Digitala certifikat – Windows certifikatbutiker

Vi stöter ofta på ett abstrakt koncept som kallas ”Säkerhet på internet” och sedan kommer den oundvikliga frågan ”varför behöver vi säkerhet på internet?”

Vi spenderar mycket tid på internet, oavsett om det gäller sociala medier, personlig kommunikation och affärstransaktioner. Internetsäkerhet är viktigt för att kommunicera säkert över internet. Med hjälp av internetsäkerhet skyddas datorer, filer/data från datorer, IT-system etc. från alla typer av intrång från illvilliga användare/system över internet.

Vad ger säkerhet?

1. SekretessInformationen i meddelandet eller transaktionen behandlas konfidentiellt. Den får endast läsas och förstås av den avsedda avsändaren och mottagaren.
2. IntegritetInformationen i meddelandet eller transaktionen har inte manipulerats av misstag eller avsiktligt.
3. Autentisering/Identifiering: De personer/enheter som vi kommunicerar med är verkligen de de utger sig för att vara.
4. Icke förnekande: Avsändaren kan inte förneka att meddelandet eller transaktionen har skickats, och mottagaren kan inte förneka att den har mottagit det.
5. Åtkomstkontroll: Endast den avsedda personen eller enheten har tillgång till den skyddade informationen.

Alla ovanstående säkerhetsegenskaper kan uppnås och implementeras med hjälp av Digitalt certifikat genom användning av Public Key Infrastructure (PKI) mekanism.

Om digitalt certifikat

Det digitala certifikatet är i grunden en digital form av identifiering med vilken konsumenter, företag och organisationer kan utbyta data säkert över internet med hjälp av en offentlig nyckelinfrastruktur (PKI). Digitalt certifikat är också känt som ett certifikat för offentlig nyckel or identitetsbevis.

Public Key Kryptografi eller asymmetrisk kryptografi använder två olika kryptografiska nyckelpar: A.) Privat nyckel och B.) Publik nyckel. En nyckel från nyckelparet används för att kryptera och den andra nyckeln används för att dekryptera data och vice versa.

För att förstå vad certifikat är är det viktigt att notera att ett digitalt certifikat fastställer ägarens identitet och gör ägarens publika nyckel tillgänglig. Digitala certifikat utfärdas av betrodda certifikatutfärdare (CA), som är erkända som pålitliga leverantörer av digitala certifikat. Dessa certifikat utfärdas endast under en begränsad tid; efter att certifikatet har löpt ut utfärdas ett nytt certifikat. 

Ett digitalt certifikat kan endast verifiera identiteten på ägaren av det digitala certifikatet genom att tillhandahålla den publika nyckel som krävs för att verifiera ägarens digitala signatur. Därför måste ägaren av det digitala certifikatet skydda den privata nyckel som tillhör den publika nyckeln för det digitala certifikatet.

Hur verifieras digitala certifikat?

1. Utfärdaren av ett digitalt certifikat kallas ett certifikat/certifieringsorgan. Verifiering av certifikaten är processen att validera enhetens identitet. Valideringsprocessen är ett sätt att säkerställa personens identitet.
2. Certifikatet innehåller information om CA-namnet och den digitala signaturen. Dessa två fält kommer att användas för att autentisera certifikatet. Certifikatets CA-namn måste komma från en betrodd CA och den digitala signaturen måste vara giltig.
3. Nu går processen ut på att validera certifikatets digitala signatur, verifieringen av en digital signatur utförs enligt följande steg:
   • Beräkna hashvärdet: Det första steget är att beräkna meddelandets hashvärde (ofta kallat en meddelandesammanfattning) genom att tillämpa en kryptografisk
     hashalgoritm (till exempel: MD5, SHA1, SHA2). Meddelandets hashvärde är ett unikt värde.
   • Beräkna den digitala signaturen: I det här steget krypteras meddelandets eller meddelandesammanfattningens hashvärde med undertecknarens privata nyckel. Det krypterade hashvärdet kallas även digital signatur.
   • Beräkna den aktuella meddelandesammanfattningen: I det här steget beräknas det hashade värdet för det signerade meddelandet med samma algoritm som användes under signeringsprocessen.
   • Beräkna det ursprungliga hashvärdet: Nu dekrypteras den digitala signaturen med den publika nyckel som motsvarar signerarens privata nyckel. Som ett resultat får vi det ursprungliga hashvärdet som beräknades från det ursprungliga meddelandet under det första steget i signeringsprocessen.
   • Jämför det aktuella och ursprungliga hashvärdet: I det här steget jämför vi hashvärdena för den aktuella meddelandesammanfattningen och det ursprungliga hashvärdet. Om två värden är identiska är verifieringen lyckad. Detta bevisar att meddelandet har signerats med den privata nyckel som motsvarar den publika nyckel som används i verifieringsprocessen. Om de två värdena skiljer sig åt betyder det att den digitala signaturen är ogiltig och verifieringen misslyckas.

För att hantera användarcertifikat kan individer och organisationer använda verktyg för hantering av certifikatlivscykel, vilket underlättar utfärdande, förnyelse och återkallelse av digitala certifikat. Verktyget kan vara avgörande för att upprätthålla integriteten och säkerheten för digital kommunikation. 

