Co to jest PKI?

Blog

Infrastruktura klucza publicznego (PKI) jako termin opisujący systemy i komponenty wykorzystywane do zabezpieczania komunikacji i transakcji internetowych. W tym artykule omówimy ogólny podział różnych PKI komponenty i jak wchodzą w interakcję PKI ekosystem. Jeśli jesteś właścicielem firmy, który chce wzmocnić swoje cyberbezpieczeństwo lub po prostu kimś, kto interesuje się infrastrukturą klucza publicznego, ten artykuł dostarczy Ci praktycznych i ugruntowanych przykładów.  

 

Gdzie jest PKI używany?

Dyskusje na temat PKI szybko do Ciebie zaprowadzi SSL (warstwa bezpiecznych gniazd)/TLS (Zabezpieczenia warstwy transportowej), które wymagają klucza prywatnego i klucza publicznego. Klucz prywatny jest przechowywany na serwerze WWW. Klucz publiczny jest osadzony w certyfikacie SSL. Kiedy odwiedzasz witrynę i widzisz kłódkę po lewej stronie paska adresu, a adres URL mówi „HTTPS” (w przeciwieństwie do HTTP), Twoja przeglądarka automatycznie pobierze ten klucz publiczny wraz z certyfikatem, co potwierdza, że ​​witryna rzeczywiście jest tym, za kogo się przedstawia. Jeśli było coś, co nie przeszło tej wymiany, przeglądarka wyświetli ostrzeżenie o błędzie. Przeglądarka przechodzi przez tę wymianę certyfikatów i kluczy w ciągu ułamka sekundy. 

Klucz prywatny jest przechowywany na serwerze WWW. Tego nie może odkryć nikt inny niż upoważniony personel na stronie internetowej. Klucz publiczny jest rozdawany tobie, mnie i wszystkim innym.

Jak działa PKI pracować w przeglądarce?

Klucz prywatny i klucz publiczny to para. Załóżmy, że Bob ma klucz prywatny, a Sally i Joe mają klucz publiczny. Sally i Joe nie mogą się ze sobą komunikować, ponieważ oboje mają klucz publiczny. Bob wie, że każda wiadomość, którą otrzymuje, pochodzi od kogoś, kto ma klucz publiczny.

Skąd Sally i Joe wiedzą, że komunikują się z kimś, kto nazywa siebie Bobem? Tutaj do gry wchodzą certyfikaty. Aby Sally i Joe wiedzieli, że faktycznie kontaktują się z Bobem, jego certyfikat to potwierdzi. Certyfikat jest podpisany przez urząd certyfikacji, taki jak SSL.com, i będzie zaufany niezależnie od używanej platformy, w tym przypadku przeglądarki.

Klucz publiczny i klucz prywatny wymagają dużej mocy obliczeniowej. Aby uzyskać wygodny poziom szyfrowania przy dzisiejszej technologii obliczeniowej, klucze publiczne mają rozmiar co najmniej 2048 bitów. Możesz uzyskać ich do 4096, co jest znacznie bardziej intensywne. Jest bezpieczniejszy, ale istnieje punkt malejących zysków. 2048 jest tym, czego używa większość ludzi. Z drugiej strony za pomocą tajnego klucza można to pogodzić z 256 bitami.

Co to jest uzgadnianie SSL?

An SSL /TLS uścisk ręki to negocjacje między dwoma stronami w sieci - takiej jak przeglądarka i serwer WWW - w celu ustalenia szczegółów ich połączenia. Określa, która wersja SSL /TLS zostanie użyty w sesji, której zestaw szyfrów zaszyfruje komunikację, zweryfikuje serwer (a czasem także klient) i ustala, że ​​przed przesłaniem danych istnieje bezpieczne połączenie. Możesz czytać więcej szczegółów w naszym poradniku.

SSL /TLS Uścisk dłoni: przegląd - SSL.com

 

 

Jak działa PKI włączyć bezpieczne e-maile?

