โครงสร้างพื้นฐานกุญแจสาธารณะ (PKI) เป็นคำที่อธิบายระบบและส่วนประกอบที่ใช้ในการรักษาความปลอดภัยการสื่อสารทางอินเทอร์เน็ตและการทำธุรกรรม บทความนี้จะครอบคลุมรายละเอียดระดับสูงของต่างๆ PKI องค์ประกอบและวิธีที่พวกมันโต้ตอบใน PKI ระบบนิเวศ หากคุณเป็นเจ้าของบริษัทที่ต้องการเพิ่มความปลอดภัยในโลกไซเบอร์ของคุณ หรือเพียงแค่ใครก็ตามที่สนใจโครงสร้างพื้นฐานของกุญแจสาธารณะ งานชิ้นนี้จะให้ตัวอย่างที่เป็นประโยชน์และมีเหตุผลแก่คุณ
อยู่ที่ไหน PKI ใช้แล้ว?
การสนทนาของ PKI จะรีบนำท่าน SSL (ชั้นซ็อกเก็ตที่ปลอดภัย)/TLS (ความปลอดภัยเลเยอร์การขนส่ง)ซึ่งต้องใช้คีย์ส่วนตัวและคีย์สาธารณะ คีย์ส่วนตัวถูกเก็บไว้บนเว็บเซิร์ฟเวอร์ กุญแจสาธารณะถูกฝังอยู่ในใบรับรอง SSL เมื่อคุณเยี่ยมชมเว็บไซต์และเห็นล็อคนั้นทางด้านซ้ายของแถบที่อยู่และ URL บอกว่า “HTTPS” (ตรงข้ามกับ HTTP)เบราว์เซอร์ของคุณจะดาวน์โหลดคีย์สาธารณะนั้นโดยอัตโนมัติพร้อมกับใบรับรอง ซึ่งยืนยันว่าเว็บไซต์นั้นเป็นใครจริง ๆ หากมีสิ่งใดที่ไม่ผ่านการแลกเปลี่ยนนี้ เบราว์เซอร์จะแจ้งเตือนข้อผิดพลาดให้คุณ เบราว์เซอร์ต้องผ่านการแลกเปลี่ยนใบรับรองและคีย์ในเวลาเพียงเสี้ยววินาที
คีย์ส่วนตัวถูกเก็บไว้บนเว็บเซิร์ฟเวอร์ ที่ไม่ได้ถูกค้นพบโดยใครอื่นนอกจากบุคลากรที่ได้รับอนุญาตบนเว็บไซต์ กุญแจสาธารณะถูกแจกจ่ายให้กับคุณ ฉัน และคนอื่นๆ ทั้งหมด
อย่างไร PKI ทำงานในเบราว์เซอร์?
คีย์ส่วนตัวและคีย์สาธารณะเป็นคู่ สมมติว่าบ๊อบมีคีย์ส่วนตัว ส่วนแซลลี่กับโจมีคีย์สาธารณะ แซลลี่และโจไม่สามารถสื่อสารกันได้เพราะทั้งคู่มีกุญแจสาธารณะ บ็อบรู้ดีว่าข้อความใดก็ตามที่เขาได้รับมาจากคนที่มีกุญแจสาธารณะ
แซลลี่และโจรู้ได้อย่างไรว่าพวกเขากำลังสื่อสารกับคนที่เรียกตัวเองว่าบ๊อบ นี่คือที่ที่ใบรับรองเข้ามาเล่น เพื่อให้แซลลี่และโจรู้ว่าพวกเขากำลังโต้ตอบกับบ๊อบจริงๆ ใบรับรองของเขาจะยืนยันได้ ใบรับรองได้รับการลงนามโดยผู้ออกใบรับรอง เช่น SSL.com และจะได้รับความไว้วางใจในทุกแพลตฟอร์มที่ใช้ ในกรณีนี้คือเบราว์เซอร์
คีย์สาธารณะและคีย์ส่วนตัวใช้การคำนวณอย่างเข้มข้น เพื่อให้ได้ระดับการเข้ารหัสที่สะดวกสบายด้วยเทคโนโลยีคอมพิวเตอร์ในปัจจุบัน ขนาดของคีย์สาธารณะต้องมีอย่างน้อย 2048 บิต คุณสามารถรับได้มากถึง 4096 ซึ่งเข้มข้นกว่ามาก ปลอดภัยกว่าแต่ก็มีจุดให้ผลตอบแทนลดลง 2048 คือสิ่งที่คนส่วนใหญ่ใช้ ด้วยรหัสลับ คุณสามารถใส่ 256 บิตได้
SSL Handshake คืออะไร?
