Public Key Infrastructure
Når folk viser til offentlig or privat PKI [01], refererer de faktisk til offentlig klarert og privat pålitelig infrastrukturer. Husk at offentlige og private nøkler ikke er relatert til offentlige og private PKI.
I tillegg refererer begge tilfeller til hostet PKI or PKI-som-en-tjeneste (PKIaaS) -løsninger. Internt (eller lokalt vert) PKI kan jobbe som privat PKI, men det krever en betydelig mengde innsats og ressurser å implementere verktøyene og tjenestene du vil få fra en vert PKI or PKIaaS leverandør.
I utgangspunktet a PKI har to funksjoner:
- å administrere en samling av publikum[02] og private nøkler, og
- å binde hver nøkkel med identiteten til en individuell enhet, for eksempel en person eller organisasjon.
Innbinding etableres gjennom utstedelse av elektroniske identitetsdokumenter, kalt digitale sertifikater [03]. Sertifikater er kryptografisk signert med en privat nøkkel, slik at klientprogramvare (for eksempel nettlesere) kan bruke den tilhørende offentlige nøkkelen til å verifisere et sertifikats autentisitet (dvs. den ble signert med riktig privat nøkkel) og integritet (dvs. at den ikke ble endret på noen måte).
Offentlig klarert og privat klarert PKI
Mens begge deler PKI konfigurasjoner gir den samme funksjonen, skillet deres er ganske greit.
offentlig PKIs blir automatisk klarert av klientprogramvare, mens de er private PKIs må klareres manuelt av brukeren (eller i bedrifts- og IoT-miljøer, distribuert til alle enheter av domeneadministratoren) før sertifikater utstedt av det PKI kan valideres.
En organisasjon som opprettholder en offentlig klarert PKI kalles a Sertifiseringsinstans (CA). For å bli offentlig klarert, må en CA revideres mot standarder som CA / B Forums grunnlinjekrav [04] og bli akseptert i offentlige tillitsforretninger som Microsoft Trusted Root Store-programmet.
Selv om det er privat PKI implementeringer kan være like sikre som deres offentlige kolleger, de er ikke klarert som standard fordi de ikke er sannsynlig å overholde disse kravene og akseptert i tillitsprogrammer.
Hvorfor velge en offentlig klarert PKI?
Å være offentlig klarert betyr det offentlig klarert rotsertifikater (å knytte identiteten til en CA med deres offisielle offentlige nøkler) er allerede distribuert til de fleste klienter. Nettlesere, operativsystemer og annen klientprogramvare leveres med en innebygd liste over slike pålitelige offentlige nøkler som brukes til å validere sertifikater de møter. (Ansvarlige leverandører kan også forventes å oppdatere disse listene når du oppdaterer programvaren deres.) I motsetning til private pålitelige rotsertifikater (nødvendig for en privat PKI) må installeres manuelt i en klient før sertifikater fra slike private PKIs kan valideres.
Som en konsekvens, hvis du prøver å beskytte et offentlig tilgjengelig nettsted eller en annen online ressurs, utstedes et sertifikat fra en offentlig klarert PKI (dvs. en CA) er veien å gå, siden det krever at hver besøkende manuelt installerer en privatperson PKIRotsertifikatet i nettleseren er ikke praktisk (og de konsekvente sikkerhetsadvarslene som kan oppstå vil påvirke nettstedets omdømme negativt).
Hvorfor velge en privat betrodd PKI?
offentlig PKIs må strengt følge forskrifter og gjennomgå regelmessige revisjoner, mens de er privat tillit til PKI kan avstå fra revisjonskrav og avvike fra standarder på noen måte som operatøren ser passende. Selv om dette kan bety at de ikke følger beste praksis så strengt, tillater det også kunder å bruke en privatperson PKI mer frihet når det gjelder sertifikatpolicyer og operasjoner.
Et eksempel: Baseline Krav forbyr offentlig pålitelige CAer å utstede sertifikater for interne domener (f.eks example.local). En privat PKI kan om ønskelig utstede sertifikater for ethvert domene etter behov, inkludert slike lokale domener.
Offentlig klarerte sertifikater må også alltid inneholde spesifikk informasjon på en måte som er strengt definert i deres kontrollbestemmelser og formatert i en sertifikatprofiltilordning til den aksepterte X.509-standarden for offentlige sertifikater. Noen kunder kan imidlertid kreve en tilpasset sertifikatprofil, spesielt tilpasset organisasjonens forventede bruksområder og sikkerhetsproblemer. En privat PKI kan utstede sertifikater ved hjelp av en spesialisert sertifikatprofil.
Bortsett fra selve sertifikatet, privat PKI tillater også full kontroll av identitets- og legitimasjonsbekreftelsesprosedyrene. En kundes egne tilgangskontrollsystemer (for eksempel enkeltpålogging eller LDAP-kataloger) kan integreres med det private PKI service for enkelt å gi sertifikater til parter som allerede er klarert av operatøren. I kontrast, en offentlig klarert PKI må utføre strenge manuelle og automatiserte kontroller og validering mot kvalifiserte databaser før du utsteder noe sertifikat.
Sertifikatgjennomsiktighet
Vi bør også merke oss at en privat PKI er ikke pålagt å delta i Sertifikatgjennomsiktighet [05].
Nettlesere som Chrome håndhever nå [06] CT for alle offentlig pålitelige sertifikater, som krever at sertifiseringsinstanser skal publisere alle sertifikater utstedt til en offentlig tilgjengelig database. Privat PKI operatører er imidlertid ikke forpliktet til å implementere CT, og kan som et resultat gi bedre personvern for sensitive applikasjoner, eller der offentlig utlevering av intern nettverksstruktur vil bli ansett som skadelig [07].
konklusjonen
Velger en PKI løsning over den andre er ikke en bagatellmessig beslutning. Både offentlige og private PKI tilby fordeler og ulemper, og ditt eget valg kan avhenge av mange faktorer, inkludert behov for offentlig tilgang, brukervennlighet og krav til sikkerhet og policy for kontroll av infrastrukturen din.
her på SSL.com, hjelper vi deg med å bygge en effektiv PKI plan som passer organisasjonens unike behov.
