Infrastructură de cheie publică
În criptarea unei infrastructuri cu cheie publică, în limba engleză infrastructura cu cheie publică (PKI) este un set de procese și mijloace tehnologice care permit terților de încredere să verifice și / sau să acționeze ca garanți ai identității unui utilizator, precum și să asocieze un public cheie pentru un utilizator, de obicei prin intermediul unui software distribuit în mod coordonat pe diferite sisteme. Cheile publice iau de obicei forma certificatelor digitale .
Termenul PKI este utilizat pentru a indica atât „ Autoritatea de certificare ( Autoritatea de certificare, CA), cât și acordurile conexe și, într-un sens mai larg, utilizarea algoritmilor criptografici pentru cheia publică în comunicațiile electronice. Utilizarea termenului în acest din urmă sens este incorectă deoarece un PKI nu necesită neapărat utilizarea algoritmilor cu cheie publică. Structura PKI nu privește doar AC, ci și:
- Autoritatea de înregistrare , prin intermediul căreia utilizatorii contactează pentru a solicita certificarea cheilor, identificându-se și furnizând cel puțin cheia publică și adresa de e-mail.
- Serverul de certificate sau un serviciu director accesibil printr-un „protocol operațional”, de obicei LDAP ; este în principal o listă de publicații de certificate și liste de certificate revocate și suspendate.
Scop și funcție
Acordurile care stau la baza unui PKI permit utilizatorilor să se autentifice și să se identifice reciproc și să folosească informațiile conținute în certificatele lor respective pentru a cripta și decripta mesajele în tranzit. În general, un PKI constă din software client , software server (de exemplu, o autoritate de certificare), hardware (de exemplu, card inteligent ) și proceduri de operare. Un utilizator și-ar putea semna mesajele cu cheia privată , iar un alt utilizator ar putea verifica această semnătură folosind cheia publică conținută în certificatul expeditorului, furnizat de autoritatea de certificare care face parte din PKI. Acest lucru permite ca două (sau mai multe) părți care doresc să comunice să verifice confidențialitatea , integritatea mesajelor și autentificarea utilizatorilor, fără a fi nevoie de un schimb anterior de informații secrete.
Scenariu tipic de utilizare
Majoritatea PKI la nivel de întreprindere se bazează pe lanțuri de certificate pentru a stabili identitatea părților: un certificat este emis de o autoritate de certificare, autentificat la rândul său printr-un certificat emis de o autoritate de nivel superior și așa mai departe. Aceasta stabilește o ierarhie a certificatelor, alcătuită din diferite computere, organizații și pachete software. Standardele sunt fundamentale pentru funcționarea unui PKI, iar standardele publice sunt fundamentale pentru PKI utilizate pe scară largă. Multe dintre standardele din domeniul PKI sunt opera grupului de lucru IETF PKIX .
PKI-urile la nivel de întreprindere sunt adesea strâns legate de serviciile de directoare ale întreprinderii, unde cheia publică a fiecărui angajat poate fi stocată (încorporată într-un certificat) împreună cu alte detalii personale (număr de telefon, adresă de e- mail, departament ...). Astăzi, principala tehnologie pentru sistemele de directoare este LDAP și, de fapt, cel mai comun format utilizat pentru certificate ( X.509 ) s-a născut odată cu predecesorul LDAP, standardul X.500 .
În World Wide Web, infrastructura PKI este utilizată de SSL / TLS pentru a verifica identitatea părților.
Alternative
Web de încredere
O abordare alternativă la problema autentificării unei chei publice este rețeaua de schemă de încredere , bazată pe utilizarea certificatelor emise de părțile înseși și pe atestarea validității acestor certificate de către terți. Exemple de implementare a acestei scheme sunt GPG ( GNU Privacy Guard ) și PGP ( Pretty Good Privacy ). Datorită răspândirii PGP (și a variantelor sale) împreună cu e-mailul, rețeaua de încredere creată inițial de PGP este cel mai mare PKI bidirecțional existent (date din 2004 ). CAcert.org menține o rețea de încredere similară cu cele utilizate de PGP, cu diferența că informațiile referitoare la relațiile de încredere dintre părți sunt păstrate pe baze de date centralizate.
Infrastructură simplă cu cheie publică
O alternativă și mai nouă, care se răspândește rapid, este simpla infrastructură cu cheie publică (SPKI), născută din trei eforturi independente de a depăși complexitățile standardului X.509 și anarhia rețelei de încredere PGP. SPKI conectează oamenii și / sau sistemele direct la chei utilizând un model local de încredere, similar cu rețeaua de încredere PGP, dar cu adăugarea unei autorizații încorporate.
