- Varför vi behöver PKI
- Hur fungerar PKI?
- Symmetrisk kryptering
- Asymmetrisk kryptering
- Algoritmen som används för att skydda känslig information är följande:
- PKI-certifikat
- Digitalt certifikat
- Certifieringsmyndighet (CA)
- Så här fungerar certifikatskapandet
- Komponenter i PKI-ekosystemet
- PKI:s arkitektur
- Vilka är några typiska utmaningar
- Komponenter i PKI-ekosystemet
- Hierarki av CA
- Slutsats
Närvarande, PKI används av företag för att hantera säkerhet genom krypteringDen mest populära typen av kryptering som används för närvarande innefattar två nycklar: en offentlig nyckel, som vem som helst kan använda för att kryptera meddelanden, och en privat nyckel, ibland kallad en hemlig nyckel, som endast ska vara tillgänglig för en person. Appar, enheter och personer kan alla använda dessa nycklar.
På 1990-talet verkade PKI-säkerhet först hjälpa till att kontrollera krypteringsnycklar genom utfärdande och administration av digitala certifikatCertifikaten motsvarar en digital licens eller ett digitalt pass. För att upprätthålla säkerheten bekräftar dessa PKI-certifikat ägaren till en privat nyckel och giltigheten av den relationen framöver.
Meddelanden krypteras och dekrypteras med hjälp av mycket avancerade matematiska beräkningar som kallas kryptografiska algoritmer. De fungerar som grund för PKI-autentisering. Enligt dagens standarder är symmetrisk kryptering en enkel kryptografisk teknik, men den ansågs tidigare vara banbrytande. Faktum är att den tyska armén använde den under andra världskriget för att vidarebefordra hemliga meddelanden. Filmen The Imitation Game gör ett bra jobb med att beskriva hur symmetrisk kryptering fungerar och dess betydelse under hela konflikten.
Varför vi behöver PKI
Att verifiera en certifikatkedja innebär att bekräfta att en specifik certifikatkedja är tillförlitlig, autentisk och korrekt signerad. Följande process verifierar en certifikatkedja som börjar med det certifikat som skickats in för äkthet.
Vanligtvis skickas kedjan av certifikat som går upp till rot-CA:n in tillsammans med certifikatet för en klient vars giltighet utvärderas. Verifieraren granskar certifikatet med hjälp av utfärdarens publika nyckel. Utfärdarens certifikat följer klientens certifikat i kedjan, där utfärdarens publika nyckel finns. Om den högre CA:n, som signerade utfärdarens certifikat, är betrodd av verifieraren, anses verifieringsproceduren nu vara lyckad.
Hur fungerar PKI?
Nycklar och certifikat är två tekniker som implementeras i PKI.
- En nyckel är ett betydande tal som används för kryptering.
- Nyckelformeln används för att kryptera varje del av ett meddelande. Någon som besitter denna nyckel kommer att kunna dekryptera vad som verkar vara ett meningslöst meddelande. Till exempel blir A till B, om du vill konstruera ett meddelande där ettan ersätter varje bokstav efter det. Efter C kommer D, etc.
- PKI använder två nycklar: en privat nyckel och en publik nyckel.
- När du väl mottagit meddelandet avkodar du det med hjälp av en privat nyckel. Kopplingarna mellan nycklarna görs via en utmanande matematisk ekvation. Även om de privata och publika nycklarna är länkade, möjliggör denna svåra beräkning kopplingen. På grund av detta är det mycket utmanande att bestämma den privata nyckeln med hjälp av information från den publika nyckeln.
Symmetrisk kryptering
Termen "symmetrisk kryptering” hänvisar till en metod för meddelandekryptering och dekryptering som använder samma nyckel. Ett meddelande som matas in i klartext med symmetrisk kryptering krypteras efter att ha gått igenom en serie matematiska permutationer. Samma bokstav i klartext visas ibland olika i det krypterade meddelandet, vilket gör det svårt att dekryptera. Till exempel skulle frasen ”HHH” inte krypteras till samma tre tecken. Det faktum att samma nyckel måste användas för att kryptera och avkoda meddelandet medför en betydande risk, även om det är extremt utmanande att dekryptera meddelanden utan nyckeln. Det beror på att systemet för att skicka säkra meddelanden går sönder om kanalen som används för att distribuera nyckeln komprometteras.
Här är några av de bästa krypteringsalgoritmerna som du kan använda för att skydda känsliga data.
