Wat is PKI (Public Key Infrastructure)? Hoe werkt het?

Public Key Infrastructure (PKI) is een oplossing waarbij in plaats van e-mailadressen en wachtwoorden voor authenticatie, certificaten worden gebruikt. PKI versleutelt ook communicatie, met behulp van asymmetrische encryptie, Die gebruikt Openbare en privésleutels. PKI houdt zich bezig met het beheer van de certificaten en sleutels en creëert een zeer veilige omgeving die ook kan worden gebruikt door gebruikers, applicaties en andere apparaten. PKI gebruikt X.509-certificaten en openbare sleutelswaarbij de sleutel wordt gebruikt voor end-to-end gecodeerde communicatie, zodat beide partijen elkaar kunnen vertrouwen en hun authenticiteit kunnen testen.

PKI wordt vooral gebruikt in TLS / SSL Om verbindingen tussen de gebruiker en de server te beveiligen, terwijl de gebruiker de authenticiteit van de server test om er zeker van te zijn dat deze niet is vervalst. SSL-certificaten kunnen ook worden gebruikt om IoT-apparaten te verifiëren.

Waarom gebruiken wij PKI?

PKI biedt een manier om personen, apparaten en apps te identificeren en biedt robuuste encryptie, zodat de communicatie tussen beide partijen privé blijft. Naast authenticatie en identificatie biedt PKI digitale handtekeningen en certificaten om unieke referenties voor de certificaathouder te creëren en de certificaathouder te valideren.

PKI wordt overal op internet gebruikt in de vorm van TLS/SSL. Wanneer een client (in dit geval een webbrowser) met een server communiceert, krijgt de client het certificaat in handen en valideert het om de authenticiteit ervan te garanderen. Vervolgens wordt asymmetrische encryptie gebruikt om het verkeer van en naar de server te versleutelen. Het digitale certificaat bevat informatie zoals de geldigheidsduur van het certificaat, de uitgever van het certificaat, de certificaathouder, de openbare sleutel, het handtekeningalgoritme, enzovoort.

Het bevat ook een certificeringspad. Een certificeringspad is een geordende lijst met het openbare sleutelcertificaat van de uitgever en meer, indien van toepassing.

Een certificeringspad moet worden gevalideerd voordat er op kan worden vertrouwd dat het vertrouwen in de openbare sleutel van een certificaathouder bestaat. Validatie kan bestaan ​​uit verschillende controles op de certificaten van het certificeringspad, zoals het verifiëren van de handtekeningen en het controleren of elk certificaat niet is ingetrokken. De PKIX-standaarden definiëren een algoritme voor het valideren van certificeringspaden die bestaan ​​uit X.509-certificaten.

Naast SSL op internet wordt PKI ook gebruikt in digitale handtekeningen en handtekeningsoftware. PKI wordt ook gebruikt in smart devices, telefoons, tablets, spelconsoles, paspoorten, mobiel bankieren, enzovoort. Om compliance-uitdagingen het hoofd te bieden, alle regelgeving na te leven en de beveiliging optimaal te houden, gebruiken organisaties PKI op verschillende manieren om alles veilig te houden.

Welke encryptiemethoden worden gebruikt in PKI?

PKI maakt gebruik van zowel symmetrische als asymmetrische encryptie om al haar activa te beveiligen.

Asymmetrische versleuteling

Asymmetrische encryptie of Public Key Cryptography gebruikt twee afzonderlijke sleutels voor encryptie en decryptie. Eén daarvan staat bekend als de publieke sleutel en de andere is de privésleutel. De publieke sleutel kan gegenereerd worden met de privésleutel, maar de privésleutel niet. De privésleutel en vice versa kunnen alleen encryptie ontcijferen die met de publieke sleutel is uitgevoerd. Samen worden deze sleutels "Publieke en Privé Sleutelparen" genoemd.

Asymmetrische encryptie biedt een manier om gegevens in openbare kanalen te versleutelen door de publieke sleutel te verspreiden. Omdat er geen geheime sleutels hoeven te worden uitgewisseld, hebben we geen last van het probleem van sleuteldistributie dat we doorgaans wel hebben bij symmetrische encryptie. 