An SSL /TLS การจับมือกัน เป็นการเจรจาระหว่างสองฝ่ายบนเครือข่ายเช่นเบราว์เซอร์และเว็บเซิร์ฟเวอร์เพื่อสร้างรายละเอียดของการเชื่อมต่อ จะกำหนดเวอร์ชันของ SSL /TLS จะถูกใช้ในเซสชันซึ่งชุดการเข้ารหัสจะเข้ารหัสการสื่อสารตรวจสอบเซิร์ฟเวอร์ (และบางครั้งก็เป็นไฟล์ ไคลเอนต์) และกำหนดว่ามีการเชื่อมต่อที่ปลอดภัยก่อนที่จะถ่ายโอนข้อมูล คุณอ่านได้ รายละเอียดเพิ่มเติมในคู่มือของเรา.
อย่างไร PKI เปิดใช้งานอีเมลที่ปลอดภัยหรือไม่
ในระดับหนึ่ง SSL/TLS การจับมือกันยังใช้กับ ส่วนขยายจดหมายทางอินเทอร์เน็ตที่ปลอดภัย/อเนกประสงค์ (S/MIME). ไม่เหมือนคุณกำลังไปที่เว็บไซต์และรับใบรับรอง เมื่อใช้ SSL handshake มันจะใช้เวลาหนึ่งเซสชั่น พูดห้านาที จากนั้นทราฟฟิกก็หายไป เมื่อคุณทำมันด้วย S/MIMEเป็นแนวคิดเดียวกัน แต่อีเมลของคุณอาจใช้เวลานานหลายปี
เพื่อแสดงวิธีการ PKI ช่วยทำให้การแลกเปลี่ยนอีเมลปลอดภัย เรามาลองใช้ตัวอักษรเดิมกันอีกครั้ง Sally ส่งกุญแจสาธารณะให้ Bob ไปที่ S/MIME ใบรับรองและเธอจะได้รับอีเมลของ Bob ใน an S/MIME ใบรับรองเช่นกัน และเนื่องจากทั้งคู่มีคีย์ส่วนตัว พวกเขาจึงสามารถเข้ารหัสอีเมลระหว่างกันได้ หนึ่ง S/MIME ใบรับรองช่วยให้คุณทำอีเมลหลายฝ่ายได้ตราบใดที่คุณมีทุกคน S/MIME ใบรับรองในกลุ่ม คุณสามารถส่งอีเมลถึงทุกคนและพวกเขาสามารถทำสิ่งเดียวกันกับคุณได้ โดยปกติ หากคุณใช้โปรแกรมรับส่งเมลทั่วไป และพยายามส่งอีเมลที่เข้ารหัสไปยังกลุ่มบุคคล โปรแกรมควรเตือนคุณหากคุณไม่มี S/MIME สำหรับบุคคลใดบุคคลหนึ่ง ในกรณีนี้ คุณจะไม่สามารถเข้ารหัสอีเมลได้
การเข้ารหัสและการรับรองความถูกต้องเป็นอย่างไรใน S/MIME?