-
Advanced Encryption Standard (AES)
Den symmetriska krypteringsalgoritmen Advanced Encryption Standard kodar datablock på 128 bitar åt gången. Dessa datablock krypteras med nycklar med längderna 128, 192 och 256 bitar. Datakryptering tar 14 omgångar för en 256-bitars nyckel, 12 omgångar för en 192-bitars nyckel och tio omgångar för en 128-bitars nyckel. Varje cykel innehåller flera steg för substitution, transponering, blandning av klartext och andra operationer.
-
Trippel datakrypteringsstandard (DES)
Data Encryption Standard (DES) krypterar datablock med en 56-bitars nyckel med hjälp av en symmetrisk krypteringsteknik som kallas Triple DES. Varje datablock krypteras med DES-chiffreringsmetoden tre gånger i Triple DES. Både PIN-koder för bankomater och UNIX-lösenord kan krypteras med Triple DES. Välkända program som Mozilla Firefox och Microsoft Office använder också Triple DES.
Asymmetrisk kryptering
Utbytesproblemet som hindrade symmetrisk kryptering löses med asymmetrisk kryptering, även känd som asymmetrisk kryptografi. Den åstadkommer detta genom att generera två unika kryptografiska nycklar – en privat nyckel och en offentlig nyckel – därav namnet "asymmetrisk kryptering". Ett meddelande krypteras med hjälp av matematiska permutationer i asymmetrisk kryptering. Det måste dekrypteras med en privat nyckel som bara mottagaren ska känna till, och det måste krypteras med en offentlig nyckel som kan distribueras till vem som helst.
Till exempel: Med hjälp av Bobs offentliga nyckel skapar Alice krypterad chiffertext som bara Bobs privata nyckel kan dekryptera för att skicka ett privat meddelande till Bob. Om Bob säkerställer att ingen annan har tillgång till hans privata nyckel kan Alice med säkerhet överföra meddelandet så att ingen annan kommer att kunna läsa det, inte ens en avlyssnare. En annan åtgärd som är svårare att utföra med symmetrisk kryptering är användningen av digitala signaturer, som fungerar enligt följande:
Bob kan använda sin privata nyckel för att skicka ett meddelande till Alice som innehåller en krypterad signatur. När Alice tar emot meddelandet kan hon bekräfta två saker med Bobs offentliga nyckel. Meddelandet skickades av Bob eller någon som använde Bobs privata nyckel. För om kommunikationen ändras även under överföring kommer verifieringen inte att lyckas.
I båda fallen har Alice ännu inte producerat en nyckel på egen hand. Alice kan kommunicera med Bob med hjälp av kryptering och verifiera dokument som Bob har signerat med endast ett utbyte av publika nyckelr. Viktigt är att dessa aktiviteter bara fungerar i en riktning. Alice skulle behöva skapa sin privata nyckel och dela den medföljande publika nyckeln för att ångra aktiviteterna, så att Bob kan skicka privata meddelanden till Alice och bekräfta hennes signatur.
Denna procedur skapar två primtal som är 1024 bitar långa och multiplicerar dem med varandra. De två primtalen som används för att konstruera svaret är den privata nyckeln, medan svaret är den publika nyckeln.
Den här metoden fungerar eftersom det är mycket svårt att vända på beräkningen när två primtal av den storleken är inblandade, vilket gör det relativt enkelt att beräkna den publika nyckeln från den privata nyckeln men mycket omöjligt att beräkna den privata nyckeln från den publika nyckeln.
Det faktum att Public Key Infrastructure (PKI) använder ett par nycklar för att leverera den underliggande säkerhetstjänsten är dess mest utmärkande drag. Nyckelparet utgörs av den privata nyckeln och den publika nyckeln.
Eftersom de publika nycklarna är offentliga är missbruk troligt. Därför måste en tillförlitlig infrastruktur skapas för att hantera dessa nycklar.
Algoritmen som används för att skydda känslig information är följande:
Rivest-Shamir-Adleman (RSA)
Ett asymmetriskt krypteringsschema som kallas Rivest-Shamir-Adleman är baserat på faktorisering av produkten av två enorma primtal. Endast någon som är medveten om dessa tal kan effektivt dechiffrera meddelandet. Dataöverföring mellan två kommunikationsplatser säkras ofta med hjälp av RSADen blir dock mindre effektiv vid kryptering av stora mängder data. På grund av dess unika matematiska egenskaper och komplexitet är denna krypteringsteknik dock särskilt pålitlig för att leverera känsliga data.
PKI-certifikat
PKI tillhandahåller säkerhet för publika nycklar. Den erbjuder distribution och nyckelidentifiering av publika nycklar. Följande komponenter utgör strukturen för PKI.
- Ett certifikat med offentlig nyckel kallas vanligtvis ett "digitalt certifikat".
- Privata nyckeltokens.
- Certifieringsmyndighet.
- Registreringsmyndigheten.
- Certifikathantering Systemet.
