Infrastruktur Kunci Publik (PKI) sebagai istilah yang menggambarkan sistem dan komponen yang digunakan dalam mengamankan komunikasi dan transaksi internet. Artikel ini akan membahas rincian tingkat tinggi dari berbagai PKI komponen dan bagaimana mereka berinteraksi dalam PKI ekosistem. Jika Anda adalah pemilik perusahaan yang ingin meningkatkan keamanan siber Anda atau siapa saja yang tertarik dengan Infrastruktur Kunci Publik, bagian ini akan memberi Anda beberapa contoh praktis dan mendasar.
Dimana PKI bekas?
Diskusi tentang PKI akan segera menuntunmu SSL (Lapisan Soket Aman)/TLS (Keamanan Lapisan Transportasi), yang memerlukan kunci pribadi dan kunci publik. Kunci pribadi disimpan di server web. Kunci publik tertanam dalam sertifikat SSL. Saat Anda mengunjungi situs web dan Anda melihat kunci itu di sebelah kiri bilah alamat, dan URL-nya mengatakan "HTTPS," (sebagai lawan dari HTTP), browser Anda akan secara otomatis mengunduh kunci publik tersebut bersama dengan sertifikat, yang mengonfirmasi bahwa situs web tersebut memang menampilkan dirinya sendiri. Jika ada sesuatu yang tidak lulus pertukaran ini, browser akan memberi Anda peringatan kesalahan. Peramban melewati pertukaran sertifikat dan kunci ini dalam hitungan detik.
Kunci pribadi disimpan di server web. Itu tidak akan ditemukan oleh siapa pun selain personel yang berwenang di situs web. Kunci publik didistribusikan kepada Anda, saya, semua orang pada umumnya.
Bagaimana PKI bekerja di Browser?
Kunci pribadi dan kunci publik adalah pasangan. Katakanlah Bob memiliki kunci pribadi dan Sally dan Joe memiliki kunci publik. Sally dan Joe tidak dapat berkomunikasi satu sama lain karena keduanya memiliki kunci publik. Bob tahu bahwa pesan apa pun yang dia terima berasal dari seseorang yang memiliki kunci publik.
Bagaimana Sally dan Joe tahu bahwa mereka sedang berkomunikasi dengan seseorang yang menyebut dirinya Bob? Di sinilah sertifikat berperan. Agar Sally dan Joe mengetahui bahwa mereka benar-benar berinteraksi dengan Bob, sertifikatnya akan mengonfirmasi hal itu. Sertifikat ditandatangani oleh Otoritas Sertifikat seperti SSL.com dan akan dipercaya di platform apa pun yang mereka gunakan, dalam hal ini browser.
Kunci publik dan kunci pribadi adalah komputasi intensif. Untuk mendapatkan tingkat enkripsi yang nyaman dengan teknologi komputasi saat ini, ukuran kunci publik minimal 2048 bit. Anda bisa mendapatkannya hingga 4096 yang jauh lebih intensif. Ini lebih aman tetapi ada titik pengembalian yang semakin berkurang. 2048 adalah apa yang kebanyakan orang gunakan. Dengan kunci rahasia, di sisi lain, Anda dapat memasangnya dengan 256 bit.
Apa itu Jabat Tangan SSL?
An SSL /TLS jabatan adalah negosiasi antara dua pihak di jaringan - seperti browser dan server web - untuk menetapkan detail sambungan mereka. Ini menentukan versi apa SSL /TLS akan digunakan dalam sesi, yang mana cipher suite akan mengenkripsi komunikasi, memverifikasi server (dan terkadang juga file klien), dan menetapkan bahwa koneksi aman sudah ada sebelum mentransfer data. Kamu bisa membaca lebih detail dalam panduan kami.
Bagaimana PKI aktifkan email aman?
