Public Key Infrastructure (PKI)

[Public Key Infrastructure](/pl/terms/public-key-infrastructure) (PKI) to kompleksowy system, który umożliwia bezpieczną komunikację elektroniczną poprzez zastosowanie kryptografii klucza publicznego do powiązania tożsamości z kluczami kryptograficznymi i certyfikatami. PKI zapewnia procesy, ludzi i technologię wymaganą do wystawiania, zarządzania i wycofywania certyfikatów cyfrowych oraz do walidacji łańcuchów zaufania w granicach organizacyjnych i technicznych.

Kluczowe komponenty obejmują:

• Certificate Authority (CA): Urząd certyfikacji, który wydaje i utrzymuje certyfikaty cyfrowe potwierdzające powiązania między podmiotami a ich kluczami publicznymi.
• Registration Authority (RA): Weryfikuje tożsamość wnioskodawcy przed wydaniem certyfikatu.
• Public and private keys: Pary kluczy asymetrycznych używane do szyfrowania, podpisywania i weryfikacji tożsamości.
• Certificate repository and Directory Services: Przechowywanie i wyszukiwanie certyfikatów oraz ich statusu.
• Validation protocols: Mechanizmy weryfikacji łańcuchów certyfikatów (path validation).
• Certificate policies and CPS: Zasady regulujące wydawanie, użycie i cykl życia certyfikatów.
• Trust anchors: Root CAs, które stanowią podstawę zaufania w hierarchii PKI.

Cykl życia i operacje:
- Enrollment and issuance: Weryfikacja tożsamości, generowanie kluczy, tworzenie certyfikatów i dostarczenie certyfikatu do podmiotu.
- Renewal and rekey: Okresowe odnawianie i rotacja kluczy w celu zmniejszenia ryzyka naruszenia bezpieczeństwa klucza.
- Revocation: Wykrywanie i publikowanie certyfikatu, który nie powinien być już zaufany (za pomocą CRLs lub OCSP).
- Validation: Klienci walidują łańcuchy certyfikatów w odniesieniu do zaufanych korzeni i ograniczeń polityki.
- Archival and recovery: Archiwizacja kluczy w celu odzyskania (jeśli polityka na to zezwala) i planowania odzyskiwania po awarii.

Typowe modele wdrożenia i przypadki brzegowe:
- Hierarchical PKI: Root i pośrednie CA zapewniające skalowalny model zaufania; cross-certification umożliwia interoperacyjność między PKI.
- Offline root CA z online pośrednimi w celu zmniejszenia ryzyka ekspozycji.
- PKI dla IoT i tożsamości urządzeń wymagające lekkich profili i skalowalnego enrollmentu.
- Cross-certification i bridge CAs do obsługi środowisk multi-PKI.

Ważne kontrole bezpieczeństwa:
- Private key protection: Użycie HSMs lub bezpiecznych urządzeń kluczy do ochrony kluczy prywatnych; silne kontrole dostępu; przechowywanie sprzętowe.
- Key management: Rotacja, kopie zapasowe i bezpieczne niszczenie po zakończeniu cyklu życia.
- Revocation and status checking: CRLs i OCSP/OCSP stapling do unieważniania naruszonych certyfikatów i zapewnienia terminowego statusu.
- Certificate pinning i DANE: Techniki zmniejszające zależność od zaufania stron trzecich w określonych kontekstach.
- Audit and governance: Polityki CPS/CP, regularne audyty i planowanie reagowania na incydenty.

Ograniczenia i wyzwania:
- PKI complexity: Nakłady operacyjne, zgodność polityki i zarządzanie zaufaniem między domenami.
- Revocation latency: Opóźnienia w propagacji unieważnienia i responderzy OCSP mogą wpływać na decyzje w czasie rzeczywistym.
- Scalability: Duże CRLs i wysokie wskaźniki wydawania certyfikatów wymagają solidnej infrastruktury.

Wynikowe możliwości:
- Authentication: Udowodnienie tożsamości poprzez weryfikację certyfikatu i podpisu podmiotu.
- Confidentiality and integrity: Szyfrowanie danych kluczem publicznym odbiorcy lub podpisywanie danych kluczem prywatnym nadawcy.
- Non-repudiation: Podpisy cyfrowe stanowią dowód pochodzenia i integralności.

Podsumowując, PKI jest podstawą zaufanych interakcji cyfrowych w Internecie, poczcie elektronicznej, podpisywaniu kodu i tożsamości urządzeń, zapewniając ustrukturyzowane podejście do wydawania, zarządzania i walidacji certyfikatów w ramach prawnie uregulowanych ram.