Vad är PKI?

Infrastruktur för offentlig nyckel (PKI) som en term beskriver system och komponenter som används för att säkra internetkommunikation och transaktioner. Denna artikel kommer att behandla en högnivåuppdelning av de olika PKI komponenter och hur de interagerar i PKI ekosystem. Om du är en företagsägare som vill öka din cybersäkerhet eller bara någon som är intresserad av offentlig nyckelinfrastruktur, kommer den här delen att ge dig några praktiska och grundade exempel.  

 

Var är PKI Begagnade?

Diskussioner om PKI kommer snabbt att leda till dig SSL (Secure Sockets Layer)/TLS (Säkerhet för transportskikt), som kräver en privat nyckel och en offentlig nyckel. Den privata nyckeln finns på webbservern. Den offentliga nyckeln är inbäddad i SSL -certifikatet. När du besöker en webbplats och du ser det låset till vänster om adressfältet, och webbadressen säger "HTTPS" (i motsats till HTTP), kommer din webbläsare automatiskt att ladda ner den offentliga nyckeln tillsammans med certifikatet, vilket bekräftar att webbplatsen verkligen är den den presenterar sig för att vara. Om det var något som inte passerade detta utbyte, kommer webbläsaren att ge dig en felvarning. Webbläsaren går igenom detta utbyte av certifikat och nycklar på några sekunder. 

Den privata nyckeln finns på webbservern. Det får inte upptäckas av någon annan än auktoriserad personal på webbplatsen. Den offentliga nyckeln distribueras till dig, mig, alla andra i stort.

Hur fungerar PKI jobba i en webbläsare?

Den privata nyckeln och den offentliga nyckeln är ett par. Låt oss säga att Bob har en privat nyckel och Sally och Joe har den offentliga nyckeln. Sally och Joe kan inte kommunicera med varandra eftersom de båda har den offentliga nyckeln. Bob vet att vilket meddelande han än kommer från någon som har den offentliga nyckeln.

Hur vet Sally och Joe att de kommunicerar med någon som kallar sig Bob? Det är här certifikat kommer in för att spela. För att Sally och Joe ska veta att de faktiskt interagerar med Bob, bekräftar hans certifikat det. Certifikatet är signerat av en certifikatutfärdare som SSL.com och det kommer att lita på vilken plattform de än använder, i detta fall en webbläsare.

Offentlig nyckel och privat nyckel är computativt intensiva. För att få en bekväm krypteringsnivå med dagens datorteknik är offentliga nyckelstorlekar minst 2048 bitar. Du kan få dem upp till 4096 vilket är mycket mer intensivt. Det är säkrare men det finns en poäng med att minska avkastningen. 2048 är vad de flesta använder. Med hemlig nyckel kan du å andra sidan lägga upp det med 256 bitar.

Vad är SSL Handshake?

An SSL /TLS handskakning är en förhandling mellan två parter i ett nätverk - som en webbläsare och webbserver - för att fastställa detaljerna i deras anslutning. Det avgör vilken version av SSL /TLS kommer att användas i sessionen, vilken krypteringssvit kommer att kryptera kommunikation, verifierar servern (och ibland också klient) och fastställer att en säker anslutning är på plats innan data överförs. Du kan läsa mer information i vår guide.

SSL /TLS Handshake: en översikt - SSL.com

 

 

Hur fungerar PKI aktivera säkra mejl?

Till en viss grad är SSL/TLS handskakning gäller också Secure/Multipurpose Internet Mail Extensions (S/MIME). Det är inte riktigt som att du går till webbplatsen och får certifikatet. Med SSL -handskakningen varar det en session, säg fem minuter, och sedan är trafiken borta. När du gör det med S/MIME, det är samma koncept men dina e -postmeddelanden kan pågå i flera år.

För att illustrera hur PKI hjälper till att göra e -postutbyten säkra, låt oss använda de tidigare tecknen igen. Sally skickar Bob sin offentliga nyckel i en S/MIME certifikat och hon får Bobs e -postmeddelande S/MIME certifikat också. Och eftersom de båda har sin privata nyckel kan de göra krypterad e -post med varandra. Ett S/MIME certifikat gör att du kan skicka e-post från flera parter så länge du har allas S/MIME certifikat i en grupp, kan du skicka e -post till alla och de kan göra samma sak mot dig. Vanligtvis, om du använder en vanlig e -postklient och du försöker göra krypterad e -post till en grupp människor, bör det varna dig om du inte har S/MIME för en specifik person, i så fall kommer du inte att kunna kryptera e -postmeddelandet. 

Hur fungerar kryptering och autentisering i S/MIME?

Låt oss också skilja mellan kryptering och autentisering. Om jag ber om din S/MIME och du ber om min S/MIME, kan vi skicka krypterad e -post. Men om jag signerar min e -post med min S/MIME certifikat och skicka det till dig, jag kan skriva under ett e -postmeddelande och det kommer att krypteras men du vet att det kom från mig.  

