PKI Public Key Infrastructure що таке Сервіс по управлінню сертифікатами PKI Україна
Логотип департаменту безпеки WebTrust ТОВ Адграфікс

Що таке і як працює PKI Public Key Infrastructure

Ми можемо безпечно спілкуватися з людьми, чиї відкриті ключі у нас є, використовуючи криптографію з відкритим ключем. Але є багато проблем, які необхідно вирішити, наприклад, як створити відкритий ключ або відкликати його. Найголовніше, як це зробити глобально, коли у нас є мільйони серверів, людей і пристроїв? Відповідь - Інфраструктура відкритих ключів (PKI).

Що таке інфраструктура відкритих ключів?

Для більшості людей PKI означає інфраструктуру з відкритим ключем, яку часто можна побачити в Інтернеті. Однак значення PKI набагато ширше, оскільки його розробка спочатку призначена для інших цілей. Крім того, термін «PKI або Internet PKI» був введений PKIX, робочою групою IETF (Internet Engineering Task Force) для використання його в Інтернеті для сертифікатів X.509, де він фокусується на тому, як браузери перевіряють і використовують сертифікати.

Іншими словами, PKI (Інфраструктура відкритих ключів) - це набір правил, процедур і політик, які необхідні для створення, поширення, управління, зберігання, використання або відкликання сертифікатів та управління шифруванням.

Крім того, PKI яку засновано на асиметричному шифруванні і в основному використовується для захисту електронного зв'язку для електронної пошти, інтернет-банкінгу, покупок в Інтернеті, а також для спілкування мільйонів користувачів і веб-сайту, до якого вони підключаються за допомогою HTTPS.

Ключові компоненти PKI (Інфраструктура відкритих ключів)

Типова середу PKI включає в себе наступні компоненти.

Ієрархія PKI

Ієрархія PKI Hierarchical PKI є однією з моделей довіри PKI. Ієрархія PKI може мати один або кілька рівнів. Якщо це однорівневе середовище PKI, кореневий CA буде тільки вашим CA-сервером. Якщо він складається з декількох рівнів, кореневий центр сертифікації видаватиме інші сертифікати підлеглого центру сертифікації прямо під кореневим каталогом, і не буде необхідності щодня звертатися до сервера кореневого центру сертифікації. Всі сертифікати можуть бути запитані користувачами з самого підлеглого ЦС, в той же час дозволяючи кореневому ЦС відключатися. Аналогічно, відключення кореневого центру сертифікації також підвищить безпеку середовища PKI, оскільки ніхто не буде мати мережевий доступ до сервера. І нарешті, скільки рівнів можна використовувати, залежить від того, яка ваша мета в середовищі PKI, вимоги безпеки або довіру, яке ви хочете зберегти в середовищі.

На наведеній нижче діаграмі видно, що кожен ЦС надає права суб-ЦС (підвідомчі ЦС) підписувати цифрові сертифікати для пристроїв. І ці цифрові сертифікати залишаються в кінці ієрархії. Вони приймаються пристроями і затверджуються підрозділом CA, яке підписує і генерує їх. Вони також називаються сертифікатами пристрою. Структура подчинности в PKI

Крім того, суб-CA, які генерують сертифікати пристрою, мають свій сертифікат, який авторизується цифровим підписом центру сертифікації (CA), який знаходиться над ними. В кінцевому рахунку, PKI знаходиться на вершині, що є основою і коренем цієї ієрархії середовища PKI. Крім цього, деякі з причин того, що навколишнє середовище PKI повинна бути організоване в ієрархії, полягає в тому, що вона дозволяє відкликати або забороняти доступ до вибраних рівнях в разі витоку або компрометації закритого ключа.

Основною перевагою PKI реалізованої за допомогою ієрархій деревовидних типів є те, що вона дозволяє власнику середовища управляти скомпрометованою подією. Це також одна з причин, по якій сертифікати пристроїв видаються не безпосередньо через кореневий ЦС, а через підлеглі ЦС, які знаходяться нижче кореневого, оскільки в разі збою всієї PKI і всім розгорнутим пристроям в цій області потрібно бути відкликаним. Нарешті, одне з основних переваг полягає в тому, що один суб-CA здатний і генерує більше мільйонів сертифікатів пристроїв, що використовуються для аутентифікації мільйонів пристроїв тільки з одним відкритим ключем суб-CA.

Управління сертифікатами

Всі сертифікати SSL / TLS генерітся з обмеженим періодом, і після його закінчення вони більше не будуть вважатися дійсними. Сертифікати мають різні терміни дії, які можуть становити один або два роки. Термін їх дії закінчується до цієї дати. Сертифікати повинні бути замінені після закінчення терміну їх дії, щоб уникнути попереджень або порушень безпеки. І цей процес називається продовженням SSL-сертифіката. Звичайно, використання SSL / TLS-сертифіката широко поширене і використовується у всіх організаціях, але є багато причин для розгляду підходу управління життєвим циклом, оскільки однією з найважливіших завдань є підтримка життєдіяльності сертифікатів. Використання належного управління життєвим циклом сертифікатів SSL / TLS забезпечує належний підхід і підвищує як ефективність, так і результативність. Якщо організація не може забезпечити належне управління сертифікатом протягом життєвого циклу, вона може зіткнутися з негативними наслідками, такими як закінчення терміну дії сертифіката, втрата репутації і доходів.