Deze sleutels gebruiken een hoge mate van willekeur om een ​​verbeterde beveiliging te garanderen. Algoritmen zoals RSA, EDSCA, DSA en Diffie-Hellman, met een sleutellengte van 1024 tot 2048 of meer, worden doorgaans gebruikt. Over het algemeen geldt: hoe langer de sleutel, hoe veiliger de encryptiemethode. Ter vergelijking: als 2048-bits encryptie wordt gebruikt om de sleutel te genereren, zijn er ongeveer 2^2048 combinaties mogelijk. Het zou honderden jaren duren om al deze combinaties te verwerken. 

Omdat de sleutels langer zijn en er altijd twee verschillende sleutels moeten worden gegenereerd voor encryptie en decryptie, wordt dit proces tijdrovender. Bovendien gebruiken we hier complexere algoritmen. Dit zijn enkele van de vele redenen waarom asymmetrische encryptie langzamer is dan symmetrische encryptie. 

Bij SSL-certificaten die gebruikt worden voor versleutelde communicatie tussen een client en een server, wordt een openbare sleutel aan het certificaat gekoppeld. Hiermee wordt beveiligde communicatie tussen twee partijen gestart.

Asymmetrische encryptie wordt gebruikt om een ​​geheime sleutel uit te wisselen. Dit gebeurt tijdens de eerste handdruk tussen de twee partijen.

De uitgewisseld geheime sleutel wordt gebruikt om symmetrische encryptie in te stellen voor verdere communicatie. Symmetrische encryptie is sneller dan asymmetrische encryptie, dus de combinatie van beide biedt robuuste end-to-end beveiliging.

Symmetrische encryptie

Symmetrische encryptie gebruikt, in tegenstelling tot asymmetrische encryptie, slechts één sleutel voor zowel encryptie als decryptie. Deze gedeelde sleutel is cruciaal voor veilige communicatie, maar de veilige uitwisseling ervan tussen de communicerende partijen vormt een aanzienlijke uitdaging bij symmetrische encryptie, algemeen bekend als het "sleuteldistributieprobleem". Om dit aan te pakken, zijn verschillende technieken ontwikkeld, zoals sleutelafleidingsfuncties en vertrouwde sleuteldistributiecentra van derden.

Nu zouden beide entiteiten die via symmetrische encryptie communiceren (zender en ontvanger) de sleutel moeten uitwisselen, zodat deze wordt gebruikt bij decryptie. In dit geval worden de gegevens versleuteld in een schijnbaar willekeurige en onbegrijpelijke vorm (cijfertekst) en kunnen ze alleen met de geheime sleutel in de oorspronkelijke vorm worden hersteld. 

Symmetrische encryptie is het meest gebruikte type encryptie en wordt vaak gebruikt in toepassingen zoals e-mail, bestandsdeling en virtuele privénetwerken (VPN's). Enkele voorbeelden van symmetrische encryptie zijn AES (Advanced Encryption Standard), DES (Data Encryption Standard) en RC4 (Rivet Cipher 4). Hoewel dit sneller is dan asymmetrische encryptie, kan iedereen de versleutelde inhoud ontsleutelen als de sleutel wordt gecompromitteerd. Daarom wordt asymmetrische encryptie gebruikt om te garanderen dat de geheime sleutel niet wordt gecompromitteerd en de verbinding veilig blijft.

Zoals we weten, hangt de toepassing van beide encryptiemethoden af ​​van de voordelen die ze bieden. In gevallen waar snelheid belangrijker is dan verhoogde beveiliging, gebruiken we symmetrische encryptie. Enkele van de meest voorkomende gevallen zijn: 

• Bankieren

  In betaaltoepassingen moeten gevoelige gebruikersgegevens, zoals rekeningnummers of gedeeltelijke creditcardgegevens, worden versleuteld om ze te beschermen tegen kwaadwillenden. Dit helpt het risico van dagelijkse transacties te verminderen zonder de transactiesnelheid in gevaar te brengen.

