Cơ sở hạ tầng khóa công khai là gì (PKI)?

Khám phá Cơ sở hạ tầng khóa công khai (PKI) là các thành phần chính của nó và cách nó bảo mật thông tin liên lạc điện tử bằng các cơ chế mật mã như chứng chỉ số và cặp khóa để đảm bảo tính bảo mật, toàn vẹn, xác thực và không thể chối cãi.

Nội dung liên quan

Bạn muốn tiếp tục học hỏi?

Đăng ký nhận bản tin của SSL.com, luôn cập nhật thông tin và bảo mật.

Cơ sở hạ tầng khóa công khai, thường được viết tắt là PKI, đã trở thành thành phần cốt lõi của việc bảo mật giao tiếp và giao dịch trực tuyến. Nhưng chính xác thì khuôn khổ bảo mật quan trọng này là gì?

Về bản chất, Cơ sở hạ tầng khóa công khai đề cập đến các chính sách, quy trình, công nghệ và thành phần tạo điều kiện thuận lợi cho việc chuyển giao thông tin, giao dịch và truyền thông điện tử an toàn giữa các thực thể như cá nhân, thiết bị và hệ thống. Nó nhằm mục đích đạt được điều này thông qua các cơ chế mật mã để đảm bảo tính bảo mật, toàn vẹn, xác thực và không thể chối cãi.

Tiền đề trung tâm dựa vào mật mã bất đối xứng, đặc biệt là mã hóa khóa công khai, dựa trên cặp khóa mật mã được liên kết về mặt toán học—một khóa riêng tư và một khóa công khai. Các khóa này mã hóa và giải mã dữ liệu theo cách mà chỉ có khóa tương ứng khác mới có thể truy cập vào nội dung. Chúng ta sẽ tìm hiểu thêm về điều này sau. Trước tiên, hãy cùng xem xét các thành phần cốt lõi tạo nên một PKI hệ thống.

Các thành phần chính của một PKI Hệ sinh thái

Một chức năng PKI có sự kết hợp của các yếu tố kỹ thuật, tổ chức và thủ tục.

Cơ quan cấp chứng chỉ (CA)

CAs hình thành nền tảng của PKI. Họ cấp, thu hồi và gia hạn chứng chỉ danh tính kỹ thuật số. Chứng chỉ số chứa thông tin về một thực thể cùng với khóa công khai của thực thể đó. Về cơ bản, chứng chỉ số liên kết một cặp khóa mật mã được sử dụng để mã hóa thông tin liên lạc với một danh tính đã được xác thực mà cặp khóa đó thuộc về. Các CA, chẳng hạn như SSL.com, sẽ xác minh chi tiết kỹ lưỡng trước khi ký kỹ thuật số các chứng chỉ này để phân phối.

Chứng chỉ và CA cấp chứng chỉ được người dùng và hệ thống tin tưởng, những người dựa vào chứng chỉ để giao tiếp an toàn. Điều này tạo nên sự tin tưởng vì người nhận công nhận một CA có uy tín đã xác thực người giữ chứng chỉ.

Sự tin tưởng của Cơ quan cấp chứng chỉ và Chứng chỉ

Khái niệm “tin cậy” trong bối cảnh của Cơ quan cấp chứng chỉ xoay quanh sự đảm bảo rằng một chứng chỉ số nhất định là hợp pháp và rằng thực thể trình bày chứng chỉ là người mà họ tuyên bố. Khung tin cậy này rất quan trọng đối với các giao tiếp an toàn trên internet, đặc biệt là đối với các hoạt động như ngân hàng trực tuyến, mua sắm và giao tiếp bí mật, trong đó việc xác minh tính xác thực của một trang web hoặc dịch vụ là điều cần thiết.

Lòng tin của công chúng

Niềm tin công khai liên quan đến các chứng chỉ do CA cấp, được công nhận rộng rãi và được các công ty trình duyệt, nhà phát triển phần mềm và hệ điều hành lớn tự động tin cậy. Niềm tin này được thiết lập vì CA tuân thủ các chính sách và thủ tục nghiêm ngặt trước khi cấp chứng chỉ, đảm bảo rằng thực thể yêu cầu chứng chỉ là hợp pháp và có quyền sử dụng tên miền đang đề cập, áp dụng chữ ký số với tên cụ thể hoặc đại diện cho danh tính được gắn với chức năng mật mã.