Digitalt certifikat
Människor använder ID-kort som pass eller körkort för att styrka sin identitet. Med ett undantag utför ett digitalt certifikat samma grundläggande funktion i den elektroniska miljön.
Digitala certifikat kan beviljas datorer, programvaror eller något annat som måste etablera sin identitet i den elektroniska världen utöver individer. ITU-standarden X.509, som beskriver ett gemensamt certifikatformat för certifikat med offentlig nyckel och certifieringsvalidering, är grunden för digitala certifikat. Som ett resultat är X.509-certifikat ett annat namn för digitala certifikat. Certifieringsutfärdaren lagrar användarens klientens offentliga nyckel i digitala certifikat (CA)
Certifieringsmyndighet (CA)
CA:n förser en klient med ett certifikat och hjälper andra användare att validera certifikatet. CA:n ansvarar för att korrekt verifiera klientens identitet som begär ett certifikat, kontrollera att certifikatets innehåll är korrekt och signera det digitalt.
CA:s nyckelfunktioner
De viktigaste funktionerna för en CA är följande –
-
Generera nyckelpar
Klienten och CA:n kan arbeta tillsammans eller oberoende av varandra för att skapa ett nyckelpar.
-
Utfärdande av digitala certifikat
CA:n kan jämföras med PKI-versionen av ett passkontor; efter att ha mottagit de inloggningsuppgifter som behövs för att verifiera klientens identitet utfärdar CA:n certifikatet. CA:n signerar sedan certifikatet för att förhindra ändringar av informationen det innehåller.
-
Publiceringscertifikat
CA måste publicera certifikat så att användarna kan hitta dem. Det finns två sätt att uppnå detta. Det ena är att publicera certifikat i en motsvarighet till en elektronisk telefonkatalog. Det andra är att skicka ditt certifikat till dem du tror kan behöva det på ett eller annat sätt.
-
Verifiera certifikat
För att underlätta verifieringen av sin signatur på klienters digitala certifikat gör CA:n sin publika nyckel tillgänglig i miljön.
-
Återkallelse av certifikat
När användaren komprometterar sin privata nyckel eller CA förlorar förtroendet för klienten kan certifikatet återkallas. återkallande, CA har en lista över alla certifikat som har återkallats och är tillgängliga för miljön.
Så här fungerar certifikatskapandet
Asymmetrisk kryptering används ofta under certifikatskapandet, vilket fungerar enligt följande:
- En privat nyckel genereras och den tillhörande publika nyckeln beräknas.
- CA begär och verifierar all personlig information om ägaren av den privata nyckeln.
- Ägaren av den privata nyckeln undertecknar Begäran om certifikatsignering (CSR) för att intyga sitt ägande av den publika nyckeln. Den utfärdande CA verifierar sedan begäran och signerar certifikatet med CA:ns privata nyckel.
Komponenter i PKI-ekosystemet
Certifikatutfärdaren är ett företag som skapar pålitliga certifikat som känns igen av en mängd olika program, de mest kända webbläsarna som Google Chrome, Safari, Firefox, Opera och Xbox 360.
-
Registreringsmyndigheten
Vanligtvis utför denna enhet valideringen. Efter att ha slutfört alla nödvändiga förberedelser skickar den en begäran till CA om att utfärda certifikatet. RA kan vara ett företag, en applikation eller en del av certifikatet.
-
Förlitande part
Är individen på webbplatsen som använder certifikatet. Prenumeranten är webbplatsägaren som köper certifikatet.
PKI:s arkitektur
Tvånivåarkitektur
De flesta företag skulle upptäcka att en tvånivåarkitektur är en praktisk design. Rot-CA:n finns på den första nivån, som bör förbli offline. Eftersom vi separerar rollerna för rot-CA:n och utfärdande CA:n förbättras säkerheten. Under den bör den underordnade utfärdande CA:n fungera.
- En tvåskiktsarkitektur förbättrar också flexibilitet och skalbarhet, vilket förbättrar feltoleransen. Att vara offline hjälper rot-CA:n att bättre skydda sina privata nycklar och minskar sannolikheten för att de kommer att komprometteras. Eftersom rollerna är distinkta kan vi bygga flera utfärdande CA:er och placera dem bakom en lastbalanserare.
Trenivåarkitektur
En trenivåarkitektur liknar ett tvånivåsystem genom att den har en offline-rot-CA högst upp och en online-utfärdande CA längst ner. Offline-rot-CA:n innehas nu dock av ett mellanliggande lager. Policy-CA:n, som anger de krav som måste uppfyllas innan ett certifikat utfärdas, kan vara den mellanliggande CA:n.