มาสร้างความแตกต่างระหว่างการเข้ารหัสและการรับรองความถูกต้องด้วย ถ้าฉันขอของคุณ S/MIME และคุณขอฉัน S/MIMEเราสามารถส่งอีเมลที่เข้ารหัสได้ อย่างไรก็ตาม หากฉันลงชื่อในอีเมลโดยใช้ my S/MIME ใบรับรองแล้วส่งให้คุณ ฉันสามารถเซ็นอีเมลล์ได้และมันจะถูกเข้ารหัส แต่คุณรู้ว่ามันมาจากฉัน
ดังนั้นถ้าฉันได้รับ S/MIME ใบรับรองที่ออกโดย SSL.com และฉันเซ็นชื่อในอีเมลแล้วส่งถึงคุณและคุณไม่ได้ส่งของคุณ S/MIME ใบรับรอง เราไม่สามารถส่งและถอดรหัสอีเมลที่เข้ารหัสได้ แต่คุณจะยังเห็นว่าอีเมลของฉันถูกเซ็นชื่อด้วย an S/MIME ใบรับรองที่ออกโดย SSL.com และควรระบุชื่อผู้ส่ง ข้อมูลที่ตรวจสอบแล้ว
ข้อมูลที่ไม่สามารถตรวจสอบได้จะไม่ปรากฏบนใบรับรอง หากเป็นใบรับรองที่สาธารณชนเชื่อถือ หมายความว่าได้รับความไว้วางใจจากแพลตฟอร์มยอดนิยม จะต้องได้รับการตรวจสอบตามข้อกำหนดพื้นฐาน ซึ่งเป็นมาตรฐานขั้นต่ำที่ฟอร์มเบราว์เซอร์ CA รวบรวมไว้
สิ่งที่เป็น PKI ใบรับรอง?
กุญแจสาธารณะถูกแจกจ่ายออกไปอย่างไรและคุณแนบข้อมูลประจำตัวกับมันอย่างไร? มันผ่านใบรับรอง และนั่นคือสิ่งที่ผู้ออกใบรับรองทำ โดยจะออกใบรับรองที่คุณสามารถแนบไปกับกุญแจสาธารณะและแจกจ่ายได้
มีมาตรฐานบางอย่างที่ต้องปฏิบัติตามเพื่อออกใบรับรอง ผู้ออกใบรับรองต้องเข้าใจว่าคุณมีสิทธิ์ในใบรับรองนั้นและข้อมูลใดๆ ที่ฝังอยู่ในใบรับรองนั้น ดังนั้นเมื่อเราออกใบรับรองนั้น เบราว์เซอร์จึงเชื่อถือ
X.509 . คืออะไร PKI ใบรับรอง?
เอ็กซ์.509 ก็เหมือนสเต็มเซลล์ โดยพื้นฐานแล้วเป็นรูปแบบที่มีบางฟิลด์ ก่อนที่คุณจะรู้ว่าเป็นใบรับรองประเภทใด มันเริ่มจากตัวไซโกตนี้เสียก่อน ก่อนที่จะกลายเป็นใบรับรอง SSL มีกฎเกณฑ์บางอย่างเกี่ยวกับข้อมูลที่สามารถเติมได้ที่นี่ สิ่งเดียวกันกับ S/MIME, Code Signing, Document Signing, Client Authentication และใบรับรองอื่นๆ ที่อาจเกิดขึ้นในอนาคต ยกเว้น SAN ฟิลด์ต่อไปนี้ประกอบเป็น Subject Distinguished Name
- ชื่อสามัญ (CN) – โดยทั่วไป นี่คือสิ่งที่ปรากฏเป็นหัวเรื่องของใบรับรอง สำหรับใบรับรอง SSL หมายถึงชื่อโดเมน ต้องมีนามสกุลโดเมนระดับบนสุดที่รองรับทั่วโลก (เช่น .com; .net; .io) ตอนนี้มีหลายร้อย อาจเป็นหลายพัน และเราต้องสามารถรองรับได้ทั้งหมด
- องค์กร (O) – บริษัทหรือเจ้าของเว็บไซต์
- Organizational Unit (OU) – นี้จะเหมือนกับแผนก: IT, Finance, Human Resources
- ที่ตั้ง (L) – โดยทั่วไปคือเมือง
- รัฐ (ST) – ที่ตั้งภูมิภาคหรือที่เรียกว่าจังหวัดขึ้นอยู่กับประเทศ
- ประเทศ (C) – รหัสประเทศ
- Subject Alternative Name (SAN) – ส่วนขยายของ X.509 ที่ทำหน้าที่ระบุชื่อโฮสต์ที่ได้รับการรักษาความปลอดภัยด้วยใบรับรอง SSL หนึ่งใบ
อะไรคือส่วนประกอบของ PKI ระบบนิเวศ?