Autoritățile de certificare a robotului
Roboții CA sunt programe nesupravegheate care validează automat anumite aspecte ale validității unei chei publice și o semnează, certificând că aceste aspecte sunt valabile. Ele pot elimina sau reduce foarte mult anumite tipuri de atacuri în sistemele cu cheie publică, în special cele care implică un atacator care deturnează temporar tot traficul de rețea de pe un site legitim. Aspectele validate în mod tipic includ (a) că cheia este publicată cu cunoștințele utilizatorului despre adresa de e-mail de care ar trebui să aparțină, (b) că utilizatorul adresei de e-mail este în posesia cheii secrete care corespunde cheii publice și (c) care este frecvența de utilizare a cheii.
Istorie
Diseminarea publică în 1976 a algoritmului schimbului de chei de către Diffie și Hellman și a algoritmului de cheie asimetric de către Rivest , Shamir și Adleman a produs o schimbare profundă în comunicațiile sigure. Odată cu dezvoltarea în continuare a comunicațiilor electronice digitale de mare viteză ( Internetul și predecesorii săi), a devenit evidentă necesitatea unui mod în care utilizatorii să poată comunica între ei într-un mod sigur și, ca o consecință suplimentară a acestui fapt, necesitatea pentru ca utilizatorul să fie sigur de identitatea interlocutorului cu care interacționează în acest moment. Ideea utilizării certificatelor securizate criptografic care pot lega identitatea utilizatorului de cheile publice s-a dezvoltat rapid.
Au fost inventate și analizate mai multe protocoale criptografice pentru a utiliza în mod eficient noile primitive criptografice. Odată cu invenția World Wide Web și răspândirea sa rapidă, nevoia de autentificare și comunicații sigure a devenit și mai presantă. Numai motive comerciale, cum ar fi comerțul electronic sau accesul online la baze de date private direct de pe web, au fost suficiente pentru a justifica dezvoltarea acestuia. Taher ElGamal și alții de la Netscape au dezvoltat protocolul SSL („ HTTPS ” pe URL - urile web), care a inclus sisteme de tastare și utilizare, autentificare server, (înainte de v3, numai într-un singur sens) și așa mai departe. O primă structură PKI a fost astfel implementată pentru acei utilizatori ai Web-ului (utilizatori sau site-uri individuale) care doreau să utilizeze o comunicare de încredere sau, cel puțin, mai sigură.
Vânzătorii și antreprenorii, percepând enormul potențial al unei piețe foarte mari, au început noi companii sau noi sucursale în cadrul companiilor existente, începând să se mobilizeze pentru a obține recunoașterea legală și protecția răspunderii.
Proiectul tehnologic al Asociației Baroului American a publicat o analiză detaliată a unora dintre cele mai comune aspecte juridice ale operațiunilor PKI (a se vedea ghidurile ABA privind semnătura digitală ) și, la scurt timp, unele dintre statele SUA ( Utah a fost primul în 1995 ) și alte organisme. în întreaga lume au început să legifereze în acest sens. Asociațiile consumatorilor și corporațiile similare au ridicat discuții cu privire la unele aspecte, precum confidențialitatea , politica de acces și răspunderea legală, care au fost ascultate mai mult de unele jurisdicții decât de altele.
Legile adoptate și reglementările nu sunt uniforme și, în plus, au apărut unele probleme tehnice care au apărut în încercarea de a converti schemele PKI în oferte comerciale competitive: progresul tehnicii a fost, așadar, mai lent decât cel prevăzut inițial.
În primii ani ai secolului 21, a devenit evident că ingineria criptografică , chiar și la un nivel de bază, nu a fost ușor de dezvoltat fără erori, că nu a fost ușor să se obțină proceduri operaționale (manuale sau automate) care au funcționat corect (și, chiar și în cazul unei implementări corecte, care au fost ușor de realizat exact așa cum planificase inițial programatorul). În plus s-a realizat [ neclar ] că standardele existente în sine erau, pentru unele aplicații, inadecvate pentru scopurile pentru care au fost dezvoltate.
Cu toate acestea, dezvoltatorii PKI au găsit o piață care nu era exact ceea ce se așteptau la mijlocul anilor 1990: piața a crescut mai lent și oarecum diferit decât se aștepta. PKI-urile nu au rezolvat unele dintre problemele pe care au fost proiectate să le rezolve, iar unii dintre principalii furnizori s-au retras de pe piață sau au fost preluați de alte companii.
PKI a avut cel mai mare succes în implementările guvernamentale: în prezent, implementarea majoră este infrastructura PKI a Agenției de Sisteme de Informații pentru Apărare (DISA).
Exemple de utilizare
PKI-urile au multe utilizări, care includ furnizarea de chei publice și conectarea acestora la identitățile utilizatorului:
- Criptarea și / sau autentificarea expeditorului în mesaje și e-mail (de exemplu, folosind OpenPGP sau S / MIME ).
- Criptarea și / sau autentificarea documentelor (de exemplu, standarde pentru documente XML precum XML Signature * sau XML Encryption * ).
