โครงสร้างพื้นฐานคีย์สาธารณะ
เมื่อมีคนพูดถึง สาธารณะ or ส่วนตัว PKI [01]พวกเขาหมายถึงจริง เชื่อถือได้ในที่สาธารณะ และ เชื่อถือได้แบบส่วนตัว โครงสร้างพื้นฐาน โปรดทราบว่ากุญแจสาธารณะและกุญแจส่วนตัวไม่เกี่ยวข้องกับสาธารณะและส่วนตัว PKI.
ยิ่งไปกว่านั้นทั้งสองกรณียังอ้างถึงโฮสต์ PKI or PKI-as-a-บริการ (PKIaaS) โซลูชั่น ภายใน (หรือโฮสต์ในเครื่อง) PKI สามารถทำงานเป็นส่วนตัวได้ PKIแต่ต้องใช้ความพยายามและทรัพยากรเป็นจำนวนมากในการใช้เครื่องมือและบริการที่คุณจะได้รับจากโฮสต์ PKI or PKIผู้ให้บริการ aaS
พื้นฐานก PKI มีสองหน้าที่:
- เพื่อจัดการคอลเลกชันสาธารณะ[02] และกุญแจส่วนตัวและ
- การผูกคีย์แต่ละคีย์ด้วยข้อมูลเฉพาะตัวของแต่ละบุคคลเช่นบุคคลหรือองค์กร
การผูกจะจัดตั้งขึ้นผ่านการออกเอกสารประจำตัวอิเล็กทรอนิกส์ที่เรียกว่า ใบรับรองดิจิทัล [03]. ใบรับรองได้รับการลงนามแบบเข้ารหัสด้วยคีย์ส่วนตัวเพื่อให้ซอฟต์แวร์ไคลเอ็นต์ (เช่นเบราว์เซอร์) สามารถใช้คีย์สาธารณะที่เกี่ยวข้องเพื่อตรวจสอบใบรับรอง ความจริง (นั่นคือมันได้รับการลงนามโดยคีย์ส่วนตัวที่ถูกต้อง) และ ความสมบูรณ์ (เช่นไม่มีการแก้ไข แต่อย่างใด)
เชื่อถือได้ในที่สาธารณะและเชื่อถือได้แบบส่วนตัว PKI
ขณะที่ทั้งสอง PKI การกำหนดค่าให้ฟังก์ชั่นเดียวกันความแตกต่างของพวกเขาค่อนข้างตรงไปตรงมา
สาธารณะ PKIs จะได้รับความไว้วางใจโดยอัตโนมัติจากซอฟต์แวร์ไคลเอ็นต์ในขณะที่เป็นส่วนตัว PKIs จะต้องได้รับความไว้วางใจจากผู้ใช้ด้วยตนเอง (หรือในสภาพแวดล้อมขององค์กรและสภาพแวดล้อม IoT ปรับใช้กับอุปกรณ์ทั้งหมดโดยผู้ดูแลระบบโดเมน) ก่อนใบรับรองใด ๆ ที่ออกโดย PKI สามารถตรวจสอบได้
องค์กรที่รักษาความน่าเชื่อถือต่อสาธารณะ PKI เรียกว่า ผู้ออกใบรับรอง (CA). เพื่อให้เป็นที่เชื่อถือของสาธารณะ CA จะต้องได้รับการตรวจสอบตามมาตรฐานเช่นข้อกำหนดพื้นฐานของ CA / B Forum [04] และได้รับการยอมรับในร้านค้าที่เชื่อถือได้สาธารณะเช่น Microsoft Trusted Root Store Program
แม้ส่วนตัว PKI การติดตั้งใช้งานอาจมีความปลอดภัยเทียบเท่ากับส่วนรวมสาธารณะพวกเขาไม่ได้รับความเชื่อถือตามค่าเริ่มต้นเพราะพวกเขาไม่ได้ปฏิบัติตามข้อกำหนดเหล่านี้อย่างแน่นอนและได้รับการยอมรับในโปรแกรมที่ไว้วางใจ
ทำไมต้องเลือกคนที่เชื่อถือได้ PKI?
การเป็นคนที่ไว้ใจได้หมายความว่าคนที่ไว้วางใจ ใบรับรองหลัก (เชื่อมโยงตัวตนของ CA กับกุญแจสาธารณะอย่างเป็นทางการของพวกเขา) มีการเผยแพร่ในลูกค้าส่วนใหญ่แล้ว เบราว์เซอร์ระบบปฏิบัติการและซอฟต์แวร์ไคลเอ็นต์อื่น ๆ มาพร้อมกับรายการในตัวของกุญแจสาธารณะที่เชื่อถือได้ดังกล่าวซึ่งใช้เพื่อตรวจสอบใบรับรองที่พบ (ผู้ขายที่มีความรับผิดชอบสามารถคาดหวังให้อัปเดตรายการเหล่านี้เมื่อทำการอัพเดตซอฟต์แวร์ของพวกเขา) ในทางตรงกันข้ามใบรับรองหลักที่เชื่อถือได้แบบส่วนตัว (จำเป็นสำหรับส่วนตัว PKI) จะต้องติดตั้งด้วยตนเองในไคลเอนต์ก่อนใบรับรองจากส่วนตัวดังกล่าว PKIสามารถตรวจสอบได้
ดังนั้นหากคุณพยายามปกป้องเว็บไซต์ที่สาธารณชนสามารถเข้าถึงได้หรือทรัพยากรออนไลน์อื่น ๆ ใบรับรองที่ออกให้จากความน่าเชื่อถือของสาธารณชน PKI (เช่น CA) เป็นวิธีที่จะไปเนื่องจากต้องการให้ผู้เยี่ยมชมแต่ละคนติดตั้งส่วนตัวด้วยตนเอง PKIใบรับรองหลักของเบราว์เซอร์ไม่สามารถใช้งานได้จริง (และคำเตือนด้านความปลอดภัยที่สม่ำเสมอมีแนวโน้มที่จะส่งผลในทางลบต่อชื่อเสียงของไซต์ของคุณ)
ทำไมต้องเลือกแบบส่วนตัวที่เชื่อถือได้ PKI?
สาธารณะ PKIs จะต้องปฏิบัติตามกฎระเบียบอย่างเคร่งครัดและผ่านการตรวจสอบปกติในขณะที่เชื่อถือได้แบบส่วนตัว PKI อาจยกเลิกข้อกำหนดการตรวจสอบและเบี่ยงเบนจากมาตรฐานในลักษณะที่ผู้ปฏิบัติงานเห็นว่าเหมาะสม แม้ว่านี่อาจหมายความว่าพวกเขาไม่ปฏิบัติตามแนวปฏิบัติที่ดีที่สุดอย่างเคร่งครัด แต่ก็อนุญาตให้ลูกค้าใช้ส่วนตัวได้ PKI อิสระมากขึ้นเกี่ยวกับนโยบายใบรับรองและการดำเนินการ
ตัวอย่างหนึ่ง: ข้อกำหนดพื้นฐานห้ามไม่ให้ CA ที่เชื่อถือได้แบบสาธารณะออกใบรับรองสำหรับโดเมนภายใน (เช่น example.local) ส่วนตัว PKI สามารถออกใบรับรองสำหรับโดเมนใดก็ได้ตามต้องการรวมถึงโดเมนท้องถิ่นด้วยหากต้องการ
ใบรับรองที่เชื่อถือได้ต่อสาธารณะจะต้องรวมข้อมูลเฉพาะในลักษณะที่กำหนดอย่างเคร่งครัดโดยข้อบังคับการควบคุมและจัดรูปแบบในการแมปโปรไฟล์ใบรับรองกับมาตรฐาน X.509 ที่ยอมรับสำหรับใบรับรองสาธารณะ อย่างไรก็ตามลูกค้าบางรายอาจต้องการโปรไฟล์ใบรับรองที่กำหนดเองซึ่งปรับให้เหมาะกับการใช้งานที่คาดการณ์ไว้ขององค์กรและข้อกังวลด้านความปลอดภัยโดยเฉพาะ ส่วนตัว PKI สามารถออกใบรับรองโดยใช้โปรไฟล์ใบรับรองพิเศษ
นอกเหนือจากใบรับรองตัวเองเป็นส่วนตัว PKI ช่วยให้สามารถควบคุมขั้นตอนการยืนยันตัวตนและข้อมูลประจำตัวได้อย่างสมบูรณ์เช่นกัน ระบบควบคุมการเข้าถึงของลูกค้าเอง (เช่น single sign-on หรือ LDAP ไดเร็กทอรี) สามารถรวมเข้ากับไพรเวตได้ PKI บริการเพื่อให้ใบรับรองแก่ฝ่ายที่เชื่อถือได้โดยผู้ประกอบการ ในทางตรงกันข้ามคนเชื่อถือได้ PKI ต้องดำเนินการตรวจสอบด้วยตนเองและโดยอัตโนมัติอย่างเข้มงวดและตรวจสอบกับฐานข้อมูลที่มีคุณสมบัติก่อนออกใบรับรองใด ๆ
ใบรับรองความโปร่งใส
เราควรทราบด้วยว่าเป็นส่วนตัว PKI ไม่จำเป็นต้องมีส่วนร่วม ใบรับรองความโปร่งใส [05].
เบราว์เซอร์เช่น Chrome บังคับใช้ในขณะนี้ [06] CT สำหรับใบรับรองที่เชื่อถือได้แบบสาธารณะทั้งหมดซึ่งกำหนดให้ CA เผยแพร่ใบรับรองทั้งหมดที่ออกให้กับฐานข้อมูลสาธารณะที่เข้าถึงได้ เอกชน PKI อย่างไรก็ตามผู้ประกอบการไม่จำเป็นต้องติดตั้ง CT และอาจส่งผลให้มีความเป็นส่วนตัวที่ดีขึ้นสำหรับแอปพลิเคชันที่มีความละเอียดอ่อนหรือการเปิดเผยโครงสร้างเครือข่ายภายในที่เป็นอันตรายต่อสาธารณะ [07].
สรุป
เลือกหนึ่งรายการ PKI การแก้ปัญหาโดยวิธีอื่นไม่ได้เป็นการตัดสินใจที่ไม่สำคัญ ทั้งภาครัฐและเอกชน PKI เสนอผลประโยชน์และข้อเสียและตัวเลือกของคุณเองขึ้นอยู่กับปัจจัยหลายประการรวมถึงความต้องการการเข้าถึงสาธารณะความง่ายในการใช้งานและข้อกำหนดด้านความปลอดภัยและนโยบายเพื่อควบคุมโครงสร้างพื้นฐานของคุณ
ที่นี่ที่ SSL.comเรายินดีที่จะช่วยคุณสร้างประสิทธิภาพ PKI แผนงานที่เหมาะสมกับความต้องการเฉพาะขององค์กรของคุณ
