Public Key Infrastructure, vanligvis forkortet som PKI, har blitt en kjernekomponent for å sikre nettbasert kommunikasjon og transaksjoner. Men hva utgjør dette kritiske sikkerhetsrammeverket?
I sin essens refererer en offentlig nøkkelinfrastruktur til retningslinjer, prosedyrer, teknologier og komponenter som letter sikker elektronisk overføring av informasjon, transaksjoner og kommunikasjon mellom enheter som enkeltpersoner, enheter og systemer. Den har som mål å oppnå dette gjennom kryptografiske mekanismer for å sikre konfidensialitet, integritet, autentisering og ikke-avvisning.
Det sentrale premisset er avhengig av asymmetrisk kryptografi, spesielt offentlig nøkkelkryptering, basert på et matematisk koblet kryptografisk nøkkelpar – en privat nøkkel og en offentlig nøkkel. Disse nøklene krypterer og dekrypterer data på en måte som bare den andre korresponderende nøkkelen kan få tilgang til innholdet. Mer om dette senere. La oss først undersøke kjernekomponentene som utgjør en komplett PKI system.
Hovedkomponentene i en PKI Økosystem
En funksjonell PKI har en kombinasjon av tekniske, organisatoriske og prosedyremessige elementer.
Sertifiseringsinstanser (CAer)
CAer danner grunnlaget for PKI. De utsteder, tilbakekaller og fornyer digitale identitetssertifikater. Et digitalt sertifikat inneholder informasjon om en enhet ved siden av dens offentlige nøkkel. I hovedsak binder det digitale sertifikatet et kryptografisk nøkkelpar som brukes til å kryptere kommunikasjon til en validert identitet som nøkkelparet tilhører. CA-er, for eksempel SSL.com, verifiserer detaljene grundig før de signerer disse sertifikatene digitalt for distribusjon.
Et sertifikat og CA som utsteder det er klarert av brukerne og systemene som er avhengige av sertifikatene for sikker kommunikasjon. Dette introduserer tillit ettersom mottakere anerkjenner at en anerkjent CA har validert sertifikatinnehaveren.
Trust of Certificate Authorities and Certificates
Konseptet "tillit" i sammenheng med sertifiseringsinstanser dreier seg om forsikringen om at et gitt digitalt sertifikat er legitimt og at enheten som presenterer sertifikatet er den de utgir seg for å være. Dette tillitsrammeverket er avgjørende for sikker kommunikasjon på internett, spesielt for aktiviteter som nettbank, shopping og konfidensiell kommunikasjon, der det er viktig å verifisere ektheten til et nettsted eller en tjeneste.
Offentlig tillit
Offentlig tillit innebærer sertifikater utstedt av CAer som er allment anerkjent og automatisk klarert av store nettleserselskaper, programvareutviklere og operativsystemer. Denne tilliten er etablert fordi CA følger strenge retningslinjer og prosedyrer før utstedelse av et sertifikat, og sikrer at enheten som ber om sertifikatet er legitim og har rett til å bruke det aktuelle domenet, bruke en digital signatur med et spesifikt navn eller på annen måte representere en identitet knyttet til en kryptografisk funksjon.
Offentlig tillit stammer fra retningslinjene og kravene satt av et standardorgan kalt Certificate Authority Browser Forum eller CA / Browser Forum. CA/Browser Forum er et frivillig konsortium av sertifiseringsmyndigheter, nettleserleverandører og andre interesserte parter som utvikler retningslinjer som styrer utstedelse og administrasjon av disse offentlig pålitelige sertifikatene. Store nettleserbedrifter og operativsystemer bestemmer hvilke CAer de stoler på og inkluderer disse i deres pålitelige rotsertifikatlagre. Hvis en CA ikke er i dette klareringslageret, kan brukere motta advarsler om at sertifikatet ikke er klarert.
Privat tillit
Privat tillit innebærer sertifikater utstedt innenfor et lukket økosystem, for eksempel et bedriftsintranett eller et kontrollert miljø der de involverte enhetene har et direkte forhold eller tillit til hverandre. I disse scenariene kan en organisasjon fungere som sin egen CA (Privat CA) og utstede sertifikater til sine brukere, enheter eller tjenester. Disse sertifikatene er ikke nødvendigvis anerkjent av omverdenen, men er fullt gyldige innenfor organisasjonens økosystem.
Avgrensning mellom offentlig og privat tillit
Den primære avgrensningen mellom offentlig og privat tillit ligger i omfanget og anerkjennelsen av de utstedte sertifikatene. Offentlig pålitelige CA-er har rotsertifikatene sine inkludert i de klarerte butikkene til store nettlesere og operativsystemer, noe som gjør at de utstedte sertifikatene automatisk kan stoles på av et bredt publikum uten ekstra konfigurasjon.
I motsetning til dette krever sertifikater utstedt av en privat CA manuell klareringskonfigurasjon i alle systemer utenfor det private nettverket som ønsker å stole på disse sertifikatene. Disse blir ikke automatisk klarert av det bredere internett og brukes hovedsakelig til interne formål der organisasjonen har kontroll over de tillitsfulle partene.
Både offentlige og private tillitsmodeller spiller avgjørende roller i internettsikkerhet og intern sikkerhet i organisasjoner, og hver av dem dekker ulike behov basert på omfanget av tillit og anerkjennelse som kreves.
PKI hierarki
CA-er kommer i to kategorier. Rot-CAer utgjør toppen av hierarkiet, mens mellomliggende CAer distribuerer sertifikater under dem.