• Data opslag

  Het versleutelen van opgeslagen gegevens, bijvoorbeeld bij de opslag van grote hoeveelheden gevoelige gegevens, geven bedrijven er de voorkeur aan om het gehele opslagmedium te versleutelen.

In de gevallen waarin geavanceerde beveiliging voorrang heeft boven snelheid of er behoefte is aan identiteitsverificatie, gebruiken we asymmetrische sleutels

• Digitale handtekeningen

  Ze behouden de authenticiteit en integriteit van de overgedragen gegevens. Bovendien zijn ze nuttig voor e-mail, gegevensuitwisseling, enzovoort.

• Publieke sleutelinfrastructuur (PKI)

  Gebruik van asymmetrische sleutels voor het uitgeven en beheren van digitale certificaten.

Er zijn inmiddels ook diverse gevallen bekend waarin symmetrische en asymmetrische encryptie samen worden gebruikt. Berichten-apps en SSL-certificaten gebruiken een combinatie van deze encryptiemethoden.

Berichten-apps zoals WhatsApp gebruiken dit om end-to-end encryptie te bereiken. Asymmetrische encryptie creëert enerzijds een beveiligd kanaal, waarbij de publieke sleutels van gebruikers op de server worden opgeslagen en de privésleutels op hun persoonlijke apparaten blijven staan. Dit maakt veilige uitwisseling van een sessiesleutel mogelijk, die vervolgens wordt gebruikt voor efficiënte symmetrische encryptie van het bericht zelf.

SSL-certificaten gebruiken asymmetrische encryptie om de server te authenticeren en een beveiligd kanaal te creëren voor het uitwisselen van een sessiesleutel. Deze sessiesleutel gebruikt vervolgens symmetrische encryptie voor de websitegegevens die u opent. In beide scenario's worden beide encryptiemethoden efficiënt gebruikt: asymmetrisch voor veilige sleuteluitwisseling en initiële configuratie, en symmetrisch voor efficiënte gegevensencryptie tijdens de daadwerkelijke communicatie.

Wat zijn digitale certificaten? Wat is hun rol?

Digitale certificaten worden veel gebruikt in PKI. Een digitaal certificaat is een unieke vorm van identificatie voor een persoon, apparaat, server, website en andere applicaties. Digitale certificaten worden gebruikt voor authenticatie en valideren de authenticiteit van een entiteit. Het maakt het ook mogelijk dat twee apparaten versleutelde communicatie tot stand brengen en elkaar vertrouwen zonder angst voor spoofing. Het helpt ook bij verificatie, wat bijdraagt ​​aan de groei en betrouwbaarheid van e-commerce in de betalingssector.

Er zijn twee soorten certificaten.

1. Zelfondertekend certificaat Gebruikers kunnen certificaten aanmaken, die gebruikt kunnen worden voor interne communicatie tussen twee vertrouwde partijen.
2. Ondertekend door certificeringsinstantie Een certificeringsinstantie geeft een certificaat uit dat gebruikt kan worden voor TLS/SSL op de website. Klanten kunnen het certificaat van de externe uitgever valideren, wat de authenticiteit van de server valideert.

Voordat een certificeringsinstantie een certificaat uitgeeft, controleert de uitgever of het aan de juiste instantie wordt verstrekt. Er worden verschillende controles uitgevoerd, bijvoorbeeld of zij de domeinnaamhouders zijn. Het certificaat wordt pas uitgegeven nadat alle controles zijn voltooid.

Wat is de X.509-standaard?

De meeste openbare certificaten gebruiken een standaard, machinaal leesbaar certificaatformaat voor certificaatdocumenten. Dit heette aanvankelijk X.509v3. Het formaat wordt op veel manieren gebruikt, zoals

• Internetprotocollen (TLS/SSL, dat veilige HTTP-verbindingen mogelijk maakt)
• Digitale handtekeningen
• Digitale certificaten
• Certificaatintrekkingslijsten (CRL's)

Waaruit bestaat PKI? Waar worden de certificaten aangemaakt en opgeslagen?

