Public Key Infrastructure, vaak afgekort als PKI, is een kerncomponent geworden van het beveiligen van online communicatie en transacties. Maar wat houdt dit kritieke beveiligingsframework precies in?
In essentie verwijst een Public Key Infrastructure naar beleid, procedures, technologieën en componenten die de veilige elektronische overdracht van informatie, transacties en communicatie tussen entiteiten zoals individuen, apparaten en systemen vergemakkelijken. Het doel hiervan is om dit te bereiken door middel van cryptografische mechanismen om vertrouwelijkheid, integriteit, authenticatie en non-repudiation te garanderen.
Het centrale uitgangspunt berust op asymmetrische cryptografie, met name openbare sleutelversleuteling, gebaseerd op een wiskundig gekoppeld cryptografisch sleutelpaar: een privésleutel en een openbare sleutel. Deze sleutels versleutelen en ontsleutelen gegevens op een manier dat alleen de andere corresponderende sleutel toegang heeft tot de inhoud. Hierover later meer. Laten we eerst de kerncomponenten onderzoeken die een complete PKI systeem.
De belangrijkste componenten van een PKI Ecosysteem
Een functioneel PKI bestaat uit een combinatie van technische, organisatorische en procedurele elementen.
Certificeringsautoriteiten (CA's)
CA's vormen de basis van PKI. Ze geven digitale identiteitscertificaten uit, trekken ze in en vernieuwen ze. Een digitaal certificaat bevat informatie over een entiteit naast de openbare sleutel. In wezen koppelt het digitale certificaat een cryptografisch sleutelpaar dat wordt gebruikt om communicatie te versleutelen aan een gevalideerde identiteit waartoe het sleutelpaar behoort. De CA's, zoals SSL.com, verifiëren de details uitgebreid voordat ze deze certificaten digitaal ondertekenen voor distributie.
Een certificaat en de CA die het uitgeeft, worden vertrouwd door de gebruikers en systemen die vertrouwen op de certificaten voor veilige communicatie. Dit introduceert vertrouwen omdat ontvangers herkennen dat een gerenommeerde CA de certificaathouder heeft gevalideerd.
Vertrouwen van certificeringsinstanties en certificaten
Het concept van "vertrouwen" in de context van certificaatautoriteiten draait om de zekerheid dat een bepaald digitaal certificaat legitiem is en dat de entiteit die het certificaat presenteert, is wie ze beweren te zijn. Dit vertrouwenskader is cruciaal voor veilige communicatie op internet, met name voor activiteiten zoals online bankieren, winkelen en vertrouwelijke communicatie, waarbij het verifiëren van de authenticiteit van een website of service essentieel is.
Public Trust
Publiek vertrouwen omvat certificaten die zijn uitgegeven door CA's die algemeen worden erkend en automatisch worden vertrouwd door grote browserbedrijven, softwareontwikkelaars en besturingssystemen. Dit vertrouwen wordt gevestigd omdat de CA strikte beleidsregels en procedures volgt voordat een certificaat wordt uitgegeven, om ervoor te zorgen dat de entiteit die het certificaat aanvraagt legitiem is en het recht heeft om het betreffende domein te gebruiken, een digitale handtekening met een specifieke naam toe te passen of anderszins een identiteit te vertegenwoordigen die is gekoppeld aan een cryptografische functie.
Het publieke vertrouwen vloeit voort uit de richtlijnen en vereisten die zijn vastgesteld door een standaardisatie-instantie, het Certificate Authority Browser Forum of CA / Browser Forum. Het CA/Browser Forum is een vrijwillig consortium van certificeringsinstanties, leveranciers van internetbrowsers en andere geïnteresseerde partijen die richtlijnen ontwikkelen die de uitgifte en het beheer van deze publiekelijk vertrouwde certificaten regelen. Grote browserbedrijven en besturingssystemen bepalen welke CA's ze vertrouwen en nemen deze op in hun vertrouwde root-certificaatopslagplaatsen. Als een CA niet in deze vertrouwde opslagplaats staat, kunnen gebruikers waarschuwingen ontvangen dat het certificaat niet vertrouwd is.
