Инфраструктура открытых ключей (PKI)

[Public Key Infrastructure](/ru/terms/public-key-infrastructure) (PKI) — это комплексная система, которая обеспечивает безопасную электронную коммуникацию путем применения криптографии с открытым ключом для привязки идентификаторов к криптографическим ключам и сертификатам. PKI предоставляет процессы, людей и технологии, необходимые для выпуска, управления и отзыва цифровых сертификатов, а также для валидации цепочек доверия между организационными и техническими границами.

Ключевые компоненты включают:

• Certificate Authority (CA): Центр сертификации, который выпускает и поддерживает цифровые сертификаты, удостоверяющие связь между субъектами и их открытыми ключами.
• Registration Authority (RA): Регистрирующий орган, который проверяет личность заявителя перед выдачей сертификата.
• Public and private keys: Асимметричные пары ключей, используемые для шифрования, подписи и проверки личности.
• Certificate repository and Directory Services: Хранилище и службы поиска сертификатов и их статуса.
• Validation protocols: Механизмы для проверки цепочек сертификатов (path validation).
• Certificate policies and CPS: Правила, регулирующие выпуск, использование и жизненный цикл сертификатов.
• Trust anchors: Корневые CA, которые составляют основу доверия в иерархии PKI.

Жизненный цикл и операции:
- Enrollment and issuance: Проверка личности, генерация ключей, создание сертификата и доставка сертификата субъекту.
- Renewal and rekey: Периодическое обновление и ротация ключей для снижения риска компрометации ключей.
- Revocation: Обнаружение и публикация сертификата, которому больше нельзя доверять (через CRLs или OCSP).
- Validation: Клиенты валидируют цепочки сертификатов относительно доверенных корневых сертификатов и ограничений политики.
- Archival and recovery: Архивация ключей для восстановления (где это разрешено политикой) и планирование аварийного восстановления.

Распространенные модели развертывания и крайние случаи:
- Hierarchical PKI: Корневые и промежуточные CA, обеспечивающие масштабируемую модель доверия; кросс-сертификация обеспечивает интероперабельность между PKI.
- Offline root CA с online промежуточными CA для снижения риска компрометации.
- PKI для IoT и идентификации устройств, требующие легковесных профилей и масштабируемого enrollment.
- Cross-certification и bridge CAs для поддержки сред с несколькими PKI.

Важные меры безопасности:
- Private key protection: Использование HSM или безопасных устройств для защиты private keys; строгий контроль доступа; аппаратное хранение.
- Key management: Ротация, резервное копирование и безопасное уничтожение по окончании срока службы.
- Revocation and status checking: CRLs и OCSP/OCSP stapling для отзыва скомпрометированных сертификатов и своевременного предоставления статуса.
- Certificate pinning и DANE: Методы для снижения зависимости от стороннего доверия в конкретных контекстах.
- Audit and governance: Политики CPS/CP, регулярные аудиты и планирование реагирования на инциденты.

Ограничения и проблемы:
- PKI complexity: Операционные накладные расходы, согласование политик и управление междоменным доверием.
- Revocation latency: Задержки в распространении информации об отзыве и OCSP responders могут повлиять на принятие решений в реальном времени.
- Scalability: Большие CRLs и высокая частота выпуска сертификатов требуют надежной инфраструктуры.

Результат:
- Authentication: Подтверждение личности путем проверки сертификата и подписи субъекта.
- Confidentiality and integrity