Infrastructuur met openbare sleutels (PKI) als term beschrijft systemen en componenten die worden gebruikt bij het beveiligen van internetcommunicatie en -transacties. Dit artikel behandelt een uitsplitsing op hoog niveau van de verschillende PKI componenten en hoe ze op elkaar inwerken in de PKI ecosysteem. Als u een bedrijfseigenaar bent die uw cyberbeveiliging wil verbeteren of gewoon iemand die geïnteresseerd is in Public Key Infrastructure, dan zal dit stuk u enkele praktische en gegronde voorbeelden geven.
Waar is PKI gebruikt?
Discussies van PKI zal snel naar jou leiden SSL (Secure Socket Layer)/TLS (Transportlaagbeveiliging), waarvoor een privésleutel en een openbare sleutel vereist zijn. De privésleutel wordt bewaard op de webserver. De openbare sleutel is ingebed in het SSL-certificaat. Wanneer je een website bezoekt en je ziet dat slotje links van de adresbalk, en de URL zegt: "HTTPS" (in tegenstelling tot HTTP), zal uw browser automatisch die openbare sleutel samen met het certificaat downloaden, wat bevestigt dat de website inderdaad is wie hij zich voorstelt te zijn. Als er iets is dat deze uitwisseling niet heeft doorstaan, geeft de browser u een foutmelding. De browser doorloopt deze uitwisseling van certificaten en sleutels in een fractie van een seconde.
De privésleutel wordt bewaard op de webserver. Dat mag door niemand anders dan geautoriseerd personeel op de website worden ontdekt. De openbare sleutel wordt aan u, mij en alle anderen in het algemeen gedistribueerd.
Hoe werkt PKI werken in een browser?
De privésleutel en de openbare sleutel zijn een paar. Laten we zeggen dat Bob een privésleutel heeft en Sally en Joe de openbare sleutel. Sally en Joe kunnen niet met elkaar communiceren omdat ze allebei de publieke sleutel hebben. Bob weet dat welke boodschap hij ook krijgt, afkomstig is van iemand die de publieke sleutel heeft.
Hoe weten Sally en Joe dat ze communiceren met iemand die zichzelf Bob noemt? Dit is waar certificaten binnenkomen om te spelen. Om Sally en Joe te laten weten dat ze daadwerkelijk contact hebben met Bob, zal zijn certificaat dat bevestigen. Het certificaat is ondertekend door een certificeringsinstantie zoals SSL.com en wordt vertrouwd op elk platform dat ze gebruiken, in dit geval een browser.
Public key en private key zijn rekenintensief. Om een comfortabel coderingsniveau te krijgen met de huidige computertechnologie, zijn de groottes van openbare sleutels minimaal 2048 bits. Je kunt ze krijgen tot 4096, wat veel intensiever is. Het is veiliger, maar er is een punt van afnemende meeropbrengsten. 2048 is wat de meeste mensen gebruiken. Met geheime sleutel daarentegen kun je dat met 256 bits opbrengen.
Wat is de SSL-handshake?
An SSL /TLS handdruk is een onderhandeling tussen twee partijen op een netwerk - zoals een browser en webserver - om de details van hun verbinding vast te stellen. Het bepaalt welke versie van SSL /TLS wordt gebruikt in de sessie, welke coderingssuite de communicatie zal versleutelen, de server verifieert (en soms ook het klant), en stelt vast dat er een beveiligde verbinding is voordat gegevens worden overgedragen. Jij kunt lezen meer details in onze gids.
Hoe werkt PKI beveiligde e-mail inschakelen?
Tot op zekere hoogte is de SSL/TLS handdruk geldt ook voor Veilige/multifunctionele e-mailextensies voor internet (S/MIME). Het is niet zo dat u naar de website gaat en het certificaat haalt. Met de SSL-handshake duurt het een sessie, zeg vijf minuten, en dan is het verkeer weg. Wanneer je het doet met S/MIME, het is hetzelfde concept, maar uw e-mails kunnen jaren meegaan.
Om te illustreren hoe: PKI helpt bij het veilig maken van e-mailuitwisselingen, laten we de vorige tekens opnieuw gebruiken. Sally stuurt Bob haar openbare sleutel in een... S/MIME certificaat en ze krijgt de e-mail van Bob binnen een S/MIME ook certificaat. En aangezien ze allebei hun privésleutel hebben, kunnen ze versleutelde e-mail met elkaar doen. Een S/MIME certificaat staat u toe om e-mails met meerdere partijen te doen, zolang u die van iedereen heeft S/MIME certificaten in een groep, je kunt iedereen e-mailen en zij kunnen hetzelfde bij jou doen. Als u een algemene e-mailclient gebruikt en u probeert versleutelde e-mail naar een groep mensen te sturen, moet u doorgaans worden gewaarschuwd als u geen S/MIME voor een specifieke persoon, in welk geval u de e-mail niet kunt versleutelen.
Hoe werkt versleuteling en authenticatie in S/MIME?
Laten we ook een onderscheid maken tussen encryptie en authenticatie. Als ik om je vraag S/MIME en je vraagt om mijn S/MIME, kunnen we versleutelde e-mail verzenden. Als ik echter mijn e-mail onderteken met mijn S/MIME certificaat en stuur het naar u, ik kan een e-mail ondertekenen en het zal worden gecodeerd, maar u weet dat het van mij kwam.
Dus als ik een S/MIME certificaat uitgegeven door SSL.com en ik onderteken mijn e-mail en ik stuur het naar u en u stuurt mij niet uw S/MIME certificaat, kunnen we geen versleutelde e-mail verzenden en decoderen. Maar je kunt nog steeds zien dat mijn e-mail is ondertekend met een S/MIME certificaat uitgegeven door SSL.com en moet de naam van de afzender vermelden, informatie die is gevalideerd.
Informatie die niet gevalideerd kan worden, staat niet op het certificaat. Als het een openbaar vertrouwd certificaat is, wat betekent dat het wordt vertrouwd door populaire platforms, moet het worden gevalideerd volgens de basisvereisten, de minimumnormen die zijn samengesteld door het CA-browserformulier.
Wat zijn PKI certificaten?
Hoe wordt een publieke sleutel daar verspreid en hoe koppel je er een identiteit aan? Het gaat via een certificaat. En dat is wat een certificeringsinstantie doet, het geeft certificaten uit die u aan een openbare sleutel kunt koppelen en deze kunt distribueren.
Er zijn bepaalde normen waaraan moet worden voldaan om een certificaat af te geven. De certificeringsinstantie moet begrijpen dat u recht hebt op dat certificaat en alle informatie die in dat certificaat is ingesloten. En daarom, wanneer we dat certificaat uitgeven, wordt het vertrouwd door de browsers.
Wat is een X.509 PKI certificaat?
X.509 is als een stamcel. Het is eigenlijk een formaat met bepaalde velden. Voordat je weet wat voor soort certificaat het is, begint het als deze zygote. Voordat iemand een SSL-certificaat wordt, zijn er bepaalde regels over welke informatie hier kan worden ingevuld. Hetzelfde met S/MIME, Code Signing, Document Signing, Client Authentication en andere certificaten die in de toekomst kunnen verschijnen. Met uitzondering van SAN vormen de volgende velden de Distinguished Name van het onderwerp.
- Gewone naam (CN) - dit is meestal wat wordt weergegeven als het onderwerp van het certificaat. Bij een SSL-certificaat verwijst dit naar de domeinnaam. Het moet wereldwijd ondersteunde domeinextensies op het hoogste niveau hebben (bijv. .com; .net; .io). Er zijn er nu letterlijk honderden, misschien duizenden, en we moeten dat allemaal kunnen opvangen.
- Organisatie (O) – de eigenaar van het bedrijf of de website
- Organizational Unit (OU) - dit zou zoiets zijn als een afdeling: IT, Finance, Human Resources
- Plaats (L) - eigenlijk een stad
- Staat (ST) – de regionale locatie, ook wel provincie genoemd, afhankelijk van het land
- Land (C) – de landcode
- Subject Alternative Name (SAN) – een uitbreiding op X.509 die dient om die hostnamen te identificeren die zijn beveiligd met één SSL-certificaat.
Wat zijn de componenten van de PKI Ecosysteem?
- De certificeringsinstantie is een bedrijf dat vertrouwde certificaten uitgeeft die zijn goedgekeurd op een groot aantal platforms, meestal browsers: Google Chrome, Safari, Firefox, Opera, 360. In de context van PKI, CA betekent het uitgevende bedrijf of mechanisme dat het certificaat uitgeeft.
- De Registratieautoriteit - dit zal meestal de validatie uitvoeren. Het zal een groot deel van het voorbereidende werk doen en zodra dat allemaal is voltooid, stuurt het het verzoek naar de CA voor uitgifte van het certificaat. De RA kan ook een bedrijf, een app of een onderdeel zijn.
- Leverancier – dit is de browser
- Abonnee – de website-eigenaar die het certificaat koopt (dwz het bedrijf dat het certificaat voor zijn werknemers koopt)
- Relying Party – de persoon die uiteindelijk het certificaat opeet
Wat is een privé? PKI?
Kun je een gesloten hebben? PKI dat is niet publiekelijk vertrouwd? Ja, zoals IoT-apparaten in een gesloten omgeving. U kunt bijvoorbeeld Samsung en alleen Samsung-producten met elkaar laten praten: Tv's, telefoons, stereo's. In prive PKIs, kunnen apparaten van externe derden worden uitgesloten van communicatie met het interne systeem. Ze kunnen klein zijn, ze kunnen groot zijn. Er zijn PKIs die tientallen apparaten hebben en PKIs die miljoenen apparaten hebben.
Wat is de toekomst van? PKI?
De technologie evolueert. Gevallen van privé PKI zijn niet minder belangrijk dan het web PKI, want zelfs als een bedrijf gebruikmaakt van private PKI, is het nog steeds verstandig om samen te werken met een CA zoals SSL.com die jaarlijkse audits ondergaat en professionals heeft die toegewijd zijn aan het behoud van de integriteit van de privésleutels door ze te vergrendelen en offline te houden.
Thij meer de PKI ecosysteem discussies heeft over de basisvereisten, hoe moeilijker het is om deze technologie te vervangen. U kunt de certificaten plaatsen en installeren bij de domeinregistratie, maar het beleid kan niet gemakkelijk worden overgezet.
Zelfs met kwantumcomputing aan de horizon en toekomstige veranderingen in de technologie, zal de behoefte aan veilige privacy en authenticatie niet verdwijnen. Als er nieuwe technologie komt, zal de industrie zich aanpassen. We zitten in de trustbusiness en dat zal niet verdwijnen.
