公開鍵インフラストラクチャ
人々が言及するとき 公共 or プライベート PKI 【01]、彼らは実際に言及しています 公に信頼される & 個人的に信頼されている インフラ。 公開鍵と秘密鍵は公開鍵と秘密鍵に関連しないことに注意してください PKI.
さらに、どちらのケースもホスト型を指します PKI or PKI-as-a-Service(PKIaaS)ソリューション。 内部(またはローカルでホスト) PKI プライベートとして働くことができます PKIですが、ホストされているツールから取得するツールとサービスを実装するにはかなりの労力とリソースが必要です PKI or PKIaaSプロバイダー。
基本的に、 PKI にはXNUMXつの機能があります。
- 公共のコレクションを管理する【02] および秘密鍵、および
- 各キーを、個人や組織などの個々のエンティティのIDにバインドします。
拘束力は、電子身分証明書の発行を通じて確立され、 デジタル証明書 【03]。 証明書は秘密鍵で暗号で署名されているため、クライアントソフトウェア(ブラウザなど)は対応する公開鍵を使用して証明書の 信頼性 (つまり、正しい秘密鍵で署名されている)および 整合性 (つまり、変更されていません)。
公的に信頼され、私的に信頼されています PKI
両方とも PKI 構成は同じ機能を提供し、それらの区別は非常に簡単です。
公共 PKIsクライアントソフトウェアによって自動的に信頼されますが、プライベート PKIsユーザーが証明書を発行する前に、ユーザーが手動で信頼する必要があります(または、企業およびIoT環境では、ドメイン管理者がすべてのデバイスに展開します)。 PKI 検証できます。
公的に信頼されている組織を維持する PKI と呼ばれる 認証局 (CA)。 公に信頼されるようにするには、CAをCA / Bフォーラムのベースライン要件などの標準に対して監査する必要があります。 【04] Microsoft Trusted Root Store Programのようなパブリックトラストストアに受け入れられます。
プライベートですが PKI 実装は、対応するパブリックと同じように安全である可能性があります。これらの要件はこれらの要件に準拠している可能性が低く、信頼プログラムに受け入れられないため、デフォルトでは信頼されません。
公に信頼されている理由 PKI?
公に信頼されているということは、公に信頼されているということです ルート証明書 (CAのIDと公式の公開鍵を関連付ける)は、ほとんどのクライアントにすでに配布されています。 ブラウザ、オペレーティングシステム、およびその他のクライアントソフトウェアには、信頼できる公開鍵のリストが組み込まれており、それらの証明書は、遭遇した証明書の検証に使用されます。 (責任のあるベンダーは、ソフトウェアを更新するときにこれらのリストを更新することも期待できます。)対照的に、非公開で信頼されたルート証明書(非公開に必要) PKI)このようなプライベートからの証明書の前に、クライアントに手動でインストールする必要があります PKIを検証できます。
結果として、公的にアクセス可能なWebサイトまたはその他のオンラインリソースを保護しようとしている場合、公的に信頼されているサイトから発行された証明書 PKI (つまり、CA)は、各訪問者にプライベートを手動でインストールするよう要求するので、 PKIのブラウザへのルート証明書は実用的ではありません(結果として発生する可能性のある一貫したセキュリティ警告がサイトの評判に悪影響を及ぼします)。
個人的に信頼されている理由 PKI?
公共 PKIsは厳しく規制を遵守し、定期的に監査を受ける必要があります。 PKI 監査要件を忘れて、オペレーターが適切と考える方法で標準から逸脱する可能性があります。 これは、ベストプラクティスに厳密に従っていないことを意味しますが、プライベートを使用することもできます。 PKI 証明書のポリシーと操作に関してより多くの自由。
XNUMXつの例:ベースライン要件は、公的に信頼されたCAが内部ドメイン(たとえば example.local)。 プライベート PKI 必要に応じて、このようなローカルドメインを含む、必要に応じて任意のドメインの証明書を発行できます。
公的に信頼されている証明書には、その制御規則によって厳密に定義され、公認証明書の承認されたX.509標準への証明書プロファイルマッピングでフォーマットされた方法で、特定の情報を常に含める必要があります。 ただし、一部の顧客は、特に組織の予想される用途とセキュリティの懸念に合わせて調整されたカスタム証明書プロファイルを必要とする場合があります。 プライベート PKI 専用の証明書プロファイルを使用して証明書を発行できます。
証明書自体は別として、プライベート PKI IDと資格情報の検証手順も完全に制御できます。 顧客独自のアクセス制御システム(シングルサインオンやLDAPディレクトリなど)をプライベートシステムに統合できます。 PKI オペレーターがすでに信頼している関係者に証明書を簡単に提供するサービス。 対照的に、公的に信頼されている PKI 証明書を発行する前に、資格のあるデータベースに対して厳格な手動および自動チェックと検証を実行する必要があります。
証明書の透明性
また、プライベート PKI 参加する必要はありません 証明書の透明性 【05].
Chromeなどのブラウザが強制するようになりました 【06] すべての公的に信頼された証明書のCT。CAは発行されたすべての証明書を公的にアクセス可能なデータベースに発行する必要があります。 民間 PKI ただし、オペレーターはCTの実装を義務付けられていないため、機密性の高いアプリケーションのプライバシーが向上する場合や、内部ネットワーク構造の公開が有害であると見なされる場合 【07].
まとめ
選択する PKI 他のソリューションよりも簡単な決定ではありません。 パブリックとプライベートの両方 PKI にはメリットとデメリットがあり、独自の選択は、パブリックアクセスの必要性、使いやすさ、インフラストラクチャを制御するためのセキュリティおよびポリシー要件など、多くの要因に依存する可能性があります。
ここで、 SSL.com、効果的な構築をお手伝いします PKI 組織固有のニーズに合った計画。
