公钥基础设施,通常缩写为 PKI已成为保障在线通信和交易安全的核心组成部分。但这一关键安全框架究竟由什么构成?
公钥基础设施的本质是指促进个人、设备和系统等实体之间以安全电子方式传输信息、交易和通信的政策、程序、技术和组件。它旨在通过加密机制实现这一目标,以确保机密性、完整性、身份验证和不可否认性。
核心前提依赖于 非对称密码学尤其是公钥加密,它基于数学上关联的加密密钥对——私钥和公钥。这些密钥以只有另一个对应的密钥才能访问内容的方式加密和解密数据。稍后会详细介绍。首先,让我们来看看构成完整加密的核心组件 PKI 系统。
主要组成部分 PKI 生态系统
功能性 PKI 结合了技术、组织和程序要素。
证书颁发机构 (CA)
CA 是 PKI。它们颁发、撤销和更新数字身份证书。数字证书包含有关实体的信息及其公钥。本质上,数字证书将用于加密通信的加密密钥对绑定到密钥对所属的经过验证的身份。CA(例如 SSL.com)在对这些证书进行数字签名以供分发之前会广泛验证详细信息。
证书和颁发证书的 CA 受到依赖证书进行安全通信的用户和系统的信任。当接收者认识到信誉良好的 CA 已验证证书持有者时,这就引入了信任。
证书颁发机构和证书的信任
在证书颁发机构的背景下,“信任”的概念围绕着确保给定的数字证书是合法的,并且出具证书的实体是他们声称的那个人。这种信任框架对于互联网上的安全通信至关重要,尤其是对于网上银行、购物和机密通信等活动,在这些活动中,验证网站或服务的真实性至关重要。
公共信托
公众信任涉及由 CA 颁发的证书,这些证书受到主要浏览器公司、软件开发商和操作系统的广泛认可和自动信任。建立这种信任是因为 CA 在颁发证书之前遵循严格的政策和程序,确保申请证书的实体合法并有权使用相关域名、应用具有特定名称的数字签名或以其他方式代表与加密函数相关的身份。
公众信任源自名为“证书颁发机构浏览器论坛”或 CA /浏览器论坛。CA/浏览器论坛是一个由认证机构、互联网浏览器供应商和其他相关方自愿组成的联盟,他们制定指导方针来管理这些公共信任证书的颁发和管理。主要浏览器公司和操作系统决定他们信任哪些 CA,并将其包含在他们受信任的根证书存储中。如果 CA 不在此信任存储中,用户可能会收到证书不受信任的警告。
私人信托
私人信任涉及在封闭生态系统(例如企业内部网或受控环境)内颁发的证书,其中涉及的实体彼此之间具有直接关系或信任。在这些情况下,组织可以充当自己的 CA(私人CA) 并向其用户、设备或服务颁发证书。这些证书不一定被外界认可,但在组织的生态系统内完全有效。
公共和私人信托的界限
公有和私有信任之间的主要区别在于所颁发证书的范围和认可度。公共信任的 CA 的根证书包含在主流浏览器和操作系统的受信任存储中,这使得其颁发的证书无需任何额外配置即可自动获得广大受众的信任。
相比之下,私有 CA 颁发的证书需要在私有网络之外希望信任这些证书的任何系统中进行手动信任配置。这些证书不会自动被更广泛的互联网信任,主要用于组织可以控制信任方的内部目的。
公共和私人信任模型在互联网安全和组织内部安全中都发挥着至关重要的作用,根据所需的信任和认可范围,每种模型都满足不同的需求。
PKI 等级制度
CA 分为两类。根 CA 是层次结构的顶端,而中级 CA 则在其下分发证书。
注册机构 (RA)
RA 验证身份并建立注册流程,然后向 CA 申请相应的签名证书。RA 确保只有合法实体才能收到证书 PKI 政策指导方针。证书生成前的广泛身份检查增强了利益相关者之间的信任。
公钥和私钥
这种数学上的联系使得 PKI用公钥加密的数据,如果没有对应的私钥解密,则无法访问。这样可以在传输过程中保持数据的机密性。用私钥签名的数字签名可以用对应的公钥进行验证,以进行身份验证。
了解不同类型的 PKI 实施以及哪种方法可能适合您的组织,请查看我们的指南 私人与公共 PKI 基础设施.
数字证书
数字证书包含姓名、组织、位置和相关公钥等识别详细信息。证书还带有颁发 CA 的数字签名,以确保绑定身份。证书符合 X.509 国际标准,可实现跨系统的互操作性。
证书吊销列表(CRL)
CRL 包含由各个 CA 吊销的证书序列号列表,表明身份已被泄露。实体会交叉检查 CRL,以确保它们只与仍在有效期内的证书进行通信。此集中参考列表有助于高效地分发吊销信息。
有关证书撤销的工作原理以及组织如何维护其安全性的更多信息,请参阅我们的综合指南 证书吊销列表(CRL).
什么是 PKI 用于?
PKI 不仅仅是一个理论框架——它还支持几种常见的技术:
- 安全 Web 活动:HTTPS、SSL/TLS 在浏览器和服务器之间建立安全连接的协议利用 PKI 用于由数字证书和公钥加密提供支持的底层加密。
- 电子邮件加密和签名:通过电子邮件交换敏感信息 PKI 通过证书类型来达到标准,例如 S/MIME (安全/多用途互联网邮件扩展)用于加密和签署电子邮件。
- 代码签名证书:对软件代码应用加密签名,以防止未经授权的更改并识别发布者。
- 身份验证和访问控制:企业 VPN 访问和楼宇入口系统的基于证书的身份验证机制通过以下方式提供比 ID 密码协议更强大的安全性: PKI 方法论。
- 区块链交易:区块链账本上的所有交易都涉及通过非对称加密密钥进行数字货币转移, PKI 围绕按键之间的数学链接的原理。
随着全球各行各业的数字连通性不断增长, PKI 将继续成为通过证书、身份管理和加密方面的现有标准实现隐私、信任和安全的基础要素。
如何 PKI 工作?
现在我们了解了 PKI,我们可以讨论所有这些组件如何协同工作。
- 密钥对生成:每个实体创建一个公钥和私钥对。
- 证书颁发:受信任的证书颁发机构 (CA) 验证实体的身份并颁发包含公钥的数字证书。
- 配电系统:公钥和证书是分发的,而私钥保持秘密,应由证书持有者妥善保管。
- 加密:发件人使用收件人的公钥来加密消息。
- 解密:收件人使用他们的私钥来解密消息。
- 数字签名:发送者使用自己的私钥对消息进行签名,其他人可以使用发送者的公钥进行验证。
- 证书验证:实体在信任证书之前,会使用 CA 的公钥来验证证书。
该系统可实现数字环境中的安全通信、身份验证和不可否认性。
的重要性 PKI
在 SSL.com,我们亲眼目睹了巨大的价值 PKI 确保敏感数据传输安全。作为领先的公共信任证书颁发机构,我们始终致力于推进 PKI 通过强大的身份验证、快速的证书颁发和主动的基础设施监控来实现标准。
在 PKI 这些元素深度融入到现代网络安全和数字身份中,我们预见到它在未来不断扩大的数字经济中的隐私和完整性中将发挥核心作用。