Infrastruttura a chiave pubblica, comunemente abbreviata come PKI, è diventato un componente fondamentale per la protezione delle comunicazioni e delle transazioni online. Ma cosa costituisce esattamente questo framework di sicurezza critico?
Nella sua essenza, una Public Key Infrastructure si riferisce a policy, procedure, tecnologie e componenti che facilitano il trasferimento elettronico sicuro di informazioni, transazioni e comunicazioni tra entità come individui, dispositivi e sistemi. Mira a raggiungere questo obiettivo tramite meccanismi crittografici per garantire riservatezza, integrità, autenticazione e non ripudio.
La premessa centrale si basa su crittografia asimmetrica, in particolare la crittografia a chiave pubblica, basata su una coppia di chiavi crittografiche collegate matematicamente, una chiave privata e una chiave pubblica. Queste chiavi crittografano e decrittografano i dati in modo che solo l'altra chiave corrispondente possa accedere al contenuto. Ne parleremo più avanti. Innanzitutto, esaminiamo i componenti principali che costituiscono un completo PKI .
I componenti principali di un PKI Ecosistema
Un funzionale PKI presenta una combinazione di elementi tecnici, organizzativi e procedurali.
Autorità di certificazione (CA)
Le CA costituiscono il fondamento di PKI. Emettono, revocano e rinnovano certificati di identità digitale. Un certificato digitale contiene informazioni su un'entità insieme alla sua chiave pubblica. In sostanza, il certificato digitale lega una coppia di chiavi crittografiche utilizzata per crittografare la comunicazione a un'identità convalidata a cui appartiene la coppia di chiavi. Le CA, come SSL.com, verificano ampiamente i dettagli prima di firmare digitalmente questi certificati per la distribuzione.
Un certificato e la CA che lo emette sono considerati attendibili dagli utenti e dai sistemi che si affidano ai certificati per comunicazioni sicure. Ciò introduce la fiducia poiché i destinatari riconoscono che una CA affidabile ha convalidato il titolare del certificato.
Fiducia delle autorità di certificazione e dei certificati
Il concetto di "fiducia" nel contesto delle autorità di certificazione ruota attorno alla garanzia che un dato certificato digitale sia legittimo e che l'entità che presenta il certificato sia chi dichiara di essere. Questo quadro di fiducia è fondamentale per le comunicazioni sicure su Internet, in particolare per attività come l'online banking, lo shopping e le comunicazioni riservate, in cui è essenziale verificare l'autenticità di un sito Web o di un servizio.
La fiducia del pubblico
La fiducia pubblica riguarda i certificati emessi da CA che sono ampiamente riconosciuti e automaticamente considerati attendibili dalle principali aziende di browser, sviluppatori di software e sistemi operativi. Questa fiducia è stabilita perché la CA segue rigide politiche e procedure prima di emettere un certificato, assicurando che l'entità che richiede il certificato sia legittima e abbia il diritto di utilizzare il dominio in questione, applicare una firma digitale con un nome specifico o altrimenti rappresentare un'identità associata a una funzione crittografica.
La fiducia del pubblico deriva dalle linee guida e dai requisiti stabiliti da un organismo di standardizzazione denominato Certificate Authority Browser Forum o Forum CA / Browser. Il CA/Browser Forum è un consorzio volontario di autorità di certificazione, venditori di browser Internet e altre parti interessate che sviluppano linee guida che regolano l'emissione e la gestione di questi certificati pubblicamente attendibili. Le principali aziende di browser e sistemi operativi decidono quali CA ritengono attendibili e le includono nei loro archivi di certificati radice attendibili. Se una CA non è presente in questo archivio di certificati attendibili, gli utenti potrebbero ricevere avvisi che il certificato non è attendibile.
Fiducia privata
Il trust privato riguarda i certificati emessi all'interno di un ecosistema chiuso, come un'intranet aziendale o un ambiente controllato in cui le entità coinvolte hanno una relazione diretta o fiducia reciproca. In questi scenari, un'organizzazione potrebbe agire come la propria CA (CA privata) e rilasciano certificati ai propri utenti, dispositivi o servizi. Questi certificati non sono necessariamente riconosciuti dal mondo esterno, ma sono pienamente validi all'interno dell'ecosistema dell'organizzazione.
Delineare tra fiducia pubblica e privata
La demarcazione primaria tra fiducia pubblica e privata risiede nell'ambito e nel riconoscimento dei certificati emessi. Le CA pubblicamente attendibili hanno i loro certificati radice inclusi negli archivi attendibili dei principali browser e sistemi operativi, consentendo ai loro certificati emessi di essere automaticamente considerati attendibili da un vasto pubblico senza alcuna configurazione aggiuntiva.
Al contrario, i certificati emessi da una CA privata richiedono una configurazione di trust manuale in tutti i sistemi esterni alla rete privata che desiderano fidarsi di tali certificati. Questi non sono automaticamente considerati attendibili dall'Internet più ampio e sono utilizzati principalmente per scopi interni in cui l'organizzazione ha il controllo sulle parti che si fidano.
Sia i modelli di fiducia pubblica che quelli privati svolgono un ruolo cruciale nella sicurezza di Internet e nella sicurezza interna delle organizzazioni, ciascuno dei quali soddisfa esigenze diverse in base all'ambito di fiducia e riconoscimento richiesto.