- ผู้ออกใบรับรอง- เป็นบริษัทที่ออกใบรับรองที่เชื่อถือได้ซึ่งได้รับการอนุมัติบนแพลตฟอร์มที่หลากหลาย ส่วนใหญ่มักจะเป็นเบราว์เซอร์: Google Chrome, Safari, Firefox, Opera, 360 ในบริบทของ PKI, CA หมายถึง บริษัทหรือกลไกที่ออกใบรับรอง
- ผู้มีอำนาจในการลงทะเบียน – โดยปกติจะทำการตรวจสอบความถูกต้อง มันจะทำงานเตรียมการหลายอย่าง และเมื่อทุกอย่างเสร็จสิ้น มันจะส่งคำขอไปยัง CA เพื่อออกใบรับรอง RA อาจเป็นบริษัท แอป หรือส่วนประกอบก็ได้
- ผู้ขาย – นี่คือเบราว์เซอร์
- สมาชิก – เจ้าของเว็บไซต์ที่ซื้อใบรับรอง (เช่น บริษัท ที่ซื้อใบรับรองสำหรับพนักงานของตน)
- Relying Party – คนสุดท้ายที่บริโภคใบรับรอง
ส่วนตัวคืออะไร PKI?
ปิดได้ไหม PKI ที่ไม่น่าเชื่อถือในที่สาธารณะ? ใช่ เช่น อุปกรณ์ IoT ในสภาพแวดล้อมแบบปิด ตัวอย่างเช่น คุณสามารถให้ Samsung และมีเพียงผลิตภัณฑ์ของ Samsung เท่านั้นที่สามารถพูดคุยกันได้: ทีวี โทรศัพท์ เครื่องเสียง ในที่ส่วนตัว PKIs อุปกรณ์จากบุคคลภายนอกสามารถถูกห้ามไม่ให้สื่อสารกับระบบภายใน พวกเขาสามารถมีขนาดเล็กพวกเขาสามารถใหญ่ มี PKIที่มีอุปกรณ์มากมายและ PKIที่มีอุปกรณ์นับล้าน
อนาคตของ .คืออะไร PKI?
เทคโนโลยีมีการพัฒนา อินสแตนซ์ส่วนตัว PKI มีความสำคัญไม่น้อยไปกว่าเว็บ PKIเพราะถึงแม้บริษัทจะใช้ของส่วนตัว PKIก็ยังควรที่จะร่วมมือกับ CA เช่น SSL.com ที่ได้รับการตรวจสอบประจำปีและมีผู้เชี่ยวชาญที่ทุ่มเทเพื่อรักษาความสมบูรณ์ของคีย์ส่วนตัวโดยการล็อกไว้และเก็บไว้ออฟไลน์
Tเขามากกว่า PKI ระบบนิเวศมีการหารือเกี่ยวกับข้อกำหนดพื้นฐาน ยิ่งยากที่จะแทนที่เทคโนโลยีนี้ คุณสามารถใส่ใบรับรองและติดตั้งได้ที่การลงทะเบียนโดเมน แต่นโยบายไม่สามารถย้ายได้อย่างง่ายดาย
แม้จะมีการประมวลผลควอนตัมบนขอบฟ้าและการเปลี่ยนแปลงของเทคโนโลยีในอนาคต ความต้องการความเป็นส่วนตัวและการตรวจสอบสิทธิ์ที่ปลอดภัยจะไม่หายไป หากเทคโนโลยีใหม่เข้ามา อุตสาหกรรมก็จะปรับตัว เราอยู่ในธุรกิจทรัสต์และนั่นจะไม่หายไป