Niềm tin của công chúng bắt nguồn từ các hướng dẫn và yêu cầu do một cơ quan tiêu chuẩn gọi là Diễn đàn trình duyệt cơ quan cấp chứng chỉ hoặc Diễn đàn CA / Trình duyệt. Diễn đàn CA/Browser là một tập đoàn tự nguyện gồm các cơ quan chứng nhận, nhà cung cấp trình duyệt internet và các bên quan tâm khác, những người phát triển các hướng dẫn quản lý việc cấp và quản lý các chứng chỉ được công khai tin cậy này. Các công ty trình duyệt và hệ điều hành lớn quyết định CA nào họ tin cậy và đưa những CA này vào kho lưu trữ chứng chỉ gốc đáng tin cậy của họ. Nếu CA không có trong kho lưu trữ đáng tin cậy này, người dùng có thể nhận được cảnh báo rằng chứng chỉ không đáng tin cậy.

Tin cậy cá nhân

Ủy thác riêng tư liên quan đến các chứng chỉ được cấp trong một hệ sinh thái khép kín, chẳng hạn như mạng nội bộ của công ty hoặc môi trường được kiểm soát, trong đó các thực thể liên quan có mối quan hệ trực tiếp hoặc tin tưởng lẫn nhau. Trong các tình huống này, một tổ chức có thể hoạt động như CA của chính mình (CA tư nhân) và cấp chứng chỉ cho người dùng, thiết bị hoặc dịch vụ của mình. Những chứng chỉ này không nhất thiết phải được thế giới bên ngoài công nhận nhưng hoàn toàn có giá trị trong hệ sinh thái của tổ chức.

Phân định giữa ủy thác công và tư

Sự phân định chính giữa sự tin cậy công khai và riêng tư nằm ở phạm vi và sự công nhận của các chứng chỉ được cấp. Các CA được công khai tin cậy có chứng chỉ gốc của họ được đưa vào kho lưu trữ đáng tin cậy của các trình duyệt và hệ điều hành chính, cho phép chứng chỉ được cấp của họ được tự động tin cậy bởi nhiều đối tượng mà không cần bất kỳ cấu hình bổ sung nào.

Ngược lại, chứng chỉ do CA riêng cấp yêu cầu cấu hình tin cậy thủ công trong bất kỳ hệ thống nào bên ngoài mạng riêng muốn tin cậy các chứng chỉ đó. Những chứng chỉ này không được internet rộng hơn tự động tin cậy và chủ yếu được sử dụng cho mục đích nội bộ, nơi tổ chức có quyền kiểm soát các bên tin cậy.

Cả mô hình ủy thác công và tư đều đóng vai trò quan trọng trong bảo mật internet và bảo mật nội bộ của các tổ chức, mỗi mô hình phục vụ các nhu cầu khác nhau dựa trên phạm vi ủy thác và sự công nhận cần thiết.

PKI Hệ thống cấp bậc

CA có hai loại. CA gốc tạo thành đỉnh của hệ thống phân cấp, trong khi CA trung gian phân phối chứng chỉ theo CA gốc.

Cơ quan đăng ký (RA)

RA xác minh danh tính và thiết lập quy trình đăng ký trước khi yêu cầu các chứng chỉ đã ký từ CA theo đó. RA đảm bảo chỉ những thực thể hợp pháp mới nhận được chứng chỉ theo PKI hướng dẫn chính sách. Việc kiểm tra danh tính toàn diện trước khi tạo chứng chỉ giúp tăng cường lòng tin giữa các bên liên quan.

Khóa mật mã công khai và riêng tư

Cặp liên kết toán học này cho phép hoạt động mật mã bên trong của PKI. Dữ liệu được mã hóa bằng khóa công khai vẫn không thể truy cập được nếu không có khóa riêng tương ứng để giải mã. Điều này giúp duy trì dữ liệu bí mật trong quá trình truyền. Chữ ký số được ký bằng khóa riêng có thể được xác minh bằng khóa công khai tương ứng để xác thực danh tính.

Để hiểu các loại khác nhau của PKI triển khai và có thể phù hợp với tổ chức của bạn, hãy xem hướng dẫn của chúng tôi về Riêng tư vs Công cộng PKI Cơ sở hạ tầng.

Chứng thư số

Chứng chỉ số chứa thông tin nhận dạng như tên, tổ chức, vị trí và khóa công khai liên quan. Chứng chỉ cũng mang chữ ký số của CA cấp để đảm bảo về danh tính ràng buộc. Chứng chỉ tuân thủ các tiêu chuẩn quốc tế X.509 để cho phép khả năng tương tác giữa các hệ thống.

Danh sách thu hồi chứng chỉ (CRL)

CRL chứa danh sách các số sê-ri chứng chỉ bị thu hồi bởi các CA tương ứng, cho biết danh tính bị xâm phạm. Các thực thể kiểm tra chéo CRL để đảm bảo chúng chỉ giao tiếp với các chứng chỉ vẫn còn hiệu lực. Danh sách tham chiếu tập trung này tạo điều kiện phân phối thu hồi hiệu quả.