PKI of Public Key Infrastructure gebruikt meerdere elementen in hun infrastructuur om de beloofde beveiliging te garanderen. PKI gebruikt digitale certificaten om personen, apparaten en software die toegang hebben tot de infrastructuur te beheren en valideren. Deze certificaten worden uitgegeven door een certificeringsinstantie (CA). Een certificeringsinstantie (CA) geeft certificaten uit en valideert deze voor een gebruiker, apparaat, software, server of andere CA. De CA zorgt ervoor dat de certificaten geldig zijn, trekt ze in en handhaaft hun levenscyclus.

Alle door de CA aangevraagde, ontvangen en ingetrokken certificaten worden opgeslagen en onderhouden in een gecodeerde certificaatdatabase. Er wordt ook gebruikgemaakt van een certificaatopslag waarin de certificaatgeschiedenis en -informatie worden opgeslagen.

Wat is een certificeringsinstantie?

De certificeringsinstantie certificeert de identiteit van de aanvrager. De aanvrager kan een gebruiker, applicatie, enz. zijn. De identificatiemodus wordt bepaald op basis van het type certificeringsinstantie, het beveiligingsbeleid en de vereisten voor het verwerken van verzoeken.

Tijdens de installatie wordt een certificaatsjabloon gekozen en wordt het certificaat op aanvraag uitgegeven op basis van de verstrekte informatie. CA's publiceren ook ingetrokken lijsten, CRL's genaamd, die ervoor zorgen dat ongeldige of ongeautoriseerde certificaten niet meer gebruikt kunnen worden.

Root-CA is een vertrouwde certificeringsinstantie (CA), heeft het hoogste hiërarchieniveau en fungeert als een vertrouwensanker. Bij het valideren van een certificaatpad is het rootcertificaat het laatste certificaat dat wordt gecontroleerd. Root-CA's blijven meestal offline en moeten airgapped blijven om te voorkomen dat ze worden gecompromitteerd. Root-CA's ondertekenen certificaten voor de uitgevende CA en andere ondergeschikte CA's die in het netwerk worden gebruikt. Als een uitgevende CA uitvalt, kan er een andere worden aangemaakt, maar als een root-CA uitvalt of gecompromitteerd raakt, moet het hele netwerk opnieuw worden aangemaakt.

Ondergeschikte CA valt onder de root-CA, maar staat boven de eindpunten. Ze helpen bij het uitgeven van certificaten, het beheren van beleid, enz. Hun belangrijkste doel is het definiëren en autoriseren van certificaattypen die bij de root-CA kunnen worden aangevraagd. Voorbeeld: een ondergeschikte CA kan per locatie verschillen, of de ene CA kan RSA-sleutels verwerken en de andere ECC-sleutels.

Wie beslist of CA te vertrouwen is? 

Vertrouwen in CA's wordt opgebouwd via lidmaatschapsprogramma's, waarbij elke CA aan strenge criteria en protocollen moet voldoen om als lid te worden geaccepteerd. Browsers en besturingssystemen hebben een beperkt aantal goedgekeurde CA's. Deze moeten zich aan strikte richtlijnen en beveiligingspraktijken houden om de integriteit en betrouwbaarheid van de certificaten die ze uitgeven te waarborgen.

Een Domain Validated (DV) SSL-certificaat bevestigt bijvoorbeeld het domeineigendom, terwijl een Extended Validation (EV) SSL-certificaat verder gaat. EV-certificaten vereisen grondige bedrijfscontroles door de CA, wat resulteert in extra informatie in de browserbalk, zoals de bedrijfsnaam. Deze extra verificatie draagt ​​bij aan de betrouwbaarheid van de website en de uitgevende CA. 

Proces van certificaatcreatie

Stap 1: sleutelgeneratie

Dit wordt gedaan door de gebruiker. De publieke sleutel wordt naar de registratie-authenticatie gestuurd en de privésleutel wordt door de gebruiker bewaard.

Stap 2: Maak een CSR

Met behulp van een privésleutel genereren we een CSR die de openbare sleutel en de benodigde gegevens voor het certificaat bevat, zoals domein- en organisatiegegevens.

