O que é a PKI?

Blog

Infra-estrutura de chave pública (PKI) como um termo descreve os sistemas e componentes usados ​​para proteger as comunicações e transações da Internet. Este artigo cobrirá uma análise de alto nível das várias PKI componentes e como eles interagem no PKI ecossistema. Se você é o proprietário de uma empresa procurando aumentar sua segurança cibernética ou apenas qualquer pessoa interessada em infraestrutura de chave pública, este artigo fornecerá alguns exemplos práticos e fundamentados.  

 

Onde está PKI usava?

Discussões de PKI vai levar rapidamente a você SSL (Secure Sockets Layer) /TLS (Segurança da camada de transporte), que requerem uma chave privada e uma chave pública. A chave privada é mantida no servidor da web. A chave pública está embutida no certificado SSL. Quando você visita um site e vê aquele cadeado à esquerda da barra de endereço, e o URL diz “HTTPS” (em oposição a HTTP), seu navegador fará o download automático dessa chave pública junto com o certificado, o que confirma que o site é realmente quem se apresenta como sendo. Se houver alguma coisa que não passe nessa troca, o navegador vai te dar um aviso de erro. O navegador passa por essa troca de certificados e chaves em questão de segundos. 

A chave privada é mantida no servidor da web. Isso não deve ser descoberto por ninguém além do pessoal autorizado no site. A chave pública é distribuída para você, para mim e para todos os demais.

como funciona PKI trabalhar em um navegador?

A chave privada e a chave pública são duas. Digamos que Bob tenha uma chave privada e Sally e Joe tenham a chave pública. Sally e Joe não podem se comunicar porque ambos possuem a chave pública. Bob sabe que qualquer mensagem que receba é de alguém que possui a chave pública.

Como Sally e Joe sabem que estão se comunicando com alguém que se chama Bob? É aqui que os certificados entram em jogo. Para que Sally e Joe saibam que estão realmente interagindo com Bob, seu certificado confirmará isso. O certificado é assinado por uma autoridade de certificação como SSL.com e será confiável em qualquer plataforma que esteja usando, neste caso um navegador.

A chave pública e a chave privada são intensivas em termos de computação. Para obter um nível confortável de criptografia com a tecnologia de computação atual, os tamanhos das chaves públicas são de no mínimo 2048 bits. Você pode obtê-los até 4096, que é muito mais intensivo. É mais seguro, mas há um ponto de diminuição dos retornos. 2048 é o que a maioria das pessoas usa. Com a chave secreta, por outro lado, você pode colocá-la com 256 bits.

O que é o SSL Handshake?

An SSL /TLS aperto de mão é uma negociação entre duas partes em uma rede - como um navegador e um servidor da web - para estabelecer os detalhes de sua conexão. Ele determina qual versão do SSL /TLS será usado na sessão, que pacote de criptografia criptografará a comunicação, verifica o servidor (e às vezes também o cliente) e estabelece que existe uma conexão segura antes da transferência de dados. Você pode ler mais detalhes em nosso guia.

O SSL /TLS Handshake: uma visão geral - SSL.com

 

 

como funciona PKI habilitar e-mails seguros?

Até certo ponto, o SSL /TLS aperto de mão também se aplica a Extensões de correio da Internet seguras / multifuncionais (S/MIME). Não é exatamente como se você estivesse acessando o site e obtendo o certificado. Com o handshake SSL, dura uma sessão, digamos cinco minutos e, em seguida, o tráfego desaparece. Quando você faz isso com S/MIME, é o mesmo conceito, mas seus e-mails podem durar anos.

Para ilustrar como PKI ajuda a tornar as trocas de e-mail seguras, vamos usar os caracteres anteriores novamente. Sally envia a Bob sua chave pública em um S/MIME certificado e ela receberá o e-mail de Bob em um S/MIME certificado também. E como os dois têm sua chave privada, eles podem enviar e-mails criptografados um com o outro. Um S/MIME certificado permite que você envie e-mails de várias partes, contanto que você tenha o S/MIME certificados em um grupo, você pode enviar e-mail para todos e eles podem fazer a mesma coisa com você. Normalmente, se você estiver usando um cliente de e-mail comum e estiver tentando enviar e-mail criptografado para um grupo de pessoas, ele deve avisá-lo se você não tiver S/MIME para uma pessoa específica; nesse caso, você não poderá criptografar o e-mail. 

Como a criptografia e autenticação aparecem no S/MIME?

Vamos também fazer uma distinção entre criptografia e autenticação. Se eu pedir o seu S/MIME e você pede meu S/MIME, podemos enviar e-mail criptografado. No entanto, se eu assinar meu e-mail usando meu S/MIME certificado e enviá-lo para você, posso assinar um e-mail e ele será criptografado, mas você sabe que veio de mim.  

Então, se eu conseguir um S/MIME certificado emitido por SSL.com e eu assino meu e-mail e envio para você e você não me envia seu S/MIME certificado, não poderemos enviar e descriptografar e-mail criptografado. Mas você ainda poderá ver que meu e-mail foi assinado com um S/MIME certificado emitido por SSL.com e deve constar o nome do remetente, informação que foi validada.