- Alla autentiserade användare kan erhålla ett certifikat, även om certifikatgodkännande kan kräva användarens fysiska närvaro.
- Trenivå-PKI ökar säkerhet, skalbarhet och flexibilitet men medför en extra kostnad och hanterbarhet.
- Om en utfärdande CA står inför kompromisser eller något liknande, kan den andra nivån återkalla certifikaten samtidigt som de andra grenarna hålls aktiva.
Vilka är några typiska utmaningar
När hackare försöker använda MITM attacker för att avlyssna, modifiera eller stjäla information, detta är ett av de viktigaste problemen som PKI försöker lösa. "Personen" som försöker komma i vägen har inte den privata nyckeln. Därför kan hen inte dekryptera meddelandet. Deras bästa försök blir följaktligen avlyssnat.
- Det krävs en stor mängd processorkraft för att dechiffrera 2048-bitars kryptering. PKI är därför ett starkt försvar mot den här typen av onlineattacker.
- PKI hanterar även problemet med att hantera certifikat. Detta uppnås genom att bekräfta sanningen om varje certifikat genom validering. Falska certifikat som förlorats eller stulits kan också tas bort med PKI. Dessutom kan certifikat återkallas.
Komponenter i PKI-ekosystemet
Certifikatutfärdaren är ett företag som skapar pålitliga certifikat som känns igen av en mängd olika program, de mest kända webbläsarna som Google Chrome, Safari, Firefox, Opera och Xbox 360.
-
Registreringsmyndigheten
Vanligtvis utför denna enhet valideringen. Efter att ha slutfört alla nödvändiga förberedelser skickar den en begäran till CA om att utfärda certifikatet. RA kan vara ett företag, en applikation eller en del av certifikatet.
-
Förlitande part
är individen på webbplatsen som använder certifikatet. Prenumeranten är webbplatsägaren som köper certifikatet.
Hierarki av CA
En enda pålitlig certifikatutfärdare från vilken alla användare får sina certifikat är realistiskt sett opraktisk, med tanke på nätverkens storlek och kraven från global kommunikation. För det andra kan det vara problematiskt att bara ha en tillgänglig certifikatutfärdare om den certifikatutfärdaren skulle bli hackad. Den hierarkiska certifieringsarkitekturen är värdefull i denna situation eftersom den tillåter användning av certifikat med offentlig nyckel i miljöer där två kommunicerande parter inte delar en förtroenderelation med en gemensam certifikatutfärdare.
Rot-CA:n är den högsta nivån i CA-hierarkin, och dess certifikat var självsignerat. Rot-CA:n signerar CA-certifikaten för de CA:er som är direkt underordnade den (till exempel CA1 och CA2).
De högre underordnade certifikatutfärdarna signerar certifikatutfärdarnas certifikat för de certifikatutfärdare som är underordnade dem i hierarkin (till exempel certifikatutfärdare 5 och 6). Hierarkier av certifikatutfärdare (certifikatutfärdare) återspeglas i certifikatkedjor. En certifikatkedja visar sekvensen av certifikat som ledde från en hierarkigren till dess rot.
Att verifiera en certifikatkedja innebär att säkerställa att en viss certifikatkedja är legitim, korrekt signerad och tillförlitlig. Verifieraren tar certifikatet med hjälp av utfärdarens offentliga nyckel. Utfärdarens certifikat, som finns i kedjan bredvid klientens certifikat, innehåller utfärdarens offentliga nyckel.
Slutsats
Endast en komplett infrastruktur för publika nycklar kan uppnå målet att skapa och upprätthålla en pålitlig miljö för systemhantering samtidigt som den tillhandahåller en fungerande, transparent och automatisk grund. Betydande vinster kan göras genom ett intresse för PKI tack vare minskade kostnader, effektiviserade företagsprocesser och förbättrad kundservice. Att fokusera på specifika affärsapplikationer kommer att göra det möjligt för din infrastruktur för publika nycklar att hjälpa dig att uppnå önskad ekonomisk framgång. Virtuella privata nätverk, åtkomstkontroll, e-handel, webbaserad säkerhet, skrivbordssäkerhet och säker e-post kan alla tillhandahållas via ditt nuvarande nätverk.
- Varför vi behöver PKI
- Hur fungerar PKI?
- Symmetrisk kryptering
- Asymmetrisk kryptering
- Algoritmen som används för att skydda känslig information är följande:
- PKI-certifikat
- Digitalt certifikat
- Certifieringsmyndighet (CA)
- Så här fungerar certifikatskapandet
- Komponenter i PKI-ekosystemet
- PKI:s arkitektur
- Vilka är några typiska utmaningar
- Komponenter i PKI-ekosystemet
- Hierarki av CA
- Slutsats
