Public Key Infrastructure, vanligen förkortat som PKI, har blivit en kärnkomponent för att säkra onlinekommunikation och transaktioner. Men exakt vad utgör denna kritiska säkerhetsram?
I huvudsak avser en Public Key Infrastructure policyer, procedurer, teknologier och komponenter som underlättar säker elektronisk överföring av information, transaktioner och kommunikation mellan enheter som individer, enheter och system. Det syftar till att uppnå detta genom kryptografiska mekanismer för att säkerställa konfidentialitet, integritet, autentisering och icke-avvisande.
Den centrala premissen förlitar sig på asymmetrisk kryptografi, särskilt kryptering av offentlig nyckel, baserat på ett matematiskt länkat kryptografiskt nyckelpar – en privat nyckel och en offentlig nyckel. Dessa nycklar krypterar och dekrypterar data på ett sätt som endast den andra motsvarande nyckeln kan komma åt innehållet. Mer om detta senare. Låt oss först undersöka kärnkomponenterna som utgör en komplett PKI systemet.
Huvudkomponenterna i en PKI Ekosystem
En funktionell PKI har en kombination av tekniska, organisatoriska och processuella element.
Certifikatutfärdare (CA)
CA utgör grunden för PKI. De utfärdar, återkallar och förnyar digitala identitetscertifikat. Ett digitalt certifikat innehåller information om en enhet vid sidan av dess publika nyckel. I huvudsak binder det digitala certifikatet ett kryptografiskt nyckelpar som används för att kryptera kommunikation till en validerad identitet som nyckelparet tillhör. CA:erna, såsom SSL.com, verifierar detaljerna i stor utsträckning innan de signerar dessa certifikat digitalt för distribution.
Ett certifikat och den certifikatutfärdare som utfärdar det är betrodda av användare och system som förlitar sig på certifikaten för säker kommunikation. Detta introducerar förtroende eftersom mottagare inser att en ansedd CA har validerat certifikatinnehavaren.
Förtroende för certifikatutfärdare och certifikat
Begreppet "tillit" i samband med certifikatutfärdare kretsar kring försäkran om att ett givet digitalt certifikat är legitimt och att den enhet som presenterar certifikatet är den de utger sig för att vara. Detta förtroenderamverk är avgörande för säker kommunikation på internet, särskilt för aktiviteter som onlinebank, shopping och konfidentiell kommunikation, där det är viktigt att verifiera äktheten av en webbplats eller tjänst.
Allmänna förtroende
Offentligt förtroende innebär certifikat utfärdade av CA:er som är allmänt erkända och automatiskt betrodda av stora webbläsarföretag, mjukvaruutvecklare och operativsystem. Detta förtroende etableras eftersom CA följer strikta policyer och procedurer innan de utfärdar ett certifikat, vilket säkerställer att den enhet som begär certifikatet är legitim och har rätt att använda domänen i fråga, tillämpa en digital signatur med ett specifikt namn eller på annat sätt representera en identitet kopplad till en kryptografisk funktion.
Allmänhetens förtroende härrör från de riktlinjer och krav som fastställts av ett standardorgan som kallas Certificate Authority Browser Forum eller CA / Browser Forum. CA/Browser Forum är ett frivilligt konsortium av certifieringsmyndigheter, webbläsarleverantörer och andra intresserade parter som utvecklar riktlinjer som styr utfärdandet och hanteringen av dessa offentligt betrodda certifikat. Stora webbläsarföretag och operativsystem bestämmer vilka CA:er de litar på och inkluderar dessa i sina betrodda rotcertifikatlager. Om en certifikatutfärdare inte finns i det här förtroendearkivet kan användare få varningar om att certifikatet inte är pålitligt.
Privat förtroende
Privat förtroende innebär certifikat utfärdade inom ett slutet ekosystem, såsom ett företags intranät eller en kontrollerad miljö där de inblandade enheterna har en direkt relation eller förtroende med varandra. I dessa scenarier kan en organisation fungera som sin egen CA (Privat CA) och utfärda certifikat till sina användare, enheter eller tjänster. Dessa certifikat är inte nödvändigtvis erkända av omvärlden utan är fullt giltiga inom organisationens ekosystem.
Avgränsning mellan offentlig och privat förtroende
Den primära gränsdragningen mellan offentligt och privat förtroende ligger i omfattningen och erkännandet av de utfärdade certifikaten. Offentligt betrodda certifikatutfärdare har sina rotcertifikat inkluderade i de betrodda butikerna i större webbläsare och operativsystem, vilket gör att deras utfärdade certifikat automatiskt kan litas på av en bred publik utan ytterligare konfiguration.
Däremot kräver certifikat utfärdade av en privat certifikatutfärdare manuell förtroendekonfiguration i alla system utanför det privata nätverket som vill lita på dessa certifikat. Dessa är inte automatiskt betrodda av det bredare internet och används främst för interna ändamål där organisationen har kontroll över de förtroende parterna.
Både offentliga och privata förtroendemodeller spelar avgörande roller för internetsäkerhet och organisationers interna säkerhet, var och en tillgodoser olika behov baserat på omfattningen av förtroende och erkännande som krävs.