Sampai tingkat tertentu, SSL/TLS jabat tangan juga berlaku untuk Ekstensi Surat Internet Aman/Serbaguna (S/MIME). Ini tidak seperti Anda pergi ke situs web dan mendapatkan sertifikat. Dengan handshake SSL, ini berlangsung selama satu sesi, katakanlah lima menit, lalu lalu lintasnya hilang. Ketika Anda melakukannya dengan S/MIME, itu konsep yang sama tetapi email Anda dapat bertahan bertahun-tahun.
Untuk mengilustrasikan bagaimana PKI membantu dalam membuat pertukaran email aman, mari gunakan karakter sebelumnya lagi. Sally mengirimkan kunci publiknya kepada Bob dalam S/MIME sertifikat dan dia akan mendapatkan email Bob dalam S/MIME sertifikat juga. Dan karena keduanya memiliki kunci pribadi, mereka dapat melakukan email terenkripsi satu sama lain. NS S/MIME sertifikat memang memungkinkan Anda untuk melakukan email multi-pihak selama Anda memiliki semua orang S/MIME sertifikat dalam grup, Anda dapat mengirim email kepada semua orang dan mereka dapat melakukan hal yang sama kepada Anda. Biasanya, jika Anda menggunakan klien email umum, dan Anda mencoba melakukan email terenkripsi ke sekelompok orang, itu akan memperingatkan Anda jika Anda tidak memilikinya. S/MIME untuk orang tertentu, dalam hal ini, Anda tidak akan dapat mengenkripsi email.
Bagaimana Enkripsi dan Otentikasi Gambar di S/MIME?
Mari kita juga membuat perbedaan antara enkripsi dan otentikasi. Jika saya meminta Anda S/MIME dan Anda meminta saya S/MIME, kami dapat mengirim email terenkripsi. Namun, jika saya menandatangani email saya menggunakan S/MIME sertifikat dan mengirimkannya kepada Anda, saya dapat menandatangani email dan itu akan dienkripsi tetapi Anda tahu itu berasal dari saya.
Jadi jika saya mendapatkan S/MIME sertifikat yang dikeluarkan oleh SSL.com dan saya menandatangani email saya dan saya mengirimkannya kepada Anda dan Anda tidak mengirimkan saya Anda S/MIME sertifikat, kami tidak akan dapat mengirim dan mendekripsi email terenkripsi. Tetapi Anda masih dapat melihat bahwa email saya ditandatangani dengan S/MIME sertifikat yang dikeluarkan oleh SSL.com dan harus menyebutkan nama pengirim, informasi yang divalidasi.
Informasi yang tidak dapat divalidasi tidak muncul pada sertifikat. Jika itu adalah sertifikat yang dipercaya publik, artinya itu dipercaya oleh platform populer, itu perlu divalidasi sesuai dengan persyaratan dasar yang merupakan standar minimum yang disatukan oleh formulir browser CA.
Apa PKI sertifikat?
Bagaimana kunci publik didistribusikan di luar sana dan bagaimana Anda melampirkan identitas padanya? Itu melalui sertifikat. Dan itulah yang dilakukan Otoritas Sertifikat, mengeluarkan sertifikat yang dapat Anda lampirkan ke kunci publik dan mendistribusikannya.
Ada standar tertentu yang perlu diikuti untuk mengeluarkan sertifikat. Otoritas sertifikat harus memahami bahwa Anda memiliki hak atas sertifikat itu dan informasi apa pun yang disematkan dalam sertifikat itu. Dan oleh karena itu, ketika kami mengeluarkan sertifikat itu, itu dipercaya oleh browser.
Apa itu X.509 PKI sertifikat?
X.509 adalah seperti sel induk. Ini pada dasarnya adalah format dengan bidang tertentu. Sebelum Anda tahu apa jenis sertifikat itu, itu dimulai sebagai zigot ini. Sebelum seseorang menjadi sertifikat SSL, ada aturan tertentu tentang informasi apa yang dapat diisi di sini. Hal yang sama dengan S/MIME, Penandatanganan Kode, Penandatanganan Dokumen, Otentikasi Klien, dan sertifikat lain yang mungkin muncul di masa mendatang. Kecuali untuk SAN, bidang berikut membentuk Nama Distinguished Subjek.
