Açık Anahtar Altyapısı (PKI) bir terim olarak internet iletişimlerini ve işlemlerini güvence altına almak için kullanılan sistemleri ve bileşenleri tanımlar. Bu makale, çeşitli türlerin üst düzey bir dökümünü kapsayacaktır. PKI bileşenleri ve nasıl etkileşime girdikleri PKI ekosistem. Siber güvenliğinizi güçlendirmek isteyen bir şirket sahibiyseniz veya yalnızca Açık Anahtar Altyapısı ile ilgilenen herhangi biriyseniz, bu parça size bazı pratik ve temelli örnekler sağlayacaktır.
Nerede PKI Kullanılmış?
Tartışmalar PKI hızlı bir şekilde sana yol açacak SSL (Güvenli Yuva Katmanı)/TLS (Taşıma katmanı Güvenliği), bir özel anahtar ve bir ortak anahtar gerektirir. Özel anahtar web sunucusunda tutulur. Ortak anahtar, SSL sertifikasına gömülüdür. Bir web sitesini ziyaret ettiğinizde ve adres çubuğunun solunda o kilidi gördüğünüzde ve URL'de şöyle diyor: "HTTPS" (HTTP'nin aksine), tarayıcınız sertifikayla birlikte bu ortak anahtarı otomatik olarak indirir ve bu da web sitesinin gerçekten kendini gösterdiği kişi olduğunu doğrular. Bu alışverişi geçemeyen herhangi bir şey varsa, tarayıcı size bir hata uyarısı verecektir. Tarayıcı, bu sertifika ve anahtar alışverişinden birkaç saniye içinde geçer.
Özel anahtar web sunucusunda tutulur. Bu, sitedeki yetkili personel dışında hiç kimse tarafından keşfedilemez. Açık anahtar size, bana ve genel olarak herkese dağıtılır.
Nasıl PKI Tarayıcıda mı çalışıyorsunuz?
Özel anahtar ve genel anahtar bir çifttir. Diyelim ki Bob'un özel anahtarı var ve Sally ve Joe'nun ortak anahtarı var. Sally ve Joe, ortak anahtara sahip oldukları için birbirleriyle iletişim kuramazlar. Bob, aldığı mesajın açık anahtarı olan birinden geldiğini biliyor.
Sally ve Joe, kendisine Bob diyen biriyle iletişim kurduklarını nereden biliyorlar? Sertifikaların oynamak için geldiği yer burasıdır. Sally ve Joe'nun Bob ile gerçekten etkileşimde olduklarını bilmeleri için sertifikası bunu doğrulayacaktır. Sertifika, SSL.com gibi bir Sertifika Yetkilisi tarafından imzalanır ve hangi platformda kullanılırsa kullanılsın, bu durumda bir tarayıcıda sertifikaya güvenilecektir.
Genel anahtar ve özel anahtar, hesaplama açısından yoğundur. Günümüzün bilgi işlem teknolojisi ile rahat bir şifreleme düzeyi elde etmek için ortak anahtar boyutları minimum 2048 bittir. Onları çok daha yoğun olan 4096'ya kadar alabilirsiniz. Daha güvenli ama azalan bir getiri noktası var. 2048 çoğu insanın kullandığı şeydir. Gizli anahtar ile ise bunu 256 bit olarak koyabilirsiniz.
SSL El Sıkışma nedir?
An SSL /TLS tokalaşma bir ağdaki iki taraf arasında (tarayıcı ve web sunucusu gibi) bağlantılarının ayrıntılarını oluşturmak için yapılan görüşmedir. Hangi versiyonun SSL /TLS hangi şifre paketinin iletişimi şifreleyeceği oturumda kullanılacak, sunucuyu doğrular (ve bazen müşteri) ve veri aktarımından önce güvenli bir bağlantının kurulduğunu belirler. Okuyabilirsin kılavuzumuzda daha fazla ayrıntı.
Nasıl PKI güvenli e-postaları etkinleştir?
Belli bir dereceye kadar, SSL/TLS el sıkışma için de geçerlidir Güvenli/Çok Amaçlı İnternet Posta Uzantıları (S/MIME). Web sitesine gidip sertifika almak gibi değil. SSL anlaşmasıyla, bir oturum sürer, örneğin beş dakika sürer ve ardından trafik gider. ile yaptığında S/MIME, aynı konsept ama e-postalarınız yıllarca sürebilir.
nasıl olduğunu göstermek için PKI e-posta alışverişlerini güvenli hale getirmeye yardımcı olur, hadi önceki karakterleri tekrar kullanalım. Sally, Bob'a ortak anahtarını bir S/MIME sertifika ve o Bob'un e-postasını bir S/MIME sertifika da. Ve her ikisinin de özel anahtarı olduğundan, birbirleriyle şifreli e-posta yapabilirler. Bir S/MIME sertifika, herkesin S/MIME bir gruptaki sertifikalar, herkese e-posta gönderebilirsiniz ve aynı şeyi size de yapabilirler. Tipik olarak, ortak bir e-posta istemcisi kullanıyorsanız ve bir grup insana şifreli e-posta göndermeye çalışıyorsanız, yoksa sizi uyarmalıdır. S/MIME belirli bir kişi için, bu durumda e-postayı şifreleyemezsiniz.
Şifreleme ve Kimlik Doğrulama Nasıl Şekillenir? S/MIME?
Ayrıca şifreleme ve kimlik doğrulama arasında bir ayrım yapalım. senin için sorarsam S/MIME ve sen benim için soruyorsun S/MIME, şifreli e-posta gönderebiliriz. Ancak, e-postamı kullanarak e-postamı imzalarsam S/MIME sertifikasını alıp size gönderirseniz, bir e-posta imzalayabilirim ve şifrelenecektir ama benden geldiğini biliyorsunuz.
Yani bir alırsam S/MIME SSL.com tarafından verilen sertifika ve e-postamı imzalıyorum ve size gönderiyorum ve siz bana göndermiyorsunuz S/MIME sertifika, şifreli e-posta gönderip şifresini çözemeyeceğiz. Ancak yine de e-postamın bir S/MIME SSL.com tarafından verilen sertifika ve gönderenin adını, doğrulanmış bilgileri söylemelidir.
Doğrulanamayan bilgiler sertifikada görünmez. Genel olarak güvenilen bir sertifikaysa, yani popüler platformlar tarafından güveniliyorsa, CA tarayıcı formu tarafından bir araya getirilen minimum standartlar olan temel gereksinimlere göre doğrulanması gerekir.
All ON XNUMX İmplant Tedavisi Nasıl Uygulanır? PKI sertifikalar?
Bir ortak anahtar orada nasıl dağıtılır ve ona nasıl bir kimlik eklersiniz? Bir sertifika aracılığıyla. Ve bir Sertifika Yetkilisi bunu yapar, bir ortak anahtara ekleyebileceğiniz ve dağıtabileceğiniz sertifikalar verir.
Sertifika verilebilmesi için uyulması gereken bazı standartlar vardır. Sertifika yetkilisi, bu sertifikaya ve bu sertifikada gömülü olan tüm bilgilere hakkınız olduğunu anlamalıdır. Ve bu nedenle, o sertifikayı verdiğimizde tarayıcılar tarafından güveniliyor.
X.509 nedir PKI Sertifika?
X.509 kök hücre gibidir. Temelde belirli alanlara sahip bir formattır. Ne tür bir sertifika olduğunu bilmeden önce, bu zigot olarak başlar. Birisi bir SSL sertifikası olmadan önce, burada hangi bilgilerin doldurulabileceğine dair belirli kurallar vardır. ile aynı şey S/MIME, Kod İmzalama, Belge İmzalama, İstemci Kimlik Doğrulaması ve gelecekte ortaya çıkabilecek diğer sertifikalar. SAN dışında, aşağıdaki alanlar Konu Ayırt Edici Adını oluşturur.
- Ortak ad (CN) – tipik olarak, sertifikanın konusu olarak görünen budur. Bir SSL sertifikası için bu, alan adını ifade eder. Küresel olarak desteklenen üst düzey alan uzantılarına sahip olması gerekir (ör. .com; .net; .io). Şu anda kelimenin tam anlamıyla yüzlerce, belki de binlerce var ve bunların hepsini karşılayabilmemiz gerekiyor.
- Kuruluş (O) – şirket veya web sitesi sahibi
- Organizasyonel Birim (OU) – bu bir departman gibi bir şey olurdu: BT, Finans, İnsan Kaynakları
- Yerellik (L) – temelde bir şehir
- Eyalet (ST) – ülkeye bağlı olarak il olarak da bilinen bölgesel konum
- Ülke (C) – ülke kodu
- Konu Alternatif Adı (SAN) – bir SSL sertifikası ile güvence altına alınan ana bilgisayar adlarını tanımlamaya yarayan X.509 uzantısı.
Bileşenleri nelerdir? PKI Ekosistem?
- Sertifika Yetkilisi- en yaygın olarak tarayıcılar olmak üzere çeşitli platformlarda onaylanan güvenilir sertifikalar veren bir şirkettir: Google Chrome, Safari, Firefox, Opera, 360. PKI, CA, sertifikayı veren şirket veya mekanizma anlamına gelir.
- Kayıt Yetkilisi – bu genellikle doğrulamayı yapar. Bir sürü hazırlık çalışması yapacak ve her şey tamamlandıktan sonra sertifikanın verilmesi için CA'ya istek gönderecek. RA ayrıca bir şirket, bir uygulama veya bir bileşen olabilir.
- Satıcı – bu tarayıcı
- Abone – sertifikayı satın alan web sitesi sahibi (yani çalışanları için sertifikayı satın alan şirket)
- Güvenen Taraf – sonunda sertifikayı tüketen kişi
özel nedir PKI?
kapalı olabilir misin PKI bu halka güvenilmez mi? Evet, kapalı bir ortamdaki IoT cihazları gibi. Örneğin, Samsung'un ve yalnızca Samsung ürünlerinin birbiriyle konuşmasını sağlayabilirsiniz: Televizyonlar, telefonlar, müzik setleri. Özel PKIs, üçüncü şahısların dışındaki cihazların dahili sistemle iletişim kurması engellenebilir. Küçük olabilirler, büyük olabilirler. Var PKIonlarca cihaza sahip olan ve PKIMilyonlarca cihaza sahip olan s.
Geleceği Nedir? PKI?
Teknoloji gelişiyor. özel örnekleri PKI web'den daha az önemli değil PKI, çünkü bir şirket özel kullansa bile PKI, SSL.com gibi yıllık denetimlerden geçen ve özel anahtarları kilitleyerek ve çevrimdışı tutarak bütünlüğünü korumaya kendini adamış profesyonellere sahip bir CA ile ortak olmak yine de akıllıca olacaktır.
To daha çok PKI ekosistemin temel gereksinimler hakkında tartışmaları var, bu teknolojiyi değiştirmek daha zor. Sertifikaları koyabilir ve etki alanı kaydına yükleyebilirsiniz, ancak politikalar kolayca aktarılamaz.
Ufukta kuantum hesaplama ve teknolojide gelecekteki değişiklikler olsa bile, güvenli gizlilik ve kimlik doğrulama ihtiyacı ortadan kalkmayacaktır. Yeni teknoloji gelirse sektör buna uyum sağlayacaktır. Biz güven işindeyiz ve bu bitmek üzere değil.