As informações que não podem ser validadas não aparecem no certificado. Se for um certificado de confiança pública, o que significa que é confiável para plataformas populares, ele precisa ser validado de acordo com os requisitos básicos, que são os padrões mínimos reunidos pelo formulário do navegador da CA.  

Quais são PKI certificados?

Como uma chave pública é distribuída e como você atribui uma identidade a ela? É por meio de um certificado. E é isso que uma Autoridade de Certificação faz, ela emite certificados que você pode anexar a uma chave pública e distribuí-la.

Existem certos padrões que precisam ser seguidos para emitir um certificado. A autoridade de certificação deve entender que você tem direito a esse certificado e a todas as informações incorporadas a ele. E, portanto, quando emitimos esse certificado, ele é confiável para os navegadores. 

O que é um X.509 PKI certificado?

 X.509 é como uma célula-tronco. É basicamente um formato com certos campos. Antes que você saiba que tipo de certificado é, ele começa como este zigoto. Antes de alguém se tornar um certificado SSL, existem certas regras sobre quais informações podem ser preenchidas aqui. Mesma coisa com S/MIME, Assinatura de código, Assinatura de documento, Autenticação de cliente e outros certificados que podem surgir no futuro. Exceto para SAN, os campos a seguir constituem o Nome distinto do assunto.

  • Nome comum (CN) - normalmente, é o que aparece como assunto do certificado. Para um certificado SSL, isso se refere ao nome do domínio. Ele deve ter extensões de domínio de nível superior com suporte global (ou seja, .com; .net; .io). Existem literalmente centenas, talvez milhares deles agora, e temos que ser capazes de acomodar tudo isso.
  • Organização (O) - a empresa ou proprietário do site
  • Unidade Organizacional (UO) - seria algo como um departamento: TI, Finanças, Recursos Humanos
  • Localidade (L) - basicamente uma cidade
  • Estado (ST) - a localização regional, também conhecida como província, dependendo do país
  • País (C) - o código do país
  • Nome alternativo do assunto (SAN) - uma extensão para X.509 que serve para identificar os nomes de host que foram protegidos por um certificado SSL.
De acordo com os resultados da votação SC47V2, o Fórum da Autoridade de Certificação/Navegador (CA/B) votou para descontinuar o campo Unidade Organizacional (OU) para SSL/TLS certificados, com prazo fixado em 1º de setembro de 2022.

Quais são os componentes do PKI Ecossistema?

  • A Autoridade de Certificação - é uma empresa que emite certificados confiáveis ​​que são aprovados em várias plataformas, mais comumente navegadores: Google Chrome, Safari, Firefox, Opera, 360. No contexto de PKI, CA significa a empresa emissora ou mecanismo que emite o certificado.
  • A Autoridade de Registro - normalmente fará a validação. Ele fará um monte de trabalho de preparação e, uma vez que tudo isso tenha sido concluído, ele enviará a solicitação à CA para a emissão do certificado. O RA também pode ser uma empresa, um aplicativo ou um componente.
  • Fornecedor - este é o navegador
  • Assinante - o proprietário do site que está comprando o certificado (ou seja, a empresa que está comprando o certificado para seus funcionários)
  • Parte Confiante - a pessoa, no final, que está consumindo o certificado 

O que é um privado PKI?

Você pode ter um fechado PKI que não é publicamente confiável? Sim, como dispositivos IoT em um ambiente fechado. Por exemplo, você pode fazer com que a Samsung e apenas os produtos da Samsung falem entre si: TVs, telefones, aparelhos de som. Em particular PKIs, dispositivos de terceiros externos podem ser impedidos de se comunicar com o sistema interno. Eles podem ser pequenos, eles podem ser grandes. Existem PKIs que têm dezenas de dispositivos e PKIs que possuem milhões de dispositivos.

Qual é o futuro de PKI?

A tecnologia está evoluindo. Instâncias de privado PKI não são menos importantes que a web PKI, porque mesmo que uma empresa use privado PKI, ainda é aconselhável fazer parceria com uma CA como SSL.com, que passa por auditorias anuais e tem profissionais que se dedicam a preservar a integridade das chaves privadas, bloqueando-as e mantendo-as offline.

Tele mais o PKI ecossistema tem discussões sobre os requisitos de linha de base, quanto mais difícil é substituir essa tecnologia. Você pode colocar os certificados e instalá-los no registro de domínio, mas as políticas não podem ser facilmente transferidas.

Mesmo com a computação quântica no horizonte e futuras mudanças na tecnologia, a necessidade de privacidade e autenticação seguras não desaparecerá. Se uma nova tecnologia surgir, a indústria se adaptará. Estamos no negócio de trustes e isso não vai acabar.

Twitter
Facebook
LinkedIn
Reddit
E-mail

Equipe de Suporte SSL

Todas as publicações "

Adoraríamos receber seu feedback

Responda à nossa pesquisa e deixe-nos saber sua opinião sobre sua compra recente.

Responder à pesquisa