Do pewnego stopnia SSL/TLS uścisk dłoni dotyczy również Bezpieczne/wielofunkcyjne rozszerzenia poczty internetowej (S/MIME). To nie jest tak, że wchodzisz na stronę i otrzymujesz certyfikat. W przypadku uzgadniania SSL trwa sesję, powiedzmy pięć minut, a następnie ruch znika. Kiedy robisz to z S/MIME, to ta sama koncepcja, ale Twoje e-maile mogą trwać latami.

Aby zilustrować jak PKI pomaga w zapewnieniu bezpieczeństwa wymiany e-maili, użyjmy ponownie poprzednich znaków. Sally wysyła Bobowi swój klucz publiczny w S/MIME certyfikat, a ona otrzyma e-mail Boba w ciągu S/MIME certyfikat również. A ponieważ oboje mają swój klucz prywatny, mogą ze sobą szyfrować wiadomości e-mail. jakiś S/MIME certyfikat pozwala na wysyłanie wielostronnych e-maili, o ile masz wszystkie S/MIME certyfikaty w grupie, możesz wysłać e-mail do wszystkich i oni mogą zrobić to samo z Tobą. Zazwyczaj, jeśli używasz zwykłego klienta poczty e-mail i próbujesz wysłać zaszyfrowaną wiadomość e-mail do grupy osób, powinien ostrzegać, jeśli nie masz S/MIME dla konkretnej osoby, w takim przypadku nie będziesz w stanie zaszyfrować wiadomości e-mail. 

Jak wygląda szyfrowanie i uwierzytelnianie? S/MIME?

Zróbmy również rozróżnienie między szyfrowaniem a uwierzytelnianiem. Jeśli poproszę o twoje S/MIME i prosisz o moje S/MIME, możemy wysyłać zaszyfrowane wiadomości e-mail. Jeśli jednak podpiszę swój adres e-mail za pomocą mojego S/MIME i wysłać go do Ciebie, mogę podpisać wiadomość e-mail i będzie ona zaszyfrowana, ale wiesz, że pochodzi ode mnie.  

Więc jeśli dostanę? S/MIME certyfikat wystawiony przez SSL.com i podpisuję maila i wysyłam go do Ciebie, a Ty nie wysyłasz mi swojego S/MIME certyfikat, nie będziemy mogli wysyłać ani odszyfrowywać zaszyfrowanych wiadomości e-mail. Ale nadal będziesz mógł zobaczyć, że mój e-mail został podpisany za pomocą S/MIME certyfikat wydany przez SSL.com i powinien zawierać nazwę nadawcy, informacje, które zostały zweryfikowane.

Informacje, których nie można zweryfikować, nie pojawiają się na certyfikacie. Jeśli jest to publicznie zaufany certyfikat, co oznacza, że ​​jest zaufany przez popularne platformy, musi zostać zweryfikowany zgodnie z podstawowymi wymaganiami, które są minimalnymi standardami określonymi przez formularz przeglądarki CA.  

Jakie są PKI certyfikaty?

W jaki sposób rozpowszechniany jest klucz publiczny i jak dołącza się do niego tożsamość? To poprzez certyfikat. I to właśnie robi urząd certyfikacji, wydaje certyfikaty, które można dołączyć do klucza publicznego i rozpowszechniać.

Istnieją pewne normy, których należy przestrzegać, aby wydać certyfikat. Urząd certyfikacji musi zrozumieć, że masz prawo do tego certyfikatu i wszelkich informacji zawartych w tym certyfikacie. Dlatego kiedy wystawiamy ten certyfikat, przeglądarki ufają mu. 

Co to jest X.509 PKI certyfikat?

 X.509 jest jak komórka macierzysta. Jest to w zasadzie format z określonymi polami. Zanim dowiesz się, jaki to jest certyfikat, zaczyna się jako ta zygota. Zanim zostanie się certyfikatem SSL, istnieją pewne zasady dotyczące tego, jakie informacje można tutaj wypełnić. To samo z S/MIME, podpisywanie kodu, podpisywanie dokumentów, uwierzytelnianie klienta i inne certyfikaty, które mogą pojawić się w przyszłości. Z wyjątkiem SAN, następujące pola składają się na nazwę wyróżniającą podmiotu.

