Infrastruktur for offentlig nøkkel (PKI) som et begrep beskriver systemer og komponenter som brukes for å sikre internettkommunikasjon og transaksjoner. Denne artikkelen vil dekke en sammenbrudd på høyt nivå av de forskjellige PKI komponenter og hvordan de samhandler i PKI økosystem. Hvis du er en bedriftseier som ønsker å øke din cybersikkerhet eller bare noen som er interessert i offentlig nøkkelinfrastruktur, vil dette stykket gi deg noen praktiske og forankrede eksempler.
Hvor er PKI brukt?
Diskusjoner av PKI vil raskt lede til deg SSL (Secure Sockets Layer)/TLS (Transportlagsikkerhet), som krever en privat nøkkel og en offentlig nøkkel. Den private nøkkelen holdes på webserveren. Den offentlige nøkkelen er innebygd i SSL -sertifikatet. Når du besøker et nettsted og du ser den låsen til venstre for adresselinjen, og URL -adressen sier "HTTPS", (i motsetning til HTTP), vil nettleseren din automatisk laste ned den offentlige nøkkelen sammen med sertifikatet, som bekrefter at nettstedet faktisk er det det viser seg å være. Hvis det var noe som ikke passerte denne utvekslingen, vil nettleseren gi deg en advarsel om feil. Nettleseren går gjennom denne utvekslingen av sertifikater og nøkler i løpet av et splitsekund.
Den private nøkkelen holdes på webserveren. Det skal ikke oppdages av andre enn autorisert personell på nettstedet. Den offentlige nøkkelen distribueres til deg, meg, alle andre for øvrig.
Hvordan gjør PKI arbeide i en nettleser?
Den private nøkkelen og den offentlige nøkkelen er et par. La oss si at Bob har en privat nøkkel, og Sally og Joe har den offentlige nøkkelen. Sally og Joe kan ikke kommunisere med hverandre fordi de begge har den offentlige nøkkelen. Bob vet at hvilken melding han får, er fra noen som har den offentlige nøkkelen.
Hvordan vet Sally og Joe at de kommuniserer med noen som kaller seg Bob? Det er her sertifikater kommer inn for å spille. For at Sally og Joe skal vite at de faktisk samhandler med Bob, bekrefter sertifikatet hans det. Sertifikatet er signert av en sertifikatmyndighet som SSL.com, og det vil bli klarert på hvilken plattform de enn bruker, i dette tilfellet en nettleser.
Offentlig nøkkel og privat nøkkel er beregningsintensiv. For å få et komfortabelt krypteringsnivå med dagens datateknologi er størrelser på offentlige nøkkler minimum 2048 bits. Du kan få dem opp til 4096, noe som er mye mer intensivt. Det er sikrere, men det er et poeng med redusert avkastning. 2048 er det folk flest bruker. Med hemmelig nøkkel, derimot, kan du sette det opp med 256 bits.
Hva er SSL Handshake?
An SSL /TLS håndtrykk er en forhandling mellom to parter i et nettverk - for eksempel en nettleser og webserver - for å fastslå detaljene i forbindelsen. Den bestemmer hvilken versjon av SSL /TLS vil bli brukt i økten, hvilken krypteringspakke som vil kryptere kommunikasjon, verifiserer serveren (og noen ganger også kunde), og fastslår at en sikker tilkobling er på plass før dataoverføring. Du kan lese flere detaljer i vår guide.
Hvordan gjør PKI aktivere sikre e -poster?
Til en viss grad er SSL/TLS håndtrykk gjelder også for Sikre/flerbrukspostutvidelser for internett (S/MIME). Det er ikke helt som om du går til nettstedet og får sertifikatet. Med SSL -håndtrykket varer det en økt, si fem minutter, og så er trafikken borte. Når du gjør det med S/MIME, det er det samme konseptet, men e -postene dine kan vare i mange år.
For å illustrere hvordan PKI hjelper til med å gjøre e -postutvekslinger trygge, la oss bruke de forrige tegnene igjen. Sally sender Bob sin offentlige nøkkel i en S/MIME sertifikatet, og hun får Bobs e -post i en S/MIME sertifikat også. Og siden de begge har sin private nøkkel, kan de gjøre kryptert e -post med hverandre. An S/MIME sertifikat lar deg sende e-post fra flere parter så lenge du har alles S/MIME sertifikater i en gruppe, kan du sende e -post til alle, og de kan gjøre det samme med deg. Vanligvis, hvis du bruker en vanlig e -postklient, og du prøver å sende kryptert e -post til en gruppe mennesker, bør det advare deg hvis du ikke har S/MIME for en bestemt person, i så fall kan du ikke kryptere e -posten.
Hvordan fungerer kryptering og autentisering i S/MIME?
La oss også skille mellom kryptering og autentisering. Hvis jeg ber om din S/MIME og du ber om min S/MIME, kan vi sende kryptert e -post. Imidlertid, hvis jeg signerer e -posten min med min S/MIME sertifikatet og sende det over til deg, jeg kan signere en e -post, så blir det kryptert, men du vet at det kom fra meg.
