Infrastruktura klucza publicznego, powszechnie określana w skrócie PKI, stał się podstawowym elementem zabezpieczania komunikacji i transakcji online. Ale co dokładnie stanowi tę krytyczną strukturę bezpieczeństwa?
W swej istocie Public Key Infrastructure odnosi się do zasad, procedur, technologii i komponentów ułatwiających bezpieczny elektroniczny transfer informacji, transakcji i komunikacji między podmiotami, takimi jak osoby, urządzenia i systemy. Ma to na celu osiągnięcie tego za pomocą mechanizmów kryptograficznych w celu zapewnienia poufności, integralności, uwierzytelniania i niezaprzeczalności.
Centralne założenie opiera się na kryptografia asymetryczna, w szczególności szyfrowanie kluczem publicznym, oparte na matematycznie powiązanej parze kluczy kryptograficznych — kluczu prywatnym i kluczu publicznym. Te klucze szyfrują i odszyfrowują dane w taki sposób, że tylko drugi odpowiadający im klucz może uzyskać dostęp do treści. Więcej na ten temat później. Najpierw przyjrzyjmy się podstawowym komponentom, które stanowią kompletny PKI pomimo napiętego harmonogramu
Główne składniki PKI ekosystem
Funkcjonalny PKI łączy w sobie elementy techniczne, organizacyjne i proceduralne.
Urzędy certyfikacji (CA)
CA stanowią podstawę PKI. Wydają, odwołują i odnawiają cyfrowe certyfikaty tożsamości. Cyfrowy certyfikat zawiera informacje o podmiocie obok jego klucza publicznego. Zasadniczo cyfrowy certyfikat wiąże parę kluczy kryptograficznych używanych do szyfrowania komunikacji z potwierdzoną tożsamością, do której należy ta para kluczy. Urzędy certyfikacji, takie jak SSL.com, dokładnie weryfikują szczegóły przed cyfrowym podpisaniem tych certyfikatów w celu dystrybucji.
Certyfikat i wystawiający go urząd certyfikacji są zaufani przez użytkowników i systemy, które polegają na certyfikatach w celu bezpiecznej komunikacji. Wprowadza to zaufanie, ponieważ odbiorcy rozpoznają, że renomowany urząd certyfikacji zweryfikował posiadacza certyfikatu.
Zaufanie do urzędów certyfikujących i certyfikatów
Koncepcja „zaufania” w kontekście Urzędów Certyfikacji obraca się wokół zapewnienia, że dany certyfikat cyfrowy jest legalny i że podmiot wystawiający certyfikat jest tym, za kogo się podaje. Ta struktura zaufania jest kluczowa dla bezpiecznej komunikacji w Internecie, zwłaszcza w przypadku takich działań jak bankowość internetowa, zakupy i poufna komunikacja, gdzie weryfikacja autentyczności witryny lub usługi jest niezbędna.
Zaufanie publiczne
Zaufanie publiczne obejmuje certyfikaty wydawane przez CA, które są powszechnie uznawane i automatycznie zaufane przez główne firmy przeglądarek, deweloperów oprogramowania i systemy operacyjne. Zaufanie to jest ustanawiane, ponieważ CA przestrzega ścisłych zasad i procedur przed wydaniem certyfikatu, zapewniając, że podmiot żądający certyfikatu jest legalny i ma prawo do korzystania z danej domeny, stosowania podpisu cyfrowego o określonej nazwie lub w inny sposób reprezentować tożsamość przypisaną do funkcji kryptograficznej.
Zaufanie publiczne wynika z wytycznych i wymagań ustalonych przez organ normalizacyjny o nazwie Certificate Authority Browser Forum lub Forum CA / przeglądarki. CA/Browser Forum to dobrowolne konsorcjum urzędów certyfikacji, dostawców przeglądarek internetowych i innych zainteresowanych stron, które opracowują wytyczne regulujące wydawanie i zarządzanie tymi publicznie zaufanymi certyfikatami. Główne firmy przeglądarek i systemy operacyjne decydują, którym urzędom certyfikacji ufają i uwzględniają je w swoich zaufanych głównych magazynach certyfikatów. Jeśli urzędy certyfikacji nie znajdują się w tym magazynie zaufanych certyfikatów, użytkownicy mogą otrzymywać ostrzeżenia, że certyfikat nie jest zaufany.