  • Nazwa zwyczajowa (CN) – zazwyczaj jest to przedmiot certyfikatu. W przypadku certyfikatu SSL odnosi się to do nazwy domeny. Musi mieć obsługiwane globalnie rozszerzenia domen najwyższego poziomu (tj. .com; .net; .io). Jest ich teraz dosłownie setki, może tysiące i musimy być w stanie to wszystko pomieścić.
  • Organizacja (O) – właściciel firmy lub strony internetowej
  • Jednostka organizacyjna (OU) – byłaby to coś w rodzaju działu: IT, Finanse, Zasoby Ludzkie
  • Miejscowość (L) – w zasadzie miasto
  • Stan (ST) – lokalizacja regionalna, w zależności od kraju nazywana również prowincją
  • Kraj (C) – kod kraju
  • Alternatywna nazwa podmiotu (SAN) – rozszerzenie do X.509 służące do identyfikacji tych nazw hostów, które zostały zabezpieczone jednym certyfikatem SSL.
Zgodnie z wynikami głosowania SC47V2, forum urzędu certyfikacji/przeglądarki (CA/B) zagłosowało za wycofaniem pola jednostki organizacyjnej (OU) dla publicznego protokołu SSL/TLS zaświadczenia, z terminem ustalonym na 1 września 2022 r.

Jakie są składniki PKI Ekosystem?

  • Urząd Certyfikacji – to firma, która wydaje zaufane certyfikaty, które są zatwierdzone na różnej liczbie platform, najczęściej przeglądarek: Google Chrome, Safari, Firefox, Opera, 360. W kontekście PKI, CA oznacza firmę lub mechanizm wydający certyfikat, który wystawia certyfikat.
  • Urząd Rejestracji – zazwyczaj przeprowadza walidację. Wykona kilka prac przygotowawczych, a po zakończeniu wszystkich tych czynności wyśle ​​prośbę do urzędu certyfikacji o wydanie certyfikatu. RA może być również firmą, aplikacją lub komponentem.
  • Dostawca – to jest przeglądarka
  • Subskrybent – ​​właściciel serwisu, który kupuje certyfikat (czyli firma, która kupuje certyfikat dla swoich pracowników)
  • Strona ufająca – osoba na końcu, która korzysta z certyfikatu 

Co to jest prywatny? PKI?

Czy możesz mieć zamknięte? PKI to nie jest publicznie zaufane? Tak, na przykład urządzenia IoT w zamkniętym środowisku. Na przykład możesz mieć Samsunga i tylko produkty Samsunga mogą ze sobą rozmawiać: Telewizory, telefony, wieże stereo. Prywatnie PKIs, urządzeniom pochodzącym od stron trzecich można zabronić komunikacji z systemem wewnętrznym. Mogą być małe, mogą być duże. Są PKIs, które mają dziesiątki urządzeń i PKIs, które mają miliony urządzeń.

Jaka jest przyszłość PKI?

Technologia ewoluuje. Instancje prywatne PKI są nie mniej ważne niż sieć PKI, bo nawet jeśli firma korzysta z usług prywatnych PKI, nadal rozsądnie jest współpracować z urzędem certyfikacji, takim jak SSL.com, który przechodzi coroczne audyty i ma specjalistów, którzy zajmują się ochroną integralności kluczy prywatnych poprzez ich blokowanie i utrzymywanie w trybie offline.

Ton bardziej PKI ekosystem prowadzi dyskusje na temat wymagań bazowych, tym trudniej jest zastąpić tę technologię. Możesz umieścić certyfikaty i zainstalować je podczas rejestracji domeny, ale zasady nie mogą być łatwo przeniesione.

Nawet z obliczeniami kwantowymi na horyzoncie i przyszłymi zmianami w technologii, potrzeba bezpiecznej prywatności i uwierzytelniania nie zniknie. Jeśli pojawi się nowa technologia, branża się dostosuje. Jesteśmy w biznesie powierniczym i to nie zniknie.

Twitter
Facebook
LinkedIn
Reddit
E-mail

Zespół wsparcia SSL

Wszystkie posty "

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.

Wypełnij ankietę