Registreringsmyndigheter (RA)
RA-er bekrefter identiteten og etablerer registreringsprosessen før de ber om signerte sertifikater fra CAer tilsvarende. RA sikrer at kun legitime enheter mottar sertifikater pr PKI retningslinjer. De omfattende identitetskontrollene før sertifikatgenerering øker tilliten blant interessenter.
Offentlige og private kryptografiske nøkler
Dette matematisk koblede paret muliggjør den indre kryptografiske funksjonen til PKI. Data kryptert med den offentlige nøkkelen forblir utilgjengelige uten den tilsvarende private nøkkelen for dekryptering. Dette opprettholder konfidensielle data under overføringer. Digitale signaturer signert med en privat nøkkel kan verifiseres med den tilsvarende offentlige nøkkelen for identitetsautentisering.
Å forstå de forskjellige typene PKI implementeringer og som kan være riktig for din organisasjon, sjekk ut veiledningen vår om Privat vs offentlig PKI Infrastruktur.
Digitale sertifikater
Det digitale sertifikatet inneholder identifiserende detaljer som navn, organisasjon, plassering og den tilhørende offentlige nøkkelen. Sertifikatet har også den digitale signaturen til den utstedende CA for forsikringer rundt den bundne identiteten. Sertifikater er i samsvar med X.509 internasjonale standarder for å muliggjøre interoperabilitet på tvers av systemer.
Liste over tilbakekall av sertifikater (CRL)
CRL-en inneholder en liste over sertifikatserienumre som er tilbakekalt av respektive CA-er, som indikerer kompromitterte identiteter. Enheter krysssjekker CRL-er for å sikre at de bare kommuniserer med sertifikater som fortsatt er gyldige. Denne sentraliserte referanselisten letter effektiv distribusjon av tilbakekall.
For mer informasjon om hvordan tilbakekalling av sertifikater fungerer og hvordan organisasjoner opprettholder sikkerheten, se vår omfattende veiledning til Sertifikat tilbakekallingslister (CRL).
Hva er PKI Brukt til?
PKI er ikke bare et teoretisk rammeverk – det muliggjør flere vanlige teknologier:
- Sikker nettaktivitet: HTTPS, SSL/TLS protokoller som etablerer sikre forbindelser mellom nettlesere og servere benytter PKI for den underliggende krypteringen drevet av digitale sertifikater og offentlig nøkkelkryptering.
- E-postkryptering og signering: Sensitiv informasjonsutveksling via e-post PKI standarder gjennom sertifikattyper som S/MIME (Secure/Multipurpose Internet Mail Extensions) for å kryptere og signere e-poster.
- Kodesigneringssertifikater: Bruker en kryptografisk signatur på programvarekode som forsegler den mot uautoriserte endringer og identifiserer utgiveren.
- Godkjenning og tilgangskontroll: Sertifikatbaserte autentiseringsmekanismer for bedrifts VPN-tilgang og bygningsadgangssystemer gir langt mer robust sikkerhet over ID-passordprotokoller gjennom PKI metoder.
- Blokkjedetransaksjoner: Alle transaksjoner på blokkjede-reskontro involverer digital valutaoverføring ved å signere gjennom asymmetriske kryptografinøkler aktivert av PKI prinsipper rundt matematisk kobling mellom nøkler.
Ettersom digital tilkobling vokser globalt på tvers av bransjer, PKI vil forbli et grunnleggende element som muliggjør personvern, tillit og sikkerhet gjennom eksisterende standarder rundt sertifikater, identitetsadministrasjon og kryptering.
Hvordan gjør PKI Arbeid?
Nå som vi forstår nøkkelkomponentene i PKI, kan vi diskutere hvordan alle disse komponentene fungerer sammen.
- Generering av nøkkelpar: Hver enhet oppretter et offentlig og privat nøkkelpar.
- Utstedelse av sertifikat: En klarert sertifiseringsinstans (CA) bekrefter enhetens identitet og utsteder et digitalt sertifikat som inneholder den offentlige nøkkelen.
- Distribusjon: Offentlige nøkler og sertifikater distribueres, mens private nøkler forblir hemmelige og bør oppbevares trygt av sertifikatinnehaveren.
- kryptering: Avsendere bruker mottakerens offentlige nøkkel for å kryptere meldinger.
- dekryptering: Mottakere bruker sin private nøkkel til å dekryptere meldinger.
- Digitale signaturer: Avsendere signerer meldinger med sin private nøkkel, som kan verifiseres av andre ved å bruke avsenderens offentlige nøkkel.
- Sertifikatvalidering: Enheter verifiserer sertifikater ved å bruke CAs offentlige nøkkel før de stoler på dem.
Dette systemet muliggjør sikker kommunikasjon, autentisering og ikke-avvisning i digitale miljøer.
Viktigheten av PKI
På SSL.com har vi sett den enorme verdien PKI leverer i sikring av sensitiv dataoverføring. Som en ledende offentlig pålitelig sertifiseringsinstans er vi fortsatt forpliktet til å gå videre PKI standarder gjennom robust identitetsverifisering, rask sertifikatutstedelse og proaktiv infrastrukturovervåking.
Med PKI elementer som er dypt integrert i moderne cybersikkerhet og digital identitet, ser vi for oss dens sentrale rolle i fremtiden for personvern og integritet på tvers av den ekspanderende digitale økonomien.