Så om jag får en S/MIME certifikat utfärdat av SSL.com och jag signerar min e -post och jag skickar det till dig och du skickar inte till mig din S/MIME certifikat kommer vi inte att kunna skicka och dekryptera krypterad e -post. Men du kommer fortfarande att kunna se att mitt e -postmeddelande var signerat med en S/MIME certifikat utfärdat av SSL.com och det ska stå avsändarens namn, information som validerades.

Information som inte kan valideras visas inte på certifikatet. Om det är ett offentligt betygsatt certifikat, vilket betyder att det är pålitligt av populära plattformar, måste det valideras enligt baslinjekrav som är de minimistandarder som sammanställs av CA-webbläsarens formulär.  

Vad är PKI certifikat?

Hur distribueras en offentlig nyckel där ute och hur fäster du en identitet till den? Det är genom ett certifikat. Och det är vad en certifikatmyndighet gör, den utfärdar certifikat som du kan bifoga till en offentlig nyckel och distribuera den.

Det finns vissa standarder som måste följas för att utfärda ett certifikat. Certifikatmyndigheten måste förstå att du har rätt till certifikatet och all information som är inbäddad i certifikatet. Och därför, när vi utfärdar det certifikatet, litar det på webbläsarna. 

Vad är en X.509 PKI certifikat?

 X.509 är som en stamcell. Det är i grunden ett format med vissa fält. Innan du vet vilken typ av certifikat det är, börjar det som denna zygote. Innan man blir ett SSL -certifikat finns det vissa regler för vilken information som kan fyllas här. Samma sak med S/MIME, Kodsignering, Dokumentsignering, Klientautentisering och andra certifikat som kan komma i framtiden. Förutom SAN utgör följande fält Subject Distinguished Name.

  • Vanligt namn (CN) - vanligtvis är detta det som visas som föremål för certifikatet. För ett SSL -certifikat hänvisar detta till domännamnet. Den måste ha globalt stödda toppdomänstillägg (dvs. .com; .net; .io). Det finns bokstavligen hundratals, kanske tusentals av dem nu, och vi måste kunna rymma allt detta.
  • Organisation (O) - företaget eller webbplatsägaren
  • Organisationsenhet (OU) - det här skulle vara ungefär som en avdelning: IT, ekonomi, personal
  • Ort (L) - i princip en stad
  • Stat (ST) - den regionala platsen, även känd som provins, beroende på land
  • Land (C) - landskoden
  • Subject Alternative Name (SAN) - ett tillägg till X.509 som tjänar till att identifiera de värdnamn som har säkrats med ett SSL -certifikat.
Enligt resultatet av omröstningen SC47V2 har certifikatutfärdaren/webbläsarforumet (CA/B) röstat för att fasa ut fältet för organisationsenhet (OU) för offentliga SSL/TLS certifikat, med deadline satt till den 1 september 2022.

Vilka är komponenterna i PKI Ekosystem?

  • Certificate Authority- är ett företag som utfärdar betrodda certifikat som är godkända på olika plattformar, oftast webbläsare: Google Chrome, Safari, Firefox, Opera, 360. I samband med PKI, CA betyder det utfärdande företaget eller den mekanism som utfärdar certifikatet.
  • Registreringsmyndigheten - detta gör vanligtvis valideringen. Det kommer att göra en massa förberedelser och när allt som har slutförts skickar det begäran till CA för utfärdande av certifikatet. RA kan också vara ett företag, en app eller en komponent.
  • Leverantör - det här är webbläsaren
  • Prenumerant - webbplatsägaren som köper certifikatet (dvs. företaget som köper certifikatet för sina anställda)
  • Förlitande part - personen i slutändan som konsumerar certifikatet 

Vad är en privatperson PKI?

Kan du ha en stängd PKI det är inte offentligt betrodd? Ja, till exempel IoT -enheter i en sluten miljö. Till exempel kan du få Samsung och bara Samsung -produkter får prata med varandra: TV, telefoner, stereoanläggningar. Privat PKIs kan enheter från externa tredje parter hindras från att kommunicera med det interna systemet. De kan vara små, de kan vara stora. Det finns PKIs som har dussintals enheter och PKIsom har miljontals enheter.

Vad är framtiden för PKI?

Tekniken utvecklas. Instanser av privata PKI är inte mindre viktiga än webben PKI, för även om ett företag använder privat PKI, det är fortfarande klokt att samarbeta med en CA som SSL.com som genomgår årliga granskningar och har proffs som är dedikerade till att bevara integriteten hos de privata nycklarna genom att låsa dem och hålla dem offline.

Than mer PKI ekosystem har diskussioner om baslinjekraven, desto svårare är det att ersätta denna teknik. Du kan lägga certifikaten och installera dem vid domänregistreringen men policyn kan inte enkelt överföras.

Även med kvantberäkning i horisonten och framtida förändringar i tekniken kommer behovet av säker integritet och autentisering inte att försvinna. Om ny teknik kommer kommer industrin att anpassa sig. Vi är i förtroendebranschen och det kommer inte att försvinna.

Twitter
Facebook
LinkedIn
reddit
E-postadress

Vi vill gärna ha din feedback

Följ vår undersökning och låt oss veta vad du tycker om ditt senaste köp.