- Nama umum (CN) – biasanya, inilah yang muncul sebagai subjek sertifikat. Untuk sertifikat SSL, ini mengacu pada nama domain. Itu harus memiliki ekstensi domain tingkat atas yang didukung secara global (yaitu .com; .net; .io). Ada ratusan, mungkin ribuan dari mereka sekarang, dan kita harus dapat mengakomodasi semua itu.
- Organisasi (O) – perusahaan atau pemilik situs web
- Unit Organisasi (OU) – ini akan menjadi seperti departemen: TI, Keuangan, Sumber Daya Manusia
- Lokalitas (L) – pada dasarnya sebuah kota
- State (ST) – lokasi regional, juga dikenal sebagai provinsi, tergantung pada negaranya
- Negara (C) – kode negara
- Nama Alternatif Subjek (SAN) – ekstensi ke X.509 yang berfungsi untuk mengidentifikasi nama host yang telah diamankan oleh satu sertifikat SSL.
Apa saja Komponen dari PKI Ekosistem?
- Otoritas Sertifikat- adalah perusahaan yang menerbitkan sertifikat tepercaya yang disetujui di berbagai platform, paling umum browser: Google Chrome, Safari, Firefox, Opera, 360. Dalam konteks PKI, CA adalah perusahaan penerbit atau mekanisme yang menerbitkan sertifikat.
- Otoritas Pendaftaran – ini biasanya akan melakukan validasi. Ini akan melakukan banyak pekerjaan persiapan dan setelah semua selesai, ia akan mengirim permintaan ke CA untuk penerbitan sertifikat. RA juga bisa berupa perusahaan, aplikasi, atau komponen.
- Penjual – ini adalah browsernya
- Pelanggan – pemilik situs web yang membeli sertifikat (yaitu perusahaan yang membeli sertifikat untuk karyawannya)
- Mengandalkan Pihak – orang, pada akhirnya, yang mengkonsumsi sertifikat
Apa itu Pribadi? PKI?
Bisakah Anda memiliki yang tertutup? PKI itu tidak dipercaya publik? Ya, seperti perangkat IoT di lingkungan tertutup. Misalnya, Anda dapat membuat Samsung dan hanya produk Samsung yang dapat berbicara satu sama lain: TV, telepon, stereo. Secara pribadi PKIs, perangkat dari pihak ketiga luar dapat dilarang berkomunikasi dengan sistem internal. Mereka bisa kecil, bisa besar. Ada PKIs yang memiliki lusinan perangkat dan PKIs yang memiliki jutaan perangkat.
Apa Masa Depannya? PKI?
Teknologinya berkembang. Contoh pribadi PKI tidak kalah pentingnya dengan web PKI, karena meskipun perusahaan menggunakan private PKI, tetap bijaksana untuk bermitra dengan CA seperti SSL.com yang menjalani audit tahunan dan memiliki profesional yang berdedikasi untuk menjaga integritas kunci pribadi dengan menguncinya dan menjaganya tetap offline.
Tdia lebih PKI ekosistem memiliki diskusi tentang persyaratan dasar, semakin sulit untuk menggantikan teknologi ini. Anda dapat meletakkan sertifikat dan menginstalnya di pendaftaran domain tetapi kebijakan tidak dapat dengan mudah dipindahkan.
Bahkan dengan komputasi kuantum di cakrawala dan perubahan teknologi di masa depan, kebutuhan akan privasi dan otentikasi yang aman tidak akan hilang. Jika teknologi baru datang, industri akan beradaptasi. Kami berada dalam bisnis kepercayaan dan itu tidak akan hilang.