Är du nu orolig för att du ska utge dig för att vara din identitet? – Om du skickar ditt digitala certifikat som innehåller din publika nyckel till någon annan, kan personen inte missbruka det digitala certifikatet utan att ha tillgång till din privata nyckel. Om den privata nyckeln komprometteras kan illvilliga användare agera som den legitima ägaren av det digitala certifikatet.

Användning av digitala certifikat i internetapplikationer

Det finns många internetapplikationer som använder kryptografistandarder för offentliga nycklar för nyckelutbyte, digitala signaturer och digitala certifikat måste användas för att erhålla den önskade offentliga nyckeln.

Följande är korta beskrivningar av några av de vanligaste internetapplikationerna som använder kryptografi med offentlig nyckel:

1. SSL (Secure Socket Layer) – Detta är ett krypteringsbaserat internetsäkerhetsprotokoll. Protokollet används för att tillhandahålla säkerhet mellan klienten och en server. SSL använder digitala certifikat, kallade SSL Digital, för nyckelutbyte, kryptering, serverautentisering och klientautentisering för säker kommunikation över internet. Sammantaget tillhandahåller det en privat kommunikationsväg för en användare och en betrodd auktoritet. 
2. Klientautentisering –Klientautentisering är ett alternativ som kräver att en server autentiserar en klients digitala certifikat innan klienten får åtkomst till vissa resurser. Servern begär och autentiserar klientens digitala certifikat under SSL-handskakningen och servern kan också avgöra om den litar på den certifikatutfärdare som utfärdade det digitala certifikatet till klienten.
3. Säker e-post – För att säkra e-postmeddelanden används standarder som Privacy Enhanced Mail (PEM) eller Secure/Multipurpose Internet Mail Extensions (S/MIME). Digitala certifikat används för digitala signaturer och för utbyte av nycklar för att kryptera och dekryptera meddelanden.
4. Virtuella privata nätverk (VPN) – Virtuella privata nätverk, även kallade säkra tunnlar, kan upprättas mellan brandväggar/säkra gateways för att möjliggöra skyddade anslutningar mellan säkra nätverk över osäkra kommunikationslänkar. All trafik som är avsedd för dessa nätverk krypteras mellan brandväggarna/säkra gateways.

Windows-certifikatbutiker

Certifikatarkiv är en kombination av logiska grupperingar och fysiska lagringsplatser. Certifikatarkiv innehåller certifikat utfärdade från ett antal olika certifieringsutfärdare (CA). Windows Certification List är en samling certifikat som ingår i Windows Certificate Store. Dessa inkluderar rotcertifikat, mellanliggande certifikat, slutenhetscertifikat, SSL/TLS-certifikat, klientautentiseringscertifikat etc. 

Systemcertifikatarkiv har följande typer:

1. Lokal maskincertifikatarkiv: Detta certifikatarkiv är lokalt för datorn och globalt för alla användare på datorn. Certifikatarkivet finns i registret under HKEY_LOCAL_MACHINE-root.
2. Nuvarande användarcertifikatarkiv: Detta certifikatarkiv är lokalt för ett användarkonto på datorn. Detta certifikatarkiv finns i registret under rotfilen HKEY_CURRENT_USER.

Låt oss börja med certifikat-MMC-konsolen, som enkelt startas av certmgr.msc.
Detta ger oss en ledtråd till fysiska certifikatlagrar, som visas i figur 1.

Som visas i figur 1 nedan finns det flera butiker: smartkortsbutik, företagsbutik, tredjepartsbutik etc.

Om vi ​​går till MMC och lägger till certifikat-snapin-modulen har vi fler alternativ för kontona: användarkonto, servicekonto och datorkonto. Alla butiker som listas i figur 1 har motsvarande plats för varje konto.

Lagringsplatser för Microsofts certifikatlagrar inkluderar:

1. HKEY_LOCAL_MACHINESOFTWAREMicrosoftSystemCertificates – innehåller informationen för datorkontot
2. HKEY_LOCAL_MACHINESOFTWAREMicrosoftEnterpriseCertificates – innehåller information om de AD-publicerade certifikaten
3. HKEY_Local_MachineSoftwarePoliciesMicrosoftSystemCertificates – innehåller information för datorkontot, men för grupprincipen distribuerade certifikat för datorkontot
4. Användare: HKEY_CURRENT_USERSoftwareMicrosoftSystemCertificates – innehåller registerinställningar för den aktuella användaren. Dessa kan inkludera BLOB (Binary Large object) och olika inställningar för certifikatet, samt inställningar relaterade till CA-certifikat som stöder användarcertifikaten.
5. HKEY_Current_UserSoftwarePoliciesMicrosoftSystemCertificates – innehåller registerinställningar för den aktuella användaren, men för certifikat som distribueras via grupprincip.
6. HKEY_UsersUser SIDSoftwareMicrosoftSystemCertificates – innehåller denna information för motsvarande användare

Om din organisation letar efter implementering av krypteringsteknik i molnmiljö, vänligen kontakta [e-postskyddad] för ytterligare information.