Infrastruttura a chiave pubblica (PKI) come termine descrive i sistemi e i componenti utilizzati per proteggere le comunicazioni e le transazioni su Internet. Questo articolo tratterà una ripartizione di alto livello dei vari PKI componenti e come interagiscono nel PKI ecosistema. Se sei il proprietario di un'azienda che cerca di rafforzare la tua sicurezza informatica o semplicemente chiunque sia interessato all'infrastruttura a chiave pubblica, questo articolo ti fornirà alcuni esempi pratici e fondati.
Dov'è PKI Usato?
Discussioni su PKI ti porterà rapidamente a te SSL (Secure Sockets Layer)/TLS (Sicurezza del livello di trasporto), che richiedono una chiave privata e una chiave pubblica. La chiave privata è conservata sul server web. La chiave pubblica è incorporata nel certificato SSL. Quando visiti un sito Web e vedi quel lucchetto a sinistra della barra degli indirizzi e l'URL dice "HTTPS" (al contrario di HTTP), il tuo browser scaricherà automaticamente quella chiave pubblica insieme al certificato, che conferma che il sito web è effettivamente chi si presenta. Se c'è qualcosa che non ha superato questo scambio, il browser ti darà un avviso di errore. Il browser esegue questo scambio di certificati e chiavi in una frazione di secondo.
La chiave privata è conservata sul server web. Questo non deve essere scoperto da nessuno diverso dal personale autorizzato sul sito web. La chiave pubblica è distribuita a te, a me e a tutti gli altri in generale.
Che aspetto ha e come funziona il PKI lavorare in un browser?
La chiave privata e la chiave pubblica sono una coppia. Diciamo che Bob ha una chiave privata e Sally e Joe hanno la chiave pubblica. Sally e Joe non possono comunicare tra loro perché entrambi hanno la chiave pubblica. Bob sa che qualunque messaggio stia ricevendo proviene da qualcuno che ha la chiave pubblica.
Come fanno Sally e Joe a sapere che stanno comunicando con qualcuno che si fa chiamare Bob? È qui che entrano in gioco i certificati. Perché Sally e Joe sappiano che stanno effettivamente interagendo con Bob, il suo certificato lo confermerà. Il certificato è firmato da un'autorità di certificazione come SSL.com e sarà considerato attendibile in qualsiasi piattaforma stiano utilizzando, in questo caso un browser.
La chiave pubblica e la chiave privata sono ad alta intensità di calcolo. Per ottenere un livello di crittografia confortevole con la tecnologia informatica odierna, le dimensioni della chiave pubblica sono un minimo di 2048 bit. Puoi ottenerli fino a 4096, che è molto più intenso. È più sicuro ma c'è un punto di rendimenti decrescenti. 2048 è ciò che la maggior parte delle persone usa. Con la chiave segreta, d'altra parte, puoi metterlo a 256 bit.
Che cos'è l'handshake SSL?
An SSL /TLS stretta di mano è una negoziazione tra due parti su una rete, ad esempio un browser e un server web, per stabilire i dettagli della loro connessione. Determina quale versione di SSL /TLS verrà utilizzato nella sessione, quale suite di cifratura crittograferà la comunicazione, verifica il server (e talvolta anche il file cliente) e stabilisce che è attiva una connessione sicura prima del trasferimento dei dati. Puoi leggere maggiori dettagli nella nostra guida.
Che aspetto ha e come funziona il PKI abilitare le email sicure?
In una certa misura, SSL/TLS la stretta di mano vale anche per Estensioni di posta Internet sicure/multiuso (S/MIME). Non è proprio come andare sul sito web e ottenere il certificato. Con l'handshake SSL, dura una sessione, diciamo cinque minuti, e poi il traffico scompare. Quando lo fai con S/MIME, è lo stesso concetto, ma le tue email potrebbero durare anni.
Per illustrare come PKI aiuta a rendere sicuri gli scambi di e-mail, usiamo di nuovo i caratteri precedenti. Sally invia a Bob la sua chiave pubblica in un S/MIME certificato e lei riceverà l'e-mail di Bob in un S/MIME anche certificato. E poiché entrambi hanno la loro chiave privata, possono scambiarsi e-mail crittografate. Un S/MIME certificato ti consente di inviare e-mail a più parti purché tu abbia tutti S/MIME certificati in un gruppo, puoi inviare un'e-mail a tutti e loro possono fare la stessa cosa con te. In genere, se stai utilizzando un comune client di posta elettronica e stai cercando di inviare e-mail crittografate a un gruppo di persone, dovrebbe avvisarti se non hai S/MIME per una persona specifica, nel qual caso non sarai in grado di crittografare l'e-mail.
Come si comportano la crittografia e l'autenticazione? S/MIME?
Facciamo anche una distinzione tra crittografia e autenticazione. Se chiedo il tuo S/MIME e tu chiedi il mio S/MIME, possiamo inviare email crittografate. Tuttavia, se firmo la mia e-mail utilizzando my S/MIME certificato e inviarlo a te, posso firmare un'e-mail e sarà crittografata ma sai che è venuto da me.
Quindi se ottengo un S/MIME certificato rilasciato da SSL.com e firmo la mia email e te la mando e tu non mi mandi la tua S/MIME certificato, non saremo in grado di inviare e decrittografare e-mail crittografate. Ma potrai comunque vedere che la mia email è stata firmata con un S/MIME certificato emesso da SSL.com e dovrebbe riportare il nome del mittente, informazione che è stata convalidata.
Le informazioni che non possono essere convalidate non vengono visualizzate sul certificato. Se si tratta di un certificato pubblicamente attendibile, il che significa che è considerato attendibile dalle piattaforme più diffuse, deve essere convalidato in base ai requisiti di base che sono gli standard minimi messi insieme dal modulo del browser CA.
Che cosa sono PKI certificati?
Come viene distribuita una chiave pubblica e come si allega un'identità ad essa? È attraverso un certificato. Ed è quello che fa un'autorità di certificazione, emette certificati che potresti allegare a una chiave pubblica e distribuirla.
Ci sono alcuni standard che devono essere seguiti per emettere un certificato. L'autorità di certificazione deve capire che hai il diritto su quel certificato e su qualsiasi informazione incorporata in quel certificato. E quindi, quando emettiamo quel certificato, è considerato attendibile dai browser.
Che cos'è un X.509 PKI certificato?
X.509 è come una cellula staminale. È fondamentalmente un formato con determinati campi. Prima di sapere che tipo di certificato è, inizia come questo zigote. Prima che uno diventi un certificato SSL, ci sono alcune regole su quali informazioni possono essere compilate qui. Stessa cosa con S/MIME, Code Signing, Document Signing, Client Authentication e altri certificati che potrebbero essere rilasciati in futuro. Ad eccezione di SAN, i seguenti campi costituiscono il nome distinto del soggetto.
- Nome comune (CN) – in genere, questo è ciò che appare come oggetto del certificato. Per un certificato SSL, questo si riferisce al nome di dominio. Deve avere estensioni di dominio di primo livello supportate a livello globale (es. .com; .net; .io). Ce ne sono letteralmente centinaia, forse migliaia ormai, e dobbiamo essere in grado di accogliere tutto questo.
- Organizzazione (O) – l'azienda o il proprietario del sito web
- Unità organizzativa (UO) - sarebbe qualcosa come un dipartimento: IT, Finanza, Risorse umane
- Località (L) – fondamentalmente una città
- Stato (ST) – la posizione regionale, nota anche come provincia, a seconda del paese
- Paese (C) – il codice del paese
- Nome alternativo soggetto (SAN) – un'estensione a X.509 che serve a identificare quei nomi host che sono stati protetti da un certificato SSL.
Quali sono i componenti del PKI Ecosistema?
- The Certificate Authority- è una società che emette certificati affidabili che sono approvati su un numero diverso di piattaforme, più comunemente browser: Google Chrome, Safari, Firefox, Opera, 360. Nel contesto di PKI, CA indica la società emittente o il meccanismo che emette il certificato.
- L'autorità di registrazione: in genere questa effettuerà la convalida. Farà un bel po' di lavoro di preparazione e una volta completato tutto, invierà la richiesta alla CA per l'emissione del certificato. La RA potrebbe anche essere un'azienda, un'app o un componente.
- Venditore: questo è il browser
- Abbonato: il proprietario del sito Web che acquista il certificato (ovvero l'azienda che acquista il certificato per i propri dipendenti)
- Relying Party – la persona, alla fine, che sta consumando il certificato
Cos'è un privato? PKI?
Puoi chiudere? PKI non è pubblicamente attendibile? Sì, come i dispositivi IoT in un ambiente chiuso. Ad esempio, puoi avere Samsung e solo i prodotti Samsung possono parlare tra loro: TV, telefoni, stereo. In privato PKIs, ai dispositivi di terzi esterni può essere impedito di comunicare con il sistema interno. Possono essere piccoli, possono essere grandi. Ci sono PKIs che hanno dozzine di dispositivi e PKIs che hanno milioni di dispositivi.
Qual è il futuro di? PKI?
La tecnologia si sta evolvendo. Istanze di privato PKI non sono meno importanti del web PKI, perché anche se un'azienda utilizza i privati PKI, è comunque consigliabile collaborare con una CA come SSL.com che viene sottoposta a controlli annuali e dispone di professionisti che si impegnano a preservare l'integrità delle chiavi private bloccandole e mantenendole offline.
Tlui più il PKI ecosistema ha discussioni sui requisiti di base, più è difficile sostituire questa tecnologia. Puoi mettere i certificati e installarli alla registrazione del dominio ma le politiche non possono essere facilmente trasferite.
Anche con l'informatica quantistica all'orizzonte e futuri cambiamenti nella tecnologia, la necessità di privacy e autenticazione sicure non scomparirà. Se arriva una nuova tecnologia, l'industria si adatterà. Siamo nel business della fiducia e questo non è destinato a scomparire.