Privé vertrouwen
Private trust omvat certificaten die zijn uitgegeven binnen een gesloten ecosysteem, zoals een bedrijfsintranet of een gecontroleerde omgeving waarin de betrokken entiteiten een directe relatie of trust met elkaar hebben. In deze scenario's kan een organisatie optreden als haar eigen CA (Privé CA) en certificaten uitgeven aan haar gebruikers, apparaten of services. Deze certificaten worden niet noodzakelijkerwijs herkend door de buitenwereld, maar zijn volledig geldig binnen het ecosysteem van de organisatie.
Afbakening tussen publiek en privaat vertrouwen
De primaire afbakening tussen openbaar en privé vertrouwen ligt in de reikwijdte en erkenning van de uitgegeven certificaten. Openbaar vertrouwde CA's hebben hun rootcertificaten opgenomen in de vertrouwde opslagplaatsen van belangrijke browsers en besturingssystemen, waardoor hun uitgegeven certificaten automatisch vertrouwd kunnen worden door een breed publiek zonder enige aanvullende configuratie.
Certificaten die zijn uitgegeven door een privé-CA vereisen daarentegen handmatige vertrouwensconfiguratie in alle systemen buiten het privénetwerk die deze certificaten willen vertrouwen. Deze worden niet automatisch vertrouwd door het bredere internet en worden voornamelijk gebruikt voor interne doeleinden waarbij de organisatie controle heeft over de vertrouwende partijen.
Zowel publieke als private vertrouwensmodellen spelen een cruciale rol in de internetbeveiliging en de interne veiligheid van organisaties. Elk model voorziet in verschillende behoeften, afhankelijk van de mate van vertrouwen en erkenning die vereist is.
PKI Hiërarchie
CA's zijn er in twee categorieën. Root CA's vormen de top van de hiërarchie, terwijl tussenliggende CA's certificaten onder zich verdelen.
Registratieautoriteiten (RA's)
RA's verifiëren de identiteit en stellen het inschrijvingsproces vast voordat ze ondertekende certificaten van CA's aanvragen. RA's zorgen ervoor dat alleen legitieme entiteiten certificaten ontvangen per PKI beleidsrichtlijnen. De uitgebreide identiteitscontroles vóór certificaatgeneratie vergroten het vertrouwen onder belanghebbenden.
Openbare en privé cryptografische sleutels
Dit wiskundig gekoppelde paar maakt de interne cryptografische werking van PKI. Gegevens die met de openbare sleutel zijn gecodeerd, blijven ontoegankelijk zonder de bijbehorende privésleutel voor decodering. Dit behoudt vertrouwelijke gegevens tijdens transmissies. Digitale handtekeningen die met een privésleutel zijn ondertekend, kunnen worden geverifieerd met de bijbehorende openbare sleutel voor identiteitsauthenticatie.
Om de verschillende soorten te begrijpen PKI implementaties en welke geschikt zijn voor uw organisatie, bekijk dan onze gids over Privé versus openbaar PKI Infrastructuur.
Digitale certificaten
Het digitale certificaat bevat identificerende details zoals naam, organisatie, locatie en de bijbehorende openbare sleutel. Het certificaat draagt ook de digitale handtekening van de uitgevende CA voor garanties rondom de gebonden identiteit. Certificaten voldoen aan de internationale X.509-normen om interoperabiliteit tussen systemen mogelijk te maken.
Certificaatintrekkingslijst (CRL)
De CRL bevat een lijst met certificaatserienummers die zijn ingetrokken door de betreffende CA's, wat duidt op gecompromitteerde identiteiten. Entiteiten controleren CRL's om te garanderen dat ze alleen communiceren met certificaten die nog geldig zijn. Deze gecentraliseerde referentielijst vergemakkelijkt efficiënte herroepingsdistributie.