PKI gerarchia
Le CA si dividono in due categorie. Le CA radice costituiscono il vertice della gerarchia, mentre le CA intermedie distribuiscono i certificati al di sotto di esse.
Autorità di registrazione (RA)
Le RA verificano l'identità e stabiliscono il processo di iscrizione prima di richiedere certificati firmati dalle CA di conseguenza. Le RA assicurano che solo le entità legittime ricevano certificati per PKI linee guida della politica. Gli estesi controlli di identità prima della generazione del certificato aumentano la fiducia tra le parti interessate.
Chiavi crittografiche pubbliche e private
Questa coppia matematicamente collegata consente il funzionamento crittografico interno di PKI. I dati criptati con la chiave pubblica rimangono inaccessibili senza la corrispondente chiave privata per la decifratura. Ciò mantiene i dati riservati durante le trasmissioni. Le firme digitali firmate con una chiave privata possono essere verificate con la corrispondente chiave pubblica per l'autenticazione dell'identità.
Per capire i diversi tipi di PKI implementazioni e quali potrebbero essere adatte alla tua organizzazione, consulta la nostra guida su Privato vs pubblico PKI Infrastruttura.
Certificati digitali
Il certificato digitale contiene dettagli identificativi come nome, organizzazione, posizione e la chiave pubblica associata. Il certificato riporta anche la firma digitale della CA emittente per le garanzie relative all'identità vincolata. I certificati sono conformi agli standard internazionali X.509 per consentire l'interoperabilità tra sistemi.
Elenco di revoche di certificati (CRL)
La CRL contiene un elenco di numeri di serie di certificati revocati dalle rispettive CA che indicano identità compromesse. Le entità verificano le CRL per assicurarsi di comunicare solo con certificati ancora in corso di validità. Questo elenco di riferimento centralizzato facilita un'efficiente distribuzione delle revoche.
Per maggiori informazioni su come funziona la revoca dei certificati e su come le organizzazioni mantengono la propria sicurezza, consulta la nostra guida completa a Elenchi di revoche di certificati (CRL).
Che cos'è la PKI Usato per?
PKI non è solo un quadro teorico, ma consente diverse tecnologie comuni:
- Attività Web sicura: HTTPS, SSL/TLS protocolli che stabiliscono connessioni sicure tra browser e server utilizzano PKI per la crittografia di base basata su certificati digitali e crittografia a chiave pubblica.
- Crittografia e firma della posta elettronica: Lo scambio di informazioni sensibili tramite e-mail sfrutta le leve PKI standard attraverso tipologie di certificati come S/MIME (Secure/Multipurpose Internet Mail Extensions) per crittografare e firmare le email.
- Certificati di firma del codice: Applica una firma crittografica al codice software che lo protegge da modifiche non autorizzate e ne identifica l'editore.
- Autenticazione e controllo degli accessi: I meccanismi di autenticazione basati su certificati per l'accesso VPN aziendale e i sistemi di accesso agli edifici forniscono una sicurezza molto più solida rispetto ai protocolli ID-password tramite PKI metodologie.
- Transazioni Blockchain: Tutte le transazioni sui registri blockchain comportano il trasferimento di valuta digitale tramite la firma tramite chiavi crittografiche asimmetriche abilitate da PKI principi relativi al collegamento matematico tra le chiavi.
Con la crescita della connettività digitale a livello globale in tutti i settori, PKI rimarrà un elemento fondamentale che garantisce privacy, fiducia e sicurezza attraverso gli standard esistenti in materia di certificati, gestione delle identità e crittografia.
Come si confronta la PKI Lavoro?
Ora che abbiamo compreso i componenti chiave di PKI, possiamo discutere di come tutti questi componenti lavorano insieme.
- Generazione di coppie di chiavi:Ogni entità crea una coppia di chiavi pubblica e privata.
- Emissione del certificato Certificate: Un'autorità di certificazione (CA) attendibile verifica l'identità dell'entità e rilascia un certificato digitale contenente la chiave pubblica.
- Distribuzione: Le chiavi pubbliche e i certificati vengono distribuiti, mentre le chiavi private rimangono segrete e devono essere conservate al sicuro dal titolare del certificato.
- crittografia: I mittenti utilizzano la chiave pubblica del destinatario per crittografare i messaggi.
- decrittazione: I destinatari utilizzano la loro chiave privata per decifrare i messaggi.
- Firme digitali: I mittenti firmano i messaggi con la loro chiave privata, verificabile da altri tramite la chiave pubblica del mittente.
- Validazione del certificato: Le entità verificano i certificati utilizzando la chiave pubblica della CA prima di considerarli attendibili.
Questo sistema consente comunicazioni sicure, autenticazione e non ripudio negli ambienti digitali.
L'importanza di PKI
In SSL.com abbiamo visto in prima persona l'immenso valore PKI garantisce la protezione della trasmissione di dati sensibili. In qualità di autorità di certificazione leader e di fiducia pubblica, rimaniamo impegnati a promuovere PKI standard attraverso una solida verifica dell'identità, il rapido rilascio dei certificati e il monitoraggio proattivo dell'infrastruttura.
Con PKI elementi profondamente integrati nella moderna sicurezza informatica e nell'identità digitale, immaginiamo il suo ruolo centrale nel futuro della privacy e dell'integrità nell'economia digitale in espansione.