Zaufanie prywatne
Prywatne zaufanie obejmuje certyfikaty wydane w zamkniętym ekosystemie, takim jak korporacyjny intranet lub kontrolowane środowisko, w którym zaangażowane podmioty mają bezpośrednią relację lub zaufanie do siebie. W takich scenariuszach organizacja może działać jako własny CA (Prywatny urząd certyfikacji) i wystawiać certyfikaty swoim użytkownikom, urządzeniom lub usługom. Certyfikaty te nie są koniecznie uznawane przez świat zewnętrzny, ale są w pełni ważne w ekosystemie organizacji.
Rozróżnienie zaufania publicznego i prywatnego
Podstawowy podział między zaufaniem publicznym i prywatnym leży w zakresie i uznawaniu wydanych certyfikatów. Publicznie zaufane urzędy certyfikacji mają swoje certyfikaty główne zawarte w zaufanych magazynach głównych przeglądarek i systemów operacyjnych, co umożliwia automatyczne zaufanie wydanym przez nie certyfikatom przez szerokie grono odbiorców bez dodatkowej konfiguracji.
Natomiast certyfikaty wydawane przez prywatny CA wymagają ręcznej konfiguracji zaufania w dowolnych systemach poza siecią prywatną, które chcą ufać tym certyfikatom. Nie są one automatycznie uznawane za zaufane przez szerszy internet i są głównie wykorzystywane do celów wewnętrznych, w których organizacja ma kontrolę nad stronami ufającymi.
Zarówno modele zaufania publicznego, jak i prywatnego odgrywają kluczową rolę w bezpieczeństwie internetu i wewnętrznym bezpieczeństwie organizacji, przy czym każdy z nich zaspokaja inne potrzeby w zależności od zakresu wymaganego zaufania i uznania.
PKI Hierarchia
CA dzielą się na dwie kategorie. Główne CA stanowią szczyt hierarchii, podczas gdy pośrednie CA dystrybuują certyfikaty pod nimi.
Organy rejestracyjne (RA)
RA weryfikują tożsamość i ustanawiają proces rejestracji przed żądaniem podpisanych certyfikatów od CA. RA zapewniają, że tylko uprawnione podmioty otrzymują certyfikaty na PKI wytyczne polityki. Obszerne kontrole tożsamości przed wygenerowaniem certyfikatu zwiększają zaufanie wśród interesariuszy.
Klucze kryptograficzne publiczne i prywatne
Ta matematycznie powiązana para umożliwia wewnętrzne działanie kryptograficzne PKI. Dane zaszyfrowane kluczem publicznym pozostają niedostępne bez odpowiadającego im klucza prywatnego do odszyfrowania. Dzięki temu dane pozostają poufne podczas transmisji. Podpisy cyfrowe podpisane kluczem prywatnym można zweryfikować odpowiadającym im kluczem publicznym do uwierzytelnienia tożsamości.
Aby zrozumieć różne rodzaje PKI wdrożeń i które mogą być odpowiednie dla Twojej organizacji, zapoznaj się z naszym przewodnikiem Prywatny a publiczny PKI Infrastruktura.
Certyfikaty cyfrowe
Certyfikat cyfrowy zawiera dane identyfikacyjne, takie jak nazwa, organizacja, lokalizacja i powiązany klucz publiczny. Certyfikat zawiera również podpis cyfrowy wystawiającego CA w celu zapewnienia o powiązanej tożsamości. Certyfikaty są zgodne z międzynarodowymi standardami X.509, aby umożliwić interoperacyjność między systemami.
Lista odwołania certyfikatów (CRL)
CRL zawiera listę numerów seryjnych certyfikatów odwołanych przez odpowiednie CA, wskazujących na zagrożone tożsamości. Podmioty sprawdzają listy CRL, aby upewnić się, że komunikują się tylko z certyfikatami, które są nadal ważne. Ta scentralizowana lista referencyjna ułatwia skuteczną dystrybucję odwołań.
