Açık Anahtar Altyapısı
İnsanlar referansta bulunduğunda halka açık or özel PKI [01], aslında herkese açık ve özel olarak güvenilir altyapıları. Genel ve özel anahtarların genel ve özel anahtarlarla ilgili olmadığını lütfen unutmayın PKI.
Dahası, her iki durum da barındırılan PKI or PKIHizmet Olarak (PKIaaS) çözümleri. Dahili (veya yerel olarak barındırılan) PKI özel olarak çalışabilir PKI, ancak barındırılan bir kişiden alacağınız araçları ve hizmetleri uygulamak büyük miktarda çaba ve kaynak gerektirir PKI or PKIaaS sağlayıcısı.
Temel olarak, PKI iki işlevi vardır:
- bir kamu koleksiyonunu yönetmek[02] ve özel anahtarlar ve
- her anahtarı kişi veya kuruluş gibi tek bir varlığın kimliğine bağlamak.
Ciltleme, elektronik kimlik belgelerinin düzenlenmesi ile kurulur. dijital sertifikalar [03]. Sertifikalar, özel bir anahtarla şifreli olarak imzalanır, böylece istemci yazılımı (tarayıcılar gibi), bir sertifikayı doğrulamak için karşılık gelen genel anahtarı kullanabilir. gerçeklik (yani doğru özel anahtarla imzalanmış) ve bütünlük (yani hiçbir şekilde değiştirilmedi).
Herkese açık ve özel olarak güvenilir PKI
Her iki süre PKI konfigürasyonları aynı işlevi sağlar, ayrımları oldukça basittir.
Açık Alan PKIözelken istemci yazılım tarafından otomatik olarak güvenilir PKItarafından verilen sertifikalardan önce kullanıcı (veya kurumsal ve IoT ortamlarında, etki alanı yöneticisi tarafından tüm cihazlara dağıtılmış) tarafından manuel olarak güvenilmelidir PKI doğrulanabilir.
Herkese açık olarak güvenilen bir kuruluş PKI denir Sertifika yetkilisi (CA). Herkesin güvenilir olması için, bir CA, CA / B Forumunun Temel Gereksinimleri gibi standartlara göre denetlenmelidir. [04] Microsoft Güvenilir Kök Mağaza Programı gibi halka açık güven mağazalarına kabul edilebilir.
Özel olmasına rağmen PKI uygulamalar kamu meslektaşları kadar güvenli olabilir, varsayılan olarak güvenilir değildir, çünkü bu gerekliliklere uygun bir şekilde uyumlu değildirler ve güven programlarına kabul edilirler.
Neden herkese açık olarak güvenilir PKI?
Kamuya güvenmek, kamunun güven duyduğu anlamına gelir kök sertifikaları (bir CA'nın kimliğini resmi ortak anahtarlarıyla ilişkilendirerek) zaten birçok istemciye dağıtılmıştır. Tarayıcılar, işletim sistemleri ve diğer istemci yazılımları, karşılaştıkları sertifikaları doğrulamak için kullanılan güvenilir ortak anahtarların yerleşik bir listesiyle birlikte gönderilir. (Sorumlu satıcıların yazılımlarını güncellerken bu listeleri güncellemeleri de beklenebilir.) Buna karşılık, özel olarak güvenilen kök sertifikalar (özel PKI), bu tür özel sertifikalardan önce istemciye elle yüklenmelidir PKIs doğrulanabilir.
Sonuç olarak, herkese açık olarak erişilebilen bir web sitesini veya başka bir çevrimiçi kaynağı korumaya çalışıyorsanız, genel olarak güvenilen bir sertifikadan verilen bir sertifika PKI (örneğin, bir CA), her ziyaretçinin manuel olarak bir özel yükleme yapmasını gerektirdiğinden, PKI'ın tarayıcılarına kök sertifikası pratik değildir (ve sonuçlanması muhtemel olan tutarlı güvenlik uyarıları sitenizin itibarını olumsuz etkileyecektir).
Neden özel olarak güvenilir PKI?
Açık Alan PKIs yönetmeliklere kesinlikle uymalı ve özel denetime tabi tutulurken düzenli denetimlerden geçmelidir. PKI denetim gerekliliklerinden vazgeçebilir ve operatörün uygun gördüğü herhangi bir şekilde standartlardan sapabilir. Bu, en iyi uygulamaları titizlikle takip etmedikleri anlamına gelse de, aynı zamanda özel PKI sertifika politikaları ve işlemleri konusunda daha fazla özgürlük.
Bir örnek: Temel Gereksinimler, genel olarak güvenilen CA'ların dahili alanlar için sertifika vermesini yasaklar (ör. example.local). Özel PKI istenirse, bu tür yerel alanlar da dahil olmak üzere gerektiği şekilde herhangi bir alan adı için sertifika verebilir.
Herkese açık olarak güvenilen sertifikalar, her zaman kendi denetim düzenlemeleri tarafından kesin olarak tanımlanmış bir şekilde belirli bilgileri içermeli ve genel sertifikalar için kabul edilen X.509 standardıyla bir sertifika profili eşlemesi şeklinde biçimlendirilmelidir. Bununla birlikte, bazı müşteriler, kuruluşlarının beklenen kullanımlarına ve güvenlik endişelerine göre özel olarak tasarlanmış özel bir sertifika profili talep edebilir. Özel PKI özel bir sertifika profili kullanarak sertifika verebilir.
Sertifikanın kendisi dışında özel PKI kimlik ve kimlik bilgileri doğrulama prosedürlerinin tam kontrolüne de izin verir. Bir müşterinin kendi erişim kontrol sistemleri (çoklu oturum açma veya LDAP dizinleri gibi) özel ile entegre edilebilir PKI operatör tarafından güvenilen taraflara kolayca sertifika sağlamak için hizmet. Bunun aksine, herkese açık olarak güvenilen PKI herhangi bir sertifika vermeden önce nitelikli veritabanlarına karşı katı manuel ve otomatik kontroller ve doğrulama yapmalıdır.
Sertifika Şeffaflığı
Ayrıca, PKI katılmak gerekli değil Sertifika Şeffaflığı [05].
Chrome gibi tarayıcılar artık zorunlu kılıyor [06] Genel olarak güvenilen tüm sertifikalar için CT, CA'ların genel erişimli bir veritabanında yayınlanan tüm sertifikaları yayınlamasını gerektirir. Özel PKI Bununla birlikte, operatörler BT uygulamak zorunda değildir ve sonuç olarak hassas uygulamalar için daha iyi gizlilik sağlayabilir veya dahili ağ yapısının kamuya açıklanmasının zararlı olarak kabul edilebileceği yerlerde [07].
Sonuç
Birini seçmek PKI diğerine karşı çözüm önemsiz bir karar değildir. Hem genel hem de özel PKI avantajlar ve dezavantajlar sunar ve kendi seçiminiz, kamu erişimine duyulan ihtiyaç, kullanım kolaylığı ve altyapınızın kontrolü için güvenlik ve politika gereksinimleri gibi birçok faktöre bağlı olabilir.
Burada, SSL.com, etkili bir yapı oluşturmanıza yardımcı olmaktan mutluluk duyarız PKI Kuruluşunuzun benzersiz ihtiyaçlarına uyan plan.