Så hvis jeg får en S/MIME sertifikat utstedt av SSL.com, og jeg signerer e -posten min, og jeg sender den til deg, og du sender meg ikke din S/MIME sertifikat, vil vi ikke kunne sende og dekryptere kryptert e -post. Men du vil fortsatt kunne se at e -posten min var signert med en S/MIME sertifikat utstedt av SSL.com, og det skal stå avsenderens navn, informasjon som ble validert.
Informasjon som ikke kan valideres, vises ikke på sertifikatet. Hvis det er et offentlig godkjent sertifikat, noe som betyr at det er klarert av populære plattformer, må det valideres i henhold til grunnlinjekrav som er minimumsstandardene satt sammen av CA-nettleserskjemaet.
Hva er PKI sertifikater?
Hvordan distribueres en offentlig nøkkel der ute, og hvordan knytter du en identitet til den? Det er gjennom et sertifikat. Og det er det en sertifikatmyndighet gjør, den utsteder sertifikater som du kan knytte til en offentlig nøkkel og distribuere den.
Det er visse standarder som må følges for å kunne utstede et sertifikat. Sertifikatmyndigheten må forstå at du har rett til sertifikatet og all informasjon som er innebygd i sertifikatet. Og derfor, når vi utsteder det sertifikatet, blir det klarert av nettleserne.
Hva er en X.509 PKI sertifikat?
X.509 er som en stamcelle. Det er i utgangspunktet et format med visse felt. Før du vet hva slags sertifikat det er, begynner det som denne zygoten. Før man blir et SSL -sertifikat, er det visse regler for hvilken informasjon som kan fylles ut her. Samme med S/MIME, Kodesignering, Dokumentsignering, Klientgodkjenning og andre sertifikater som kan komme opp i fremtiden. Bortsett fra SAN, består følgende felt av Subject Distinguished Name.
- Felles navn (CN) - vanligvis er dette det som fremstår som emnet for sertifikatet. For et SSL -sertifikat refererer dette til domenenavnet. Den må ha globalt støttede toppdomeneutvidelser (dvs. .com; .net; .io). Det er bokstavelig talt hundrevis, kanskje tusenvis av dem nå, og vi må kunne imøtekomme alt dette.
- Organisasjon (O) - selskapet eller nettstedseieren
- Organisasjonsenhet (OU) - dette vil være omtrent som en avdeling: IT, økonomi, personalressurser
- Lokalitet (L) - i utgangspunktet en by
- Stat (ST) - den regionale beliggenheten, også kjent som provins, avhengig av land
- Land (C) - landskoden
- Subject Alternative Name (SAN) - en utvidelse til X.509 som tjener til å identifisere vertsnavnene som er sikret med ett SSL -sertifikat.
Hva er komponentene i PKI Økosystem?
- Certificate Authority- er et selskap som utsteder pålitelige sertifikater som er godkjent på en rekke plattformer, oftest nettlesere: Google Chrome, Safari, Firefox, Opera, 360. I sammenheng med PKI, CA betyr det utstedende selskapet eller mekanismen som utsteder sertifikatet.
- Registreringsmyndigheten - dette vil vanligvis gjøre valideringen. Det vil gjøre en haug med forarbeidene, og når alt som er fullført, sender det forespørselen til CA for utstedelse av sertifikatet. RA kan også være et selskap, en app eller en komponent.
- Leverandør - dette er nettleseren
- Abonnent - nettstedseieren som kjøper sertifikatet (dvs. selskapet som kjøper sertifikatet for sine ansatte)
- Stolende part - personen til slutt som bruker sertifikatet
Hva er en privatperson PKI?
Kan du ha en lukket PKI det er ikke offentlig tillit? Ja, for eksempel IoT -enheter i et lukket miljø. For eksempel kan du få Samsung og bare Samsung -produkter får snakke med hverandre: TVer, telefoner, stereoanlegg. Privat PKIs, kan enheter fra eksterne tredjeparter hindres i å kommunisere med det interne systemet. De kan være små, de kan være store. Det er PKIs som har dusinvis av enheter og PKIsom har millioner av enheter.
Hva er fremtiden til PKI?
Teknologien utvikler seg. Forekomster av private PKI er ikke mindre viktige enn nettet PKI, fordi selv om et selskap bruker privat PKI, er det fortsatt lurt å samarbeide med en CA som SSL.com som gjennomgår årlige revisjoner og har fagfolk som er dedikert til å bevare integriteten til de private nøklene ved å låse dem unna og holde dem frakoblet.
Than mer PKI økosystem har diskusjoner om grunnlinjekravene, jo vanskeligere er det å erstatte denne teknologien. Du kan sette sertifikatene og installere dem ved domeneregistreringen, men retningslinjene kan ikke lett overføres.
Selv med kvanteberegning i horisonten og fremtidige endringer i teknologien, vil ikke behovet for sikkert personvern og autentisering forsvinne. Hvis ny teknologi kommer, vil industrien tilpasse seg. Vi er i tillitsbransjen, og det er ikke i ferd med å forsvinne.