Aby uzyskać więcej informacji na temat działania unieważniania certyfikatów i sposobu, w jaki organizacje dbają o swoje bezpieczeństwo, zapoznaj się z naszym kompleksowym przewodnikiem Listy odwołania certyfikatów (CRL).
Co to jest PKI Używany do?
PKI nie jest jedynie teoretyczną ramą — umożliwia ona stosowanie kilku powszechnie stosowanych technologii:
- Bezpieczna aktywność w sieci:HTTPS, SSL/TLS protokoły ustanawiające bezpieczne połączenia między przeglądarkami i serwerami wykorzystują PKI dla podstawowego szyfrowania opartego na certyfikatach cyfrowych i kryptografii klucza publicznego.
- Szyfrowanie i podpisywanie poczty elektronicznej:Wymiana poufnych informacji za pośrednictwem poczty e-mail wykorzystuje dźwignie PKI standardy poprzez takie typy certyfikatów jak S/MIME (Secure/Multipurpose Internet Mail Extensions) do szyfrowania i podpisywania wiadomości e-mail.
- Certyfikaty do podpisywania kodu:Stosuje podpis kryptograficzny do kodu oprogramowania, który zabezpiecza go przed nieautoryzowanymi zmianami i identyfikuje wydawcę.
- Uwierzytelnianie i kontrola dostępu:Mechanizmy uwierzytelniania oparte na certyfikatach dla dostępu do sieci VPN przedsiębiorstw i systemów wejścia do budynków zapewniają znacznie solidniejsze zabezpieczenia w porównaniu z protokołami identyfikator-hasło PKI metodologie.
- Transakcje Blockchain:Wszystkie transakcje w rejestrach blockchain obejmują transfer waluty cyfrowej poprzez podpisywanie za pomocą asymetrycznych kluczy kryptograficznych włączonych przez PKI zasady dotyczące powiązań matematycznych pomiędzy kluczami.
W miarę jak łączność cyfrowa rozwija się na całym świecie w różnych branżach, PKI pozostanie podstawowym elementem zapewniającym prywatność, zaufanie i bezpieczeństwo dzięki istniejącym standardom dotyczącym certyfikatów, zarządzania tożsamością i szyfrowania.
Jak działa PKI Praca?
Teraz, gdy rozumiemy kluczowe elementy PKI, możemy omówić jak wszystkie te elementy współdziałają.
- Generowanie par kluczy:Każda jednostka tworzy parę kluczy publicznego i prywatnego.
- Wydanie certyfikatu:Zaufany Urząd Certyfikacji (CA) weryfikuje tożsamość podmiotu i wydaje certyfikat cyfrowy zawierający klucz publiczny.
- Dystrybucja:Klucze publiczne i certyfikaty są rozpowszechniane, natomiast klucze prywatne pozostają tajne i powinny być przechowywane w bezpiecznym miejscu przez posiadacza certyfikatu.
- Szyfrowanie:Nadawcy używają klucza publicznego odbiorcy do szyfrowania wiadomości.
- Deszyfrowanie:Odbiorcy używają swojego klucza prywatnego do odszyfrowania wiadomości.
- Podpisy cyfrowe:Nadawcy podpisują wiadomości swoim kluczem prywatnym, który inni mogą zweryfikować za pomocą klucza publicznego nadawcy.
- Walidacja certyfikatu:Podmioty weryfikują certyfikaty za pomocą klucza publicznego urzędu certyfikacji przed uznaniem ich za wiarygodne.
System ten umożliwia bezpieczną komunikację, uwierzytelnianie i niezaprzeczalność w środowiskach cyfrowych.
Znaczenie PKI
W SSL.com widzieliśmy na własne oczy ogromną wartość PKI zapewnia bezpieczeństwo transmisji wrażliwych danych. Jako wiodący publicznie zaufany urząd certyfikacji, nadal jesteśmy zaangażowani w rozwój PKI standardów poprzez solidną weryfikację tożsamości, szybkie wydawanie certyfikatów i proaktywne monitorowanie infrastruktury.
Wraz z PKI elementy głęboko zintegrowane z nowoczesnym cyberbezpieczeństwem i tożsamością cyfrową. Przewidujemy, że odegrają one centralną rolę w przyszłości prywatności i integralności w rozwijającej się gospodarce cyfrowej.