- Autentificarea utilizatorului pentru aplicații (de exemplu, când vă conectați la un sistem prin card inteligent sau autentificați un client prin SSL ).
- Proceduri Bootstrap în protocoale de comunicații securizate, cum ar fi schimbul de chei Internet (IKE) și SSL . În ambele, configurarea inițială a unui canal securizat se face prin chei publice, în timp ce comunicațiile reale utilizează sisteme de chei secrete mai rapide (alias Criptografie cheie simetrică ).
Unele implementări
Unele autorități de certificare, cum ar fi VeriSign, nu sunt listate deoarece software-ul lor nu este disponibil pentru alții.
- Computer Associates eTrust PKI
- Încredinţa
- Microsoft
- Netscape CMS , la enterprise.netscape.com . Adus la 14 septembrie 2005 (arhivat din original la 31 decembrie 2004) .
- OpenCA (o schemă Open Source PKI care include software pentru server)
- Securitate RSA
- phpki , la phpki.sourceforge.net .
- GenCerti , pe open.datacore.ch (arhivat din adresa URL originală la 30 septembrie 2007) .
- ejbca , la ejbca.sourceforge.net .
- newpki , la newpki.org . Adus la 14 septembrie 2005 (arhivat din original la 14 martie 2006) .
- Papyrus CA Software , la papyrus.gatech.edu . Adus la 14 septembrie 2005 (arhivat din original la 29 octombrie 2005) .
- pyCA , la pyca.de.
- IDX-PKI , la idx-pki.idealx.org . Adus pe 5 iunie 2019 (arhivat din original la 24 martie 2005) .
- EuropePKI (nu este disponibil) , pe europepki.org . Adus pe 5 iunie 2019 (arhivat din original la 16 octombrie 2017) .
- TinyCA , la tinyca.sm-zone.net . Adus la 14 septembrie 2005 (arhivat din original la 6 iulie 2013) .
- ElyCA , pe elyca.eurodev.net . Adus la 14 septembrie 2005 (arhivat din original la 12 decembrie 2005) .
- SimpleCA , pe vpnc.org . Adus la 14 septembrie 2005 (arhivat din original la 1 noiembrie 2005) .
- SeguriData , pe seguridata.com.
Elemente conexe
linkuri externe
- PrivateGSM, tehnologie de criptare telefonică bazată pe infrastructura criptografică cu cheie publică ZRTP inventată de Philip Zimmermann , pe privategsm.com . Adus la 7 iulie 2020 (arhivat din original la 20 mai 2004) .
- Tutorial PKI de Peter Gutmann
- Grupul de lucru PKIX , pe ietf.org . Adus la 14 septembrie 2005 (arhivat din original la 5 decembrie 2006) .
- PKI - Stabilirea încrederii într-o lume digitală
- https://web.archive.org/web/20041129200601/http://www.pk3i.com/
- http://www.newpki.org/ Arhivat 14 martie 2006 la Internet Archive .
- Înțelegerea rolului PKI - Acest articol oferă o scurtă prezentare generală a ceea ce este și face un PKI și cum se poate încadra în organizația de securitate a unei organizații.
O explicație detaliată a confidențialității, autentificării, integrității și non-repudierii (PAIN) este disponibilă la: PAIN
- Conclusive Logic Arhivat 8 aprilie 2005 la Internet Archive . (O „infrastructură de securitate a site-ului web” bazată pe standarde)
- Betrusted (a achiziționat produsul UniCERT la începutul anului 2004 )
- Programul NIST PKI , o propunere a Institutului Național de Standarde și Tehnologie (NIST) de a dezvolta o infrastructură cu cheie publică
- https://www.mozilla.org/projects/security/pki - Proiecte open source PKI
- Știri și informații despre infrastructurile cu cheie publică , la pkiforum.com . Adus la 7 iulie 2020 (arhivat din original la 26 decembrie 2008) .
Autoritățile de certificare a robotului:
- Certificate gratuite Ascertia PVT Ltd , pe ascertia.com (arhivat din original la 25 noiembrie 2005) .
- CAcert.org .
- Violet imperial (Adam Langley) , pe imperialviolet.org . Adus la 14 septembrie 2005 (arhivat din original la 19 martie 2005) .
- Robot CA la JamesHoward.us , pe jameshoward.us . Adus la 14 septembrie 2005 (arhivat din original la 25 octombrie 2005) .
- Thawte.com 123 certificate SSL [ link rupt ] , pe thawte.com .
- Certificate Geotrust QuickSSL , pe geotrust.com . Adus la 2 mai 2019 (depus de „url original 27 septembrie 2008).
- Certificatele Godaddy Turbo SSL , la godaddy.com .
Controlul autorității | LCCN (EN) sh2002004634 · NDL (EN, JA) 00.967.098 |
---|