interagissent dans le PKI écosystème. Si vous êtes un propriétaire d'entreprise cherchant à renforcer votre cybersécurité ou si vous êtes simplement intéressé par l'infrastructure à clé publique, cet article vous fournira des exemples pratiques et fondés.
Où se trouve PKI utilisé?
Discussions sur PKI vous conduira rapidement SSL (Secure Sockets Layer)/TLS (Sécurité de la couche de transport), qui nécessitent une clé privée et une clé publique. La clé privée est conservée sur le serveur Web. La clé publique est intégrée dans le certificat SSL. Lorsque vous visitez un site Web et que vous voyez ce verrou à gauche de la barre d'adresse, et que l'URL indique "HTTPS" (par opposition à HTTP), votre navigateur téléchargera automatiquement cette clé publique avec le certificat, ce qui confirme que le site Web est bien celui qu'il se présente. S'il y avait quelque chose qui n'a pas réussi cet échange, le navigateur vous donnera un avertissement d'erreur. Le navigateur effectue cet échange de certificats et de clés en une fraction de seconde.
La clé privée est conservée sur le serveur Web. Cela ne doit être découvert par personne d'autre que le personnel autorisé sur le site Web. La clé publique vous est distribuée, moi, tout le monde en général.
Comment la PKI travailler dans un navigateur ?
La clé privée et la clé publique forment un couple. Disons que Bob a une clé privée et que Sally et Joe ont la clé publique. Sally et Joe ne peuvent pas communiquer entre eux car ils ont tous les deux la clé publique. Bob sait que quel que soit le message qu'il reçoit, il provient de quelqu'un qui possède la clé publique.
Comment Sally et Joe savent-ils qu'ils communiquent avec quelqu'un qui se fait appeler Bob ? C'est là que les certificats entrent en jeu. Pour que Sally et Joe sachent qu'ils interagissent réellement avec Bob, son certificat le confirmera. Le certificat est signé par une autorité de certification comme SSL.com et il sera approuvé quelle que soit la plate-forme utilisée, dans ce cas un navigateur.
La clé publique et la clé privée sont intensives en calcul. Afin d'obtenir un niveau de cryptage confortable avec la technologie informatique d'aujourd'hui, la taille des clés publiques est d'au moins 2048 bits. Vous pouvez les obtenir jusqu'à 4096, ce qui est beaucoup plus intensif. C'est plus sûr mais il y a un point de rendements décroissants. 2048 est ce que la plupart des gens utilisent. Avec la clé secrète, en revanche, vous pouvez la mettre en place avec 256 bits.
Qu'est-ce que la poignée de main SSL ?
An SSL /TLS poignée de main est une négociation entre deux parties sur un réseau - comme un navigateur et un serveur Web - pour établir les détails de leur connexion. Il détermine quelle version de SSL /TLS sera utilisé dans la session, quelle suite de chiffrement chiffrera la communication, vérifie le serveur (et parfois aussi le client) et établit qu'une connexion sécurisée est en place avant de transférer les données. Tu peux lire plus de détails dans notre guide.
Comment la PKI activer les e-mails sécurisés ?
Dans une certaine mesure, le SSL/TLS la poignée de main s'applique également à Extensions de messagerie Internet sécurisées/polyvalentes (S/MIME). Ce n'est pas tout à fait comme si vous alliez sur le site Web et que vous obteniez le certificat. Avec la poignée de main SSL, cela dure une session, disons cinq minutes, puis le trafic disparaît. Quand tu le fais avec S/MIME, c'est le même concept mais vos emails peuvent durer des années.
Pour illustrer comment PKI aide à sécuriser les échanges d'e-mails, réutilisons les caractères précédents. Sally envoie à Bob sa clé publique dans un S/MIME certificat et elle recevra l'e-mail de Bob dans un S/MIME certificat également. Et comme ils ont tous les deux leur clé privée, ils peuvent envoyer des e-mails cryptés entre eux. Un S/MIME le certificat vous permet d'envoyer des e-mails à plusieurs, tant que vous avez celui de tout le monde S/MIME certificats dans un groupe, vous pouvez envoyer un e-mail à tout le monde et ils peuvent vous faire la même chose. En règle générale, si vous utilisez un client de messagerie courant et que vous essayez d'envoyer des e-mails cryptés à un groupe de personnes, il devrait vous avertir si vous n'avez pas S/MIME pour une personne spécifique, auquel cas, vous ne pourrez pas crypter l'e-mail.
Comment le chiffrement et l'authentification figurent-ils dans S/MIME?
Faisons également une distinction entre cryptage et authentification. Si je vous demande votre S/MIME et tu me demandes S/MIME, nous pouvons envoyer des e-mails cryptés. Cependant, si je signe mon e-mail en utilisant mon S/MIME certificat et vous l'envoyez, je peux signer un e-mail et il sera crypté mais vous savez qu'il vient de moi.
Donc si j'obtiens un S/MIME certificat délivré par SSL.com et je signe mon email et je vous l'envoie et vous ne m'envoyez pas votre S/MIME certificat, nous ne serons pas en mesure d'envoyer et de déchiffrer des e-mails chiffrés. Mais vous pourrez toujours voir que mon e-mail a été signé avec un S/MIME certificat délivré par SSL.com et il doit indiquer le nom de l'expéditeur, information qui a été validée.
Les informations qui ne peuvent pas être validées n'apparaissent pas sur le certificat. S'il s'agit d'un certificat de confiance publique, ce qui signifie qu'il est approuvé par les plates-formes populaires, il doit être validé conformément aux exigences de base qui sont les normes minimales définies par le formulaire de navigateur CA.
Quels sont PKI certificats?
Comment une clé publique est-elle distribuée et comment lui attacher une identité ? C'est par le biais d'un certificat. Et c'est ce que fait une autorité de certification, elle délivre des certificats que vous pouvez attacher à une clé publique et la distribuer.
Certaines normes doivent être respectées pour délivrer un certificat. L'autorité de certification doit comprendre que vous avez un droit sur ce certificat et sur toutes les informations qui y sont intégrées. Et donc, lorsque nous émettons ce certificat, les navigateurs lui font confiance.
Qu'est-ce qu'un X.509 PKI certificat?
X.509 est comme une cellule souche. Il s'agit essentiellement d'un format avec certains champs. Avant de savoir de quel type de certificat il s'agit, il commence par ce zygote. Avant de devenir un certificat SSL, il existe certaines règles sur les informations pouvant être renseignées ici. Même chose avec S/MIME, la signature de code, la signature de document, l'authentification du client et d'autres certificats pouvant apparaître à l'avenir. À l'exception du SAN, les champs suivants constituent le nom distinctif du sujet.
- Nom commun (CN) - généralement, c'est ce qui apparaît comme l'objet du certificat. Pour un certificat SSL, il s'agit du nom de domaine. Il doit avoir des extensions de domaine de premier niveau prises en charge dans le monde entier (c'est-à-dire .com; .net; .io). Il y en a littéralement des centaines, peut-être des milliers à l'heure actuelle, et nous devons être en mesure de nous adapter à tout cela.
- Organisation (O) - l'entreprise ou le propriétaire du site Web
- Unité organisationnelle (OU) - ce serait quelque chose comme un département : informatique, finances, ressources humaines
- Localité (L) - essentiellement une ville
- État (ST) - l'emplacement régional, également connu sous le nom de province, selon le pays
- Pays (C) – le code du pays
- Subject Alternative Name (SAN) – une extension de X.509 qui sert à identifier les noms d'hôtes qui ont été sécurisés par un certificat SSL.
Quels sont les composants du PKI Écosystème ?
- L'autorité de certification - est une société qui délivre des certificats de confiance qui sont approuvés sur un certain nombre de plates-formes, le plus souvent des navigateurs : Google Chrome, Safari, Firefox, Opera, 360. Dans le cadre de PKI, CA désigne la société émettrice ou le mécanisme qui délivre le certificat.
- L'autorité d'enregistrement – elle effectuera généralement la validation. Il fera un tas de travail de préparation et une fois tout cela terminé, il enverra la demande à l'AC pour la délivrance du certificat. Le RA peut également être une entreprise, une application ou un composant.
- Fournisseur - c'est le navigateur
- Abonné - le propriétaire du site Web qui achète le certificat (c'est-à-dire l'entreprise qui achète le certificat pour ses employés)
- Partie de confiance - la personne, à la fin, qui consomme le certificat
Qu'est-ce qu'un privé PKI?
Pouvez-vous avoir un fermé PKI ce n'est pas publiquement approuvé ? Oui, comme les appareils IoT dans un environnement fermé. Par exemple, vous pouvez faire en sorte que Samsung et seuls les produits Samsung puissent communiquer entre eux : Téléviseurs, téléphones, chaînes stéréo. En privé PKIs, les appareils de tiers extérieurs peuvent être empêchés de communiquer avec le système interne. Ils peuvent être petits, ils peuvent être grands. Il y a PKIs qui ont des dizaines d'appareils et PKIs qui ont des millions d'appareils.
Quel est l'avenir de PKI?
La technologie évolue. Des cas de privé PKI ne sont pas moins importants que le web PKI, car même si une entreprise utilise des PKI, il est toujours sage de s'associer à une autorité de certification comme SSL.com qui subit des audits annuels et dispose de professionnels qui se consacrent à préserver l'intégrité des clés privées en les verrouillant et en les gardant hors ligne.
Til est plus le PKI écosystème a des discussions sur les exigences de base, plus il est difficile de remplacer cette technologie. Vous pouvez mettre les certificats et les installer lors de l'enregistrement du domaine, mais les politiques ne peuvent pas être facilement transférées.
Même avec l'informatique quantique à l'horizon et les futurs changements technologiques, le besoin d'une confidentialité et d'une authentification sécurisées ne disparaîtra pas. Si de nouvelles technologies apparaissent, l'industrie s'adaptera. Nous sommes dans le domaine de la fiducie et ce n'est pas près de disparaître.
