Инфраструктура открытых ключей (PKI) как термин описывает системы и компоненты, используемые для защиты интернет-коммуникаций и транзакций. В этой статье будет подробно рассмотрено различные PKI компоненты и как они взаимодействуют в PKI экосистема. Если вы владелец компании, желающей повысить свою кибербезопасность, или просто любой, кто интересуется инфраструктурой открытого ключа, эта статья предоставит вам несколько практических и обоснованных примеров.
Где PKI используемый?
Обсуждения PKI быстро приведет к вам SSL (уровень защищенных сокетов) /TLS (Безопасность транспортного уровня), которые требуют закрытого и открытого ключей. Закрытый ключ хранится на веб-сервере. Открытый ключ встроен в сертификат SSL. Когда вы посещаете веб-сайт и видите этот замок слева от адресной строки, а URL-адрес говорит «HTTPS» (в отличие от HTTP), ваш браузер автоматически загрузит этот открытый ключ вместе с сертификатом, который подтверждает, что веб-сайт действительно является тем, кем он себя представляет. Если что-то не прошло этот обмен, браузер выдаст вам предупреждение об ошибке. Браузер выполняет этот обмен сертификатами и ключами за доли секунды.
Закрытый ключ хранится на веб-сервере. Это не должно быть обнаружено кем-либо, кроме уполномоченного персонала на веб-сайте. Открытый ключ передается вам, мне, всем остальным.
PKI работать в браузере?
Закрытый ключ и открытый ключ - это пара. Допустим, у Боба есть закрытый ключ, а у Салли и Джо - открытый. Салли и Джо не могут общаться друг с другом, потому что у них обоих есть открытый ключ. Боб знает, что любое сообщение, которое он получает, исходит от того, у кого есть открытый ключ.
Откуда Салли и Джо узнают, что они общаются с кем-то, кто называет себя Бобом? Вот тут-то и нужны сертификаты. Чтобы Салли и Джо знали, что они действительно взаимодействуют с Бобом, его сертификат подтвердит это. Сертификат подписан центром сертификации, таким как SSL.com, и ему будут доверять на любой платформе, которую они используют, в данном случае браузере.
Открытый ключ и закрытый ключ требуют больших вычислительных ресурсов. Для обеспечения комфортного уровня шифрования с помощью современных вычислительных технологий размер открытого ключа составляет минимум 2048 бит. Вы можете получить их до 4096, что намного более интенсивно. Это более безопасно, но есть точка уменьшения отдачи. 2048 год - это то, что использует большинство людей. С другой стороны, с секретным ключом вы можете использовать 256 бит.
Что такое рукопожатие SSL?
An SSL /TLS рукопожатие представляет собой переговоры между двумя сторонами в сети, например браузером и веб-сервером, для установления деталей их соединения. Он определяет, какая версия SSL /TLS будет использоваться в сеансе, этот набор шифров будет шифровать обмен данными, проверять сервер (а иногда и клиент) и устанавливает, что перед передачей данных установлено безопасное соединение. Ты можешь читать подробнее в нашем руководстве.
PKI включить безопасную электронную почту?
В определенной степени SSL /TLS рукопожатие также относится к Безопасные / многоцелевые расширения электронной почты в Интернете (S/MIME). Это не совсем то, что вы заходите на сайт и получаете сертификат. С подтверждением SSL он длится сеанс, скажем, пять минут, а затем трафик пропадает. Когда ты делаешь это с S/MIME, это та же концепция, но ваши электронные письма могут длиться годами.
Чтобы проиллюстрировать, как PKI помогает сделать обмен электронной почтой безопасным, давайте снова воспользуемся предыдущими символами. Салли отправляет Бобу свой открытый ключ в S/MIME сертификат, и она получит электронное письмо Боба в S/MIME сертификат. А поскольку у них обоих есть свой закрытый ключ, они могут передавать друг другу зашифрованные сообщения электронной почты. An S/MIME сертификат позволяет отправлять многосторонние электронные письма, если у вас есть S/MIME сертификаты в группе, вы можете написать всем по электронной почте, и они могут сделать то же самое с вами. Как правило, если вы используете обычный почтовый клиент и пытаетесь отправить зашифрованную электронную почту группе людей, он должен предупредить вас, если у вас нет S/MIME для конкретного человека, и в этом случае вы не сможете зашифровать электронную почту.
Как шифрование и аутентификация фигурируют в S/MIME?
Давайте также проведем различие между шифрованием и аутентификацией. Если я попрошу твоего S/MIME и ты просишь мой S/MIME, мы можем отправить зашифрованное письмо. Однако, если я подпишу свой адрес электронной почты, используя свой S/MIME сертификат и отправить его вам, я могу подписать электронное письмо, и оно будет зашифровано, но вы знаете, что оно пришло от меня.