Stap 3: Indienen bij CA

Vervolgens wordt het CSR ingediend bij een vertrouwde CA voor certificaatuitgifte.

Stap 4: CA-verificatie

Zodra de CA het certificaat ontvangt, start deze het verificatieproces voordat het certificaat wordt toegekend. Dit gebeurt op basis van het aangevraagde certificaattype (domein gevalideerd, organisatie gevalideerd, etc.).

Stap 5: Certificaatuitgifte

Na het verificatieproces wordt het bijbehorende certificaat afgegeven.

Wat zijn CRL's?

Certificate Revocation Lists (CRL's) zijn een lijst met alle digitale certificaten die zijn ingetrokken. Een certificeringsinstantie vult CRL's in, omdat de CA de enige instantie is die certificaten intrekt die zij uitgeeft.

Zonder een intrekkingslijst is het moeilijker om te achterhalen of een certificaat is ingetrokken vóór de vervaldatum. De intrekkingslijst is vergelijkbaar met een lijst met ongeautoriseerde entiteiten.

Een certificaat kan verlopen aan het einde van de levenscyclus ervan. Tijdens het aanmaken van het certificaat wordt ook ingesteld hoe lang het geldig blijft.

Als de sleutel echter binnen die tijd wordt gecompromitteerd, de gebruiker zich terugtrekt of om andere redenen, wordt het certificaat ingetrokken en kan het niet meer worden gebruikt om toegang te krijgen. Het certificaat wordt dan gemarkeerd als ongeautoriseerd en kan vervolgens niet meer door iemand anders worden gebruikt.

Bovendien fungeren deze CRL's als een controlepunt binnen de PKI-infrastructuur. Wanneer onze browser verbinding maakt met een website die we bezoeken, valideert deze het digitale certificaat dat door de website is uitgegeven. Deze certificaten bevatten een of meer links waarmee de browser de CRL kan ophalen. Afhankelijk van de respons beschouwt de browser het certificaat als betrouwbaar of waarschuwt hij ons voor het ingetrokken certificaat. 

In dit hele proces fungeert CRL dus als een zwarte lijst met informatie over certificaten die vóór de vervaldatum zijn ingetrokken vanwege beveiligingsproblemen of andere problemen. 

Wat is een Delta CRL?

In een grote organisatie kunnen CRL's behoorlijk groot worden. Omdat een certificaat in CRL moet blijven tot het verloopt, kunnen ze meerdere jaren actief blijven. Het overzetten van de volledige CRL van de ene server naar de andere kan enige tijd duren. Om dit proces te versnellen, wordt een CA (delta-CRL) uitgegeven, die alleen de wijzigingen bevat die zijn aangebracht sinds de laatste CRL-update. Dit maakt de overdracht veel korter en het bijwerken van CRL's veel sneller.

Wat is een ARL?

Authority Revocation List is een afgeleide van CRL. Het bevat ingetrokken certificaten die zijn uitgegeven aan certificeringsinstanties in plaats van aan gebruikers, software of andere clients. ARL wordt alleen gebruikt om een ​​vertrouwensketen te beheren.

Wat is OCSP?

Het Online Certificate Standard Protocol, zoals beschreven in RFC 6960, wordt gebruikt om de intrekkingsstatus van een digitaal certificaat te bevestigen. OCSP is een eenvoudigere en snellere manier om intrekking te controleren dan CRL's, omdat CA-controles worden uitgevoerd in plaats van PKI. Er worden minder gegevens verzonden, wat de CA helpt bij het parseren van de gegevens.

OCSP is echter minder veilig dan CRL's. Redenen hiervoor zijn:

• OCSP is minder informatief. De enige informatie die CA terugstuurt is ofwel "goed", "slecht" of "onbekend".
• OCSP stelt geen eisen aan encryptie.
• Mogelijk wanneer een ‘goed’ antwoord kan worden vastgelegd en het terugspelen naar een ander OCSP-verzoek mogelijk is.

Vertrouwde rootcertificaten 

Vertrouwde certificaten vormen een vertrouwensketen die andere certificaten verifieert die door de vertrouwde rootcertificaten zijn ondertekend. Dit zijn voornamelijk de certificaten op het hoogste niveau in de certificaathiërarchie. Wanneer we een beveiligde website bezoeken (met HTTPS), controleert onze browser het SSL/TLS-certificaat van de website aan de hand van een lijst met vertrouwde rootcertificaten die lokaal is opgeslagen. Als het door de website gepresenteerde certificaat is ondertekend door een van deze vertrouwde rootcertificaten, wordt de verbinding als veilig en versleuteld beschouwd. 

Een voorbeeld hiervan is Microsoft Root Certification Authority. Dit certificaat wordt uitgegeven door Microsoft Corporation en is opgenomen in het vertrouwde root-certificaatarchief van Windows-besturingssystemen en Microsoft-producten. Het wordt gebruikt om vertrouwen te creëren voor diverse Microsoft-services, -applicaties en -websites. 

Wat is een tweelaagse architectuur in PKI?

Een tweelaagse architectuur is een indeling die voldoet aan de eisen van de meeste organisaties. De root-CA bevindt zich op de eerste laag, die offline en airgapped moet blijven. De ondergeschikte uitgevende CA moet daaronder online zijn. Doordat we de rol van root-CA en uitgevende CA scheiden, neemt de beveiliging toe. Doordat de root-CA offline is, worden de privésleutels beter beschermd en wordt de kans op hackers verkleind.

Tweelaagse architectuur verhoogt ook de schaalbaarheid, flexibiliteit en daarmee ook de fouttolerantie. Door de rollen te scheiden, kunnen meerdere uitgevende CA's worden aangemaakt en onder een load balancer worden geplaatst. Dit stelt ons ook in staat om CA's in verschillende regio's te onthouden en verschillende beveiligingsniveaus te gebruiken, afhankelijk van de regio. Het beheer neemt ook toe doordat CA's gescheiden zijn en root-CA's alleen online hoeven te worden gebracht om CRL's te ondertekenen.

Tweelaagse architectuur is het sterk aanbevolen ontwerp voor de meeste PKI-oplossingen.

Wat is een drielaagse architectuur in PKI?

Net als bij een tweelaagse architectuur heeft een drielaagse architectuur ook een offline root-CA bovenaan en een online uitgevende CA onderaan. De tussenlaag bevat nu echter een CA die offline moet blijven. De tussenlaag kan fungeren als een beleid-CA die bepaalt welk beleid moet worden gevolgd bij het uitgeven van een certificaat. Alle geauthenticeerde gebruikers kunnen een certificaat verkrijgen, maar de gebruiker moet mogelijk persoonlijk verschijnen voor certificaatgoedkeuring.

Als een uitgevende CA echter te maken krijgt met een inbreuk of iets dergelijks, kan het tweede niveau de certificaten intrekken, terwijl de rest van de vestigingen in leven blijven.

Drielaags PKI verhoogt weliswaar de beveiliging, schaalbaarheid en flexibiliteit, maar brengt ook hogere kosten en beheersbaarheid met zich mee. Als een organisatie geen administratieve of beleidsmatige grenzen hanteert, kan de middelste laag ongebruikt blijven. Drielaags PKI wordt daarom meestal niet aanbevolen of gebruikt.

Implementatie van PKI

Welke uitdagingen lost PKI op?

1. Vertrouwd

   PKI helpt gebruikers de authenticiteit van apparaten en websites te bevestigen. Dit zorgt ervoor dat gebruikers verbinding maken met de juiste website. Bovendien blijft de communicatie tussen de gebruiker en de server versleuteld. Dit verkleint de kans op spoofing of een man-in-the-middle-aanval. PKI helpt klanten ook om e-commercewebsites te vertrouwen en veilig online te betalen. PKI waarborgt de authenticiteit van alle betrokken partijen en versleutelt bovendien de communicatie tussen hen, waardoor een gevoel van vertrouwen ontstaat.

2. authenticatie

   Wachtwoorden zijn tot nu toe zwak gebleken, omdat mensen de neiging hebben om wachtwoorden te delen, op een post-it te schrijven, enz. PKI maakt digitale certificaten aan die de identiteit van gebruikers valideren. Omdat de identiteit gevalideerd is, kan het worden gebruikt om gebruikers, apparaten en applicaties te authenticeren.

3. Security

   PKI verbetert de beveiliging, want wanneer het vertrouwen toeneemt en authenticatie wordt geïmplementeerd, blijft alleen PKI zelf over als aanvalsvector. Mensen zijn vaak de zwakste schakel in de beveiliging, en wanneer PKI wordt geïmplementeerd, hebben gebruikers weinig controle. PKI zorgt ervoor dat alle beleidsregels worden gehandhaafd, dat de beveiliging op orde is en dat digitale certificaten (in de vorm van smartcards) ervoor zorgen dat gebruikers geen wachtwoorden of pincodes gebruiken die gemakkelijk te achterhalen zijn. De enige variabele die overblijft, is PKI, dat beveiligd kan worden en zo het netwerk beschermt.

PKI voor internet

Surfen op internet gebeurt vaak via HTTPS, een beveiligde versie van HTTP die de primaire manier is om websites te bezoeken. Terwijl we HTTPS gebruiken, is onze verbinding met de server versleuteld. Om er zeker van te zijn dat we verbinding maken met de juiste server, accepteert onze browser eerst een certificaat van de server. Vervolgens valideert hij het certificaat en gebruikt de openbare sleutel in het certificaat om een ​​beveiligde verbinding tot stand te brengen.

Dat certificaat bewijst de authenticiteit van de server, verhoogt de beveiliging, versleutelt de verbinding en zorgt ervoor dat de gebruiker de website vertrouwt.

Als het certificaat ongeldig of verlopen is, waarschuwt de browser de gebruiker om de website niet te vertrouwen en staat de gebruiker vaak zelfs niet toe om die specifieke website te bezoeken. De browser kan de gebruiker ook verbieden om websites te bezoeken die geen HTTPS-verbinding gebruiken.

PKI voor authenticatie

PKI biedt digitale certificaten die de authenticiteit van de gebruiker bewijzen. Omdat de gebruiker authentiek is, authenticeert deze, indien geautoriseerd, gebruikers in een gebied met behulp van smartcards of het netwerk. PKI gaat veel verder dan alleen gebruikersauthenticatie. Het stelt gebruikers en systemen in staat hun identiteit te verifiëren en draadloos te communiceren, zoals bij certificaatgebaseerde wifi-authenticatie. PKI ook.

Met behulp van deze digitale certificaten kunnen ook andere apparaten en servers worden geauthenticeerd om toegang en privileges tot het netwerk te krijgen. Dit kan ook Intrusion Detection Devices of andere netwerkapparaten zoals routers omvatten. PKI speelt ook een belangrijke rol bij VPN-authenticatie. Bovendien worden certificaten beschouwd als de voorkeursmethode voor authenticatie, aangezien er zeer gevoelige gegevens via VPN worden benaderd. Over het algemeen wordt de CA opgeslagen in de firewall van het apparaat en zodra de gebruiker is geauthenticeerd, wordt er een beveiligde tunnel gecreëerd tussen beide communicerende entiteiten.

PKI voor communicatie

PKI kan worden gebruikt voor communicatie, waarbij beide partijen elkaars authenticiteit kunnen controleren, waardoor ze elkaars identiteit vertrouwen en hun gesprek vervolgens versleutelen. Dit verhoogt de veiligheid en het vertrouwen tussen de partijen die aan de communicatie deelnemen aanzienlijk. Een goed voorbeeld van PKI in communicatie is beveiligde e-mail. S/MIME (Secure/Multipurpose Internet Mail Extensions) gebruikt digitale certificaten om e-mails te versleutelen. Zowel de afzender als de ontvanger hebben een betrouwbaar CA-ondertekend certificaat nodig. S/MIME gebruikt deze certificaten om de authenticiteit van de afzender te garanderen en de inhoud van de e-mail te versleutelen, zodat alleen de beoogde ontvanger er toegang toe heeft met behulp van de openbare sleutel.

PKI in IoT

De aarde telt meer apparaten dan mensen. In de VS zijn er gemiddeld 11 verbonden apparaten per huishouden. Het beheren en voldoende IP-adressen voor al deze apparaten is een uitdaging gebleken. In november 2019 raakte Europa door IPv4 heen. Daarom werd in 2012 IPv6 geïntroduceerd, dat sindsdien nog steeds wordt gebruikt.

Het aantal apparaten zal alleen maar toenemen door de opkomst van IoT. Met de toename van slimme apparaten wordt het een uitdaging om de digitale identiteit van deze apparaten te bevestigen en de juiste netwerkbeveiliging te bieden.

PKI biedt een manier om digitale certificaten toe te wijzen aan slimme apparaten en een beveiligde verbinding met de server te maken. Dit helpt OEM's om slimme apparaten te volgen, updates te pushen, te monitoren en indien nodig zelfs te repareren. Het beschermt IoT-apparaten ook tegen aanvallen, die catastrofaal kunnen zijn omdat ze onze huizen en persoonlijke ruimte kunnen aantasten.

Encryptie Consulting – PKI Adviesdiensten

Encryption Consulting biedt met zijn topconsultants een breed scala aan PKI-diensten voor al haar klanten. Onze diensten omvatten:

• PKI-beoordeling  De beoordeling identificeert hiaten en biedt aanbevelingen als onderdeel van een vergelijkende studie naar de huidige en toekomstige status van de PKI van klanten. Deze studie levert klanten een waardevol risicorapport, een stappenplan voor verbetering en een manier om investeringen in gegevensbeveiliging te prioriteren.
• PKI-ontwerp/implementatie  Het ontwerpen en implementeren van een succesvolle PKI vereist expertise. Wij kunnen klanten hierbij helpen. Om u hierbij te helpen, ontwerpen we PKI en ondersteunende processen. Na het ontwerp helpen we u met de implementatie/migratie van PKI-technologie en -infrastructuur, inclusief de root- en uitgevende CA's. We ontwikkelen PKI-beleid, -regels en operationele processen in lijn met uw bedrijfsbehoeften.
• PKI CP/CPS-ontwikkeling De CP- en CPS-documenten beschrijven de architectuur van uw specifieke PKI en bevatten onderdelen over certificaatgebruik, naamgeving, identificatie, authenticatie, sleutelgeneratie, procedures, operationele en technische controles, intrekkingslijsten, audits, beoordelingen en juridische zaken. Encryption Consulting werkt samen met stakeholders van de klant om een ​​Certificate Policy (CP) / Certificate Practice Statement (CPS)-document te ontwikkelen volgens de template in Request for Comment (RFC) #3647.
• PKI als een service PKI as a Service van Encryption Consulting biedt u een aanpasbare, zeer betrouwbare Microsoft PKI, ontworpen en gebouwd volgens de hoogste normen. Het is een beheerde oplossing met een laag risico die u volledige controle geeft over uw PKI, zonder dat u zich zorgen hoeft te maken over de complexiteit.
• PKI-training Encryption Consulting biedt PKI-trainingen voor iedereen die certificaten gebruikt of beheert, een PKI-bedrijfsoplossing ontwerpt of implementeert, of een commerciële PKI-technologieoplossing evalueert en selecteert.

Conclusie

Concluderend blijft Public Key Infrastructure (PKI) de hoeksteen van moderne virtuele beveiliging. PKI biedt authenticatie, encryptie en keurt de benodigde middelen voor veilige communicatie tussen domeinen goed. Met asymmetrische encryptie en robuuste certificaten en verificatieprocessen garandeert PKI de authenticiteit en authenticiteit van gebruikers, apparaten en pakketten.

Encryption Consulting biedt uitgebreide expertise en oplossingen op maat. Met een team van topexperts biedt Encryption Consulting uitgebreide PKI-test-, ontwerp-, implementatie- en trainingdiensten, zodat klanten oplossingen op maat krijgen die aansluiten bij hun unieke beveiligingsbehoeften.