PKI Hierarki
CA finns i två kategorier. Rotcertifikatutfärdare utgör toppen av hierarkin, medan mellanliggande certifikatutfärdare distribuerar certifikat under dem.
Registreringsmyndigheter (RA)
RA:er verifierar identiteten och upprättar registreringsprocessen innan de begär signerade certifikat från CA:er. RA säkerställer att endast legitima enheter får certifikat per PKI riktlinjer. De omfattande identitetskontrollerna innan certifikatgenerering ökar förtroendet bland intressenter.
Offentliga och privata kryptografiska nycklar
Detta matematiskt länkade par möjliggör den inre kryptografiska funktionen hos PKI. Data krypterad med den offentliga nyckeln förblir otillgänglig utan motsvarande privata nyckel för dekryptering. Detta upprätthåller konfidentiella uppgifter under överföringar. Digitala signaturer signerade med en privat nyckel kan verifieras med motsvarande publika nyckel för identitetsautentisering.
För att förstå de olika typerna av PKI implementeringar och vilka som kan vara rätt för din organisation, kolla in vår guide på Privat vs offentligt PKI Infrastruktur.
Digitala certifikat
Det digitala certifikatet innehåller identifierande detaljer som namn, organisation, plats och tillhörande offentlig nyckel. Certifikatet bär också den utfärdande certifikatutfärdarens digitala signatur för garantier kring den bundna identiteten. Certifikaten överensstämmer med X.509 internationella standarder för att möjliggöra interoperabilitet mellan olika system.
Certifikatåterkallningslista (CRL)
CRL innehåller en lista över certifikats serienummer som återkallats av respektive certifikatutfärdare, vilket indikerar komprometterade identiteter. Entiteter krysskontrollerar CRL för att säkerställa att de endast kommunicerar med certifikat som fortfarande är giltiga. Denna centraliserade referenslista underlättar effektiv återkallelsedistribution.
För mer information om hur återkallande av certifikat fungerar och hur organisationer upprätthåller sin säkerhet, se vår omfattande guide till Certifikatåterkallande listor (CRL).
Vad är PKI Används för?
PKI är inte bara ett teoretiskt ramverk – det möjliggör flera vanliga tekniker:
- Säker webbaktivitet: HTTPS, SSL/TLS protokoll som upprättar säkra anslutningar mellan webbläsare och servrar använder PKI för den underliggande krypteringen som drivs av digitala certifikat och kryptografi med publik nyckel.
- E-postkryptering och signering: Känsligt informationsutbyte via e-post PKI standarder genom certifikattyper som S/MIME (Secure/Multipurpose Internet Mail Extensions) för att kryptera och signera e-postmeddelanden.
- Kodsigneringscertifikat: Tillämpar en kryptografisk signatur på programvarukod som förseglar den mot obehöriga ändringar och identifierar utgivaren.
- Autentisering och åtkomstkontroll: Certifikatbaserade autentiseringsmekanismer för företags VPN-åtkomst och byggnadsingångssystem ger mycket mer robust säkerhet över ID-lösenordsprotokoll genom PKI metoder.
- Blockchain-transaktioner: Alla transaktioner på blockchain-reskontra involverar digital valutaöverföring genom att signera genom asymmetriska kryptografiska nycklar aktiverade av PKI principer kring matematisk koppling mellan nycklar.
När digitala anslutningar växer globalt över branscher, PKI kommer att förbli ett grundläggande element som möjliggör integritet, förtroende och säkerhet genom befintliga standarder kring certifikat, identitetshantering och kryptering.
Hur fungerar det? PKI Arbete?
Nu när vi förstår nyckelkomponenterna i PKI, kan vi diskutera hur alla dessa komponenter fungerar tillsammans.
- Generering av nyckelpar: Varje enhet skapar ett offentligt och privat nyckelpar.
- Utfärdande av certifikat: En betrodd certifikatutfärdare (CA) verifierar enhetens identitet och utfärdar ett digitalt certifikat som innehåller den publika nyckeln.
- Fördelning: Offentliga nycklar och certifikat distribueras, medan privata nycklar förblir hemliga och bör förvaras säkert av certifikatinnehavaren.
- kryptering: Avsändare använder mottagarens publika nyckel för att kryptera meddelanden.
- dekryptering: Mottagarna använder sin privata nyckel för att dekryptera meddelanden.
- Digitala signaturer: Avsändare signerar meddelanden med sin privata nyckel, som kan verifieras av andra med avsändarens offentliga nyckel.
- Validering av certifikat: Entiteter verifierar certifikat med CA:s publika nyckel innan de litar på dem.
Detta system möjliggör säker kommunikation, autentisering och icke-avvisande i digitala miljöer.
Betydelsen av PKI
På SSL.com har vi sett det enorma värdet PKI levererar för att säkra känslig dataöverföring. Som en ledande offentligt tillförlitlig certifikatutfärdare är vi fast beslutna att gå framåt PKI standarder genom robust identitetsverifiering, snabb certifikatutfärdande och proaktiv infrastrukturövervakning.
Med PKI element som är djupt integrerade i modern cybersäkerhet och digital identitet, föreställer vi oss dess centrala roll i framtiden för integritet och integritet i den växande digitala ekonomin.