Итак, если я получу S/MIME сертификат, выданный SSL.com, и я подписываю свое электронное письмо и отправляю его вам, а вы не отправляете мне свой S/MIME сертификат, мы не сможем отправлять и расшифровывать зашифрованные сообщения электронной почты. Но вы все равно сможете увидеть, что мое электронное письмо было подписано S/MIME сертификат, выданный SSL.com, и в нем должно быть указано имя отправителя, информация, которая была проверена.
Информация, которая не может быть подтверждена, не отображается в сертификате. Если это общедоступный сертификат, то есть ему доверяют популярные платформы, он должен быть проверен в соответствии с базовыми требованиями, которые являются минимальными стандартами, установленными в форме браузера CA.
Каковы PKI сертификаты?
Каким образом открытый ключ распространяется и как вы прикрепляете к нему удостоверение личности? Это через сертификат. И это то, что делает центр сертификации: он выдает сертификаты, которые вы можете прикрепить к публичному ключу, и распространять его.
Для выдачи сертификата необходимо соблюдать определенные стандарты. Центр сертификации должен понимать, что у вас есть право на этот сертификат и любую информацию, встроенную в этот сертификат. И поэтому, когда мы выдаем этот сертификат, браузеры доверяют ему.
Что такое X.509 PKI сертификат?
X.509 похожа на стволовую клетку. По сути, это формат с определенными полями. Прежде чем вы узнаете, что это за сертификат, он начинается с этой зиготы. Перед тем, как стать сертификатом SSL, существуют определенные правила относительно того, какую информацию здесь можно заполнить. То же самое с S/MIME, Подписание кода, Подписание документов, Проверка подлинности клиента и другие сертификаты, которые могут появиться в будущем. За исключением SAN, следующие поля составляют отличительное имя субъекта.
- Общее имя (CN) - обычно это то, что отображается в качестве субъекта сертификата. Для сертификата SSL это относится к имени домена. Он должен иметь глобально поддерживаемые расширения домена верхнего уровня (например, .com; .net; .io). К настоящему времени их буквально сотни, может быть, тысячи, и мы должны уметь приспособиться ко всему этому.
- Организация (O) - компания или владелец сайта
- Организационная единица (OU) - это что-то вроде отдела: ИТ, финансы, человеческие ресурсы.
- Населенный пункт (L) - в основном город
- Штат (ST) - региональное местоположение, также известное как провинция, в зависимости от страны.
- Страна (C) - код страны
- Альтернативное имя субъекта (SAN) - расширение X.509, которое служит для идентификации тех имен хостов, которые были защищены одним сертификатом SSL.
Каковы компоненты PKI Экосистема?
- Центр сертификации - это компания, которая выдает доверенные сертификаты, утвержденные на различном количестве платформ, чаще всего в браузерах: Google Chrome, Safari, Firefox, Opera, 360. В контексте PKI, CA означает компанию-эмитент или механизм, который выдает сертификат.
- Орган регистрации - обычно он выполняет проверку. Он выполнит кучу подготовительных работ, и как только все будет выполнено, он отправит запрос в ЦС на выдачу сертификата. RA также может быть компанией, приложением или компонентом.
- Производитель - это браузер
- Подписчик - владелец веб-сайта, покупающий сертификат (т.е. компания, которая покупает сертификат для своих сотрудников).
- Проверяющая сторона - лицо, в конечном итоге потребляющее сертификат.
Что такое частный PKI?
Можете ли вы закрыть PKI этому не доверяют? Да, например, устройства Интернета вещей в закрытой среде. Например, у вас может быть Samsung, и только продукты Samsung могут разговаривать друг с другом: Телевизоры, телефоны, стереосистемы. Наедине PKIs, устройствам посторонних лиц может быть запрещено связываться с внутренней системой. Они могут быть маленькими, могут быть большими. Есть PKIs, у которых есть десятки устройств и PKIs, у которых есть миллионы устройств.
Какое будущее PKI?
Технология развивается. Экземпляры частных PKI не менее важны, чем Интернет PKI, потому что даже если компания использует частные PKI, по-прежнему разумно сотрудничать с таким центром сертификации, как SSL.com, который ежегодно проходит аудит и имеет профессионалов, которые стремятся сохранить целостность закрытых ключей, заблокировав их и отключив.
Tон больше PKI В экосистеме обсуждаются базовые требования, тем сложнее заменить эту технологию. Вы можете поставить сертификаты и установить их при регистрации домена, но политики не могут быть легко перенесены.
Даже с учетом приближения квантовых вычислений и будущих изменений в технологии потребность в безопасной конфиденциальности и аутентификации никуда не исчезнет. Если появятся новые технологии, отрасль адаптируется. Мы работаем в трастовом бизнесе, и это никуда не денется.