Để biết thêm thông tin về cách thức thu hồi chứng chỉ hoạt động và cách các tổ chức duy trì bảo mật của họ, hãy xem hướng dẫn toàn diện của chúng tôi về Danh sách thu hồi chứng chỉ (CRL).

Là gì PKI Được dùng cho?

PKI không chỉ là một khuôn khổ lý thuyết—nó cho phép một số công nghệ phổ biến:

  • Hoạt động Web an toàn: HTTPS, SSL/TLS giao thức thiết lập kết nối an toàn giữa trình duyệt và máy chủ sử dụng PKI để mã hóa cơ bản được hỗ trợ bởi chứng chỉ số và mật mã khóa công khai.
  • Mã hóa và ký email: Trao đổi thông tin nhạy cảm qua email có tác dụng thúc đẩy PKI tiêu chuẩn thông qua các loại chứng chỉ như S/MIME (Phần mở rộng thư Internet đa năng/an toàn) để mã hóa và ký email.
  • Chứng nhận ký mã: Áp dụng chữ ký mật mã cho mã phần mềm để bảo vệ mã khỏi những thay đổi trái phép và xác định người xuất bản.
  • Xác thực và Kiểm soát truy cập: Cơ chế xác thực dựa trên chứng chỉ cho quyền truy cập VPN doanh nghiệp và hệ thống lối vào tòa nhà cung cấp bảo mật mạnh mẽ hơn nhiều so với các giao thức ID-mật khẩu thông qua PKI phương pháp luận.
  • Giao dịch chuỗi khối:Tất cả các giao dịch trên sổ cái blockchain đều liên quan đến việc chuyển tiền kỹ thuật số bằng cách ký thông qua các khóa mật mã bất đối xứng được kích hoạt bởi PKI nguyên tắc xung quanh mối liên kết toán học giữa các khóa.

Khi kết nối kỹ thuật số phát triển trên toàn cầu trong nhiều ngành công nghiệp, PKI sẽ vẫn là yếu tố nền tảng cho phép bảo mật, tin cậy và an toàn thông qua các tiêu chuẩn hiện hành về chứng chỉ, quản lý danh tính và mã hóa.

Làm thế nào PKI Công việc?

Bây giờ chúng ta đã hiểu các thành phần chính của PKI, chúng ta có thể thảo luận về cách tất cả các thành phần đó hoạt động cùng nhau.

  1. Tạo cặp khóa:Mỗi thực thể tạo ra một cặp khóa công khai và riêng tư.
  2. cấp giấy chứng nhận: Cơ quan cấp chứng chỉ (CA) đáng tin cậy sẽ xác minh danh tính của thực thể và cấp chứng chỉ số có chứa khóa công khai.
  3. phân phát:Khóa công khai và chứng chỉ được phân phối, trong khi khóa riêng tư được giữ bí mật và phải được người giữ chứng chỉ giữ an toàn.
  4. Encryption: Người gửi sử dụng khóa công khai của người nhận để mã hóa tin nhắn.
  5. Giải mã: Người nhận sử dụng khóa riêng của mình để giải mã tin nhắn.
  6. Chữ ký số: Người gửi ký tin nhắn bằng khóa riêng của họ, có thể được người khác xác minh bằng khóa công khai của người gửi.
  7. Xác thực chứng chỉ:Các thực thể xác minh chứng chỉ bằng khóa công khai của CA trước khi tin cậy chúng.

Hệ thống này cho phép giao tiếp an toàn, xác thực và không thể chối cãi trong môi trường kỹ thuật số.

Tầm quan trọng của PKI

Tại SSL.com, chúng tôi đã tận mắt chứng kiến ​​giá trị to lớn PKI cung cấp trong việc bảo mật truyền dữ liệu nhạy cảm. Là một cơ quan cấp chứng chỉ công khai đáng tin cậy hàng đầu, chúng tôi vẫn cam kết thúc đẩy PKI tiêu chuẩn thông qua xác minh danh tính mạnh mẽ, cấp chứng chỉ nhanh chóng và giám sát cơ sở hạ tầng chủ động.

Với PKI Các yếu tố được tích hợp sâu vào an ninh mạng hiện đại và danh tính số, chúng tôi hình dung vai trò trung tâm của nó trong tương lai của quyền riêng tư và tính toàn vẹn trên toàn bộ nền kinh tế kỹ thuật số đang mở rộng.

Luôn cập nhật thông tin và bảo mật

SSL.com là công ty hàng đầu thế giới về an ninh mạng, PKI và chứng chỉ số. Đăng ký để nhận tin tức, thủ thuật và thông báo sản phẩm mới nhất trong ngành từ SSL.com.

Chúng tôi rất mong nhận được phản hồi của bạn

Hãy tham gia cuộc khảo sát của chúng tôi và cho chúng tôi biết suy nghĩ của bạn về lần mua hàng gần đây của bạn.