公開鍵インフラストラクチャ(PKI)用語として、インターネット通信とトランザクションの保護に使用されるシステムとコンポーネントを表します。 この記事では、さまざまなものの概要を説明します PKI コンポーネントとそれらがどのように相互作用するか PKI 生態系。 あなたがサイバーセキュリティを強化しようとしている会社の所有者、または公開鍵インフラストラクチャに興味のある人なら、この記事はいくつかの実用的で根拠のある例を提供します。
どこにありますか PKI 中古?
の議論 PKI すぐにあなたにつながります SSL(Secure Sockets Layer)/TLS (トランスポート層セキュリティ)、秘密鍵と公開鍵が必要です。 秘密鍵はWebサーバーに保持されます。 公開鍵はSSL証明書に埋め込まれています。 Webサイトにアクセスすると、アドレスバーの左側にそのロックが表示され、URLに次のように表示されます。 「HTTPS」(HTTPではなく)、ブラウザは証明書と一緒にその公開鍵を自動的にダウンロードします。これにより、Webサイトが実際に表示されている人物であることが確認されます。 この交換に合格しなかったものがあった場合、ブラウザはエラー警告を表示します。 ブラウザは、ほんの一瞬でこの証明書とキーの交換を行います。
秘密鍵はWebサーバーに保持されます。 それは、ウェブサイト上の許可された担当者以外の誰にも発見されるべきではありません。 公開鍵はあなた、私、そして他のすべての人に配布されます。
どのように PKI ブラウザで動作しますか?
秘密鍵と公開鍵はいくつかあります。 ボブが秘密鍵を持っていて、サリーとジョーが公開鍵を持っているとしましょう。 サリーとジョーは両方とも公開鍵を持っているため、互いに通信できません。 ボブは、自分が受け取っているメッセージが公開鍵を持っている人からのものであることを知っています。
サリーとジョーは、自分をボブと呼ぶ誰かと通信していることをどうやって知るのですか? ここで証明書が役立ちます。 サリーとジョーが実際にボブとやり取りしていることを知るために、彼の証明書はそれを確認します。 証明書はSSL.comなどの認証局によって署名されており、使用しているプラットフォーム(この場合はブラウザー)で信頼されます。
公開鍵と秘密鍵は計算集約的です。 今日のコンピューティングテクノロジーで快適なレベルの暗号化を実現するために、公開鍵のサイズは2048ビット以上です。 あなたはそれらをはるかに集中的な4096まで得ることができます。 より安全ですが、収穫逓減のポイントがあります。 2048はほとんどの人が使用するものです。 一方、秘密鍵を使用すると、256ビットでそれを我慢できます。
SSLハンドシェイクとは何ですか?
An SSL /TLS 握手 接続の詳細を確立するための、ブラウザやWebサーバーなどのネットワーク上のXNUMX者間の交渉です。 それはのバージョンを決定します SSL /TLS セッションで使用され、暗号スイートは通信を暗号化し、サーバーを検証します(また、 クライアント)、データを転送する前に安全な接続が確立されていることを確認します。 あなたは読むことができます 詳細はガイドをご覧ください.
どのように PKI 安全なメールを有効にしますか?
ある程度、SSL /TLS ハンドシェイクは 安全な/多目的インターネットメール拡張機能(S/MIME)。 Webサイトにアクセスして証明書を取得するのとはまったく異なります。 SSLハンドシェイクを使用すると、セッションがXNUMX分間続き、その後トラフィックがなくなります。 あなたがそれをするとき S/MIME、それは同じ概念ですが、あなたのメールは何年も続くかもしれません。
方法を説明するために PKI メール交換を安全にするのに役立ちます。前の文字をもう一度使用しましょう。 サリーはボブに公開鍵を送信します S/MIME 証明書を取得すると、ボブのメールが S/MIME 証明書も。 また、どちらも秘密鍵を持っているため、相互に暗号化された電子メールを送信できます。 NS S/MIME 証明書を使用すると、全員のメールがあれば、マルチパーティのメールを送信できます。 S/MIME グループ内の証明書を使用すると、全員に電子メールを送信でき、同じことを行うことができます。 通常、一般的な電子メールクライアントを使用していて、暗号化された電子メールをグループの人々に送信しようとしている場合は、持っていない場合は警告が表示されます。 S/MIME 特定の人の場合、その場合、電子メールを暗号化することはできません。
暗号化と認証はどのように計算されますか S/MIME?
また、暗号化と認証を区別してみましょう。 私があなたを求めるなら S/MIME そしてあなたは私の S/MIME、暗号化されたメールを送信できます。 ただし、 S/MIME 証明書とそれをあなたに送ります、私は電子メールに署名することができます、そしてそれは暗号化されます、しかしあなたはそれが私から来たことを知っています。
だから私が得た場合 S/MIME SSL.comによって発行された証明書と私は私の電子メールに署名し、私はそれをあなたに送ります、そしてあなたは私にあなたの S/MIME 証明書の場合、暗号化された電子メールを送信および復号化することはできません。 しかし、あなたはまだ私のメールがで署名されているのを見ることができます S/MIME SSL.comによって発行された証明書で、送信者の名前、検証された情報が記載されている必要があります。
検証できない情報は証明書に表示されません。 公的に信頼されている証明書である場合、つまり一般的なプラットフォームによって信頼されている場合は、CAブラウザフォームによってまとめられた最小標準であるベースライン要件に従って検証する必要があります。
何ですか PKI 証明書?
公開鍵はどのように配布され、どのようにIDを添付しますか? それは証明書を介してです。 そして、それが認証局が行うことです。それは、公開鍵に添付して配布できる証明書を発行します。
証明書を発行するために従う必要のある特定の基準があります。 認証局は、あなたがその証明書とその証明書に埋め込まれている情報に対する権利を持っていることを理解する必要があります。 したがって、その証明書を発行すると、ブラウザーによって信頼されます。
X.509とは PKI 証明書?
X.509 幹細胞のようなものです。 基本的には特定のフィールドを持つフォーマットです。 それがどんな種類の証明書であるかを知る前に、それはこの接合子として始まります。 SSL証明書になる前に、ここに入力できる情報に関する特定のルールがあります。 と同じこと S/MIME、コード署名、ドキュメント署名、クライアント認証、および将来登場する可能性のあるその他の証明書。 SANを除いて、次のフィールドはサブジェクト識別名を構成します。
- 一般名(CN)–通常、これは証明書のサブジェクトとして表示されるものです。 SSL証明書の場合、これはドメイン名を指します。 グローバルにサポートされているトップレベルドメイン拡張子(つまり、.com、.net、.io)が必要です。 文字通り数百、おそらく今では数千があり、私たちはそれらすべてに対応できなければなりません。
- 組織(O)–会社またはWebサイトの所有者
- 組織単位(OU)–これは部門のようなものになります:IT、財務、人材
- 地域(L)–基本的に都市
- 州(ST)–国によっては州としても知られる地域の場所
- 国(C)–国コード
- サブジェクト代替名(SAN)–509つのSSL証明書で保護されているホスト名を識別するためのX.XNUMXの拡張。
のコンポーネントは何ですか PKI 生態系?
- 認証局-さまざまなプラットフォーム、最も一般的にはブラウザ(Google Chrome、Safari、Firefox、Opera、360)で承認されている信頼できる証明書を発行する会社です。 PKI、CAは、証明書を発行する発行会社またはメカニズムを意味します。
- 登録機関–これは通常検証を行います。 一連の準備作業を実行し、すべてが完了すると、証明書の発行を求める要求をCAに送信します。 RAは、会社、アプリ、またはコンポーネントの場合もあります。
- ベンダー–これはブラウザです
- サブスクライバー–証明書を購入しているWebサイトの所有者(つまり、従業員のために証明書を購入している会社)
- 依拠当事者–最後に証明書を消費している人
プライベートとは PKI?
閉店してもらえますか PKI それは公に信頼されていませんか? はい、閉鎖環境のIoTデバイスなど。 たとえば、Samsungを使用して、Samsung製品のみが相互に通信できるようにすることができます。 テレビ、電話、ステレオ。 非公式に PKIs、外部のサードパーティからのデバイスは、内部システムとの通信を禁止される可能性があります。 それらは小さくても大きくてもかまいません。 がある PKI数十のデバイスと PKI何百万ものデバイスを持っている。
の未来は何ですか PKI?
技術は進化しています。 プライベートのインスタンス PKI ウェブと同じくらい重要です PKI、企業がプライベートを使用している場合でも PKI、毎年監査を受け、秘密鍵をロックしてオフラインに保つことで秘密鍵の整合性を維持することに専念する専門家がいるSSL.comのようなCAと提携することは依然として賢明です。
T彼はもっと PKI エコシステムはベースライン要件について議論していますが、このテクノロジーを置き換えることはより困難です。 証明書を配置してドメイン登録時にインストールすることはできますが、ポリシーを簡単に移植することはできません。
量子コンピューティングが間近に迫っていて、テクノロジーが将来変化しても、安全なプライバシーと認証の必要性はなくなることはありません。 新しいテクノロジーが登場すれば、業界は適応するでしょう。 私たちは信託事業に携わっていますが、それがなくなることはありません。