Voor meer informatie over hoe het intrekken van certificaten werkt en hoe organisaties hun beveiliging handhaven, zie onze uitgebreide gids Certificaatintrekkingslijsten (CRL).
Wat is PKI Gebruikt voor?
PKI is niet alleen een theoretisch kader, maar het maakt verschillende alledaagse technologieën mogelijk:
- Veilige webactiviteit: HTTPS, SSL/TLS protocollen die veilige verbindingen tussen browsers en servers tot stand brengen, maken gebruik van PKI voor de onderliggende encryptie, aangestuurd door digitale certificaten en openbare-sleutelcryptografie.
- E-mailversleuteling en ondertekening: Gevoelige informatie-uitwisseling via e-mails maakt gebruik van PKI normen via certificaattypen zoals S/MIME (Secure/Multipurpose Internet Mail Extensions) om e-mails te versleutelen en te ondertekenen.
- Code Signing-certificaten: Past een cryptografische handtekening toe op softwarecode die deze beschermt tegen ongeautoriseerde wijzigingen en de uitgever identificeert.
- Authenticatie en toegangscontrole:Certificaatgebaseerde authenticatiemechanismen voor VPN-toegangssystemen voor bedrijven en gebouwtoegangssystemen bieden een veel robuustere beveiliging dan ID-wachtwoordprotocollen via PKI methodologieën.
- Blockchain-transacties:Alle transacties in blockchain-grootboeken omvatten de overdracht van digitale valuta door ondertekening via asymmetrische cryptografische sleutels die mogelijk worden gemaakt door PKI principes rondom wiskundige koppeling tussen sleutels.
Naarmate de digitale connectiviteit wereldwijd in alle sectoren groeit, PKI blijft een fundamenteel element dat privacy, vertrouwen en veiligheid mogelijk maakt via bestaande standaarden rondom certificaten, identiteitsbeheer en encryptie.
Hoe werkt PKI Werk?
Nu we de belangrijkste componenten van PKIkunnen we bespreken hoe al die componenten samenwerken.
- Generatie van sleutelparen: Elke entiteit creëert een openbaar en privé sleutelpaar.
- Uitgifte van certificaten:Een vertrouwde certificeringsinstantie (CA) verifieert de identiteit van de entiteit en geeft een digitaal certificaat uit dat de openbare sleutel bevat.
- Distributie:Openbare sleutels en certificaten worden verspreid, terwijl privésleutels geheim blijven en door de certificaathouder veilig moeten worden bewaard.
- Encryptie:Verzenders gebruiken de openbare sleutel van de ontvanger om berichten te versleutelen.
- decryptie: Ontvangers gebruiken hun privésleutel om berichten te decoderen.
- Digitale handtekeningen: Afzenders ondertekenen berichten met hun persoonlijke sleutel, die door anderen geverifieerd kan worden met behulp van de openbare sleutel van de afzender.
- Certificaatvalidatie: Entiteiten verifiëren certificaten met behulp van de openbare sleutel van de CA voordat ze deze vertrouwen.
Dit systeem maakt veilige communicatie, authenticatie en onweerlegbaarheid in digitale omgevingen mogelijk.
Het belang van PKI
Bij SSL.com hebben we met eigen ogen de immense waarde gezien PKI levert in het beveiligen van gevoelige gegevensoverdracht. Als een toonaangevende, publiekelijk vertrouwde certificeringsinstantie blijven we toegewijd aan het bevorderen PKI normen door middel van robuuste identiteitsverificatie, snelle certificaatuitgifte en proactieve infrastructuurbewaking.
met PKI Omdat deze elementen diep verankerd zijn in moderne cyberbeveiliging en digitale identiteit, zien wij de centrale rol ervan in de toekomst van privacy en integriteit in de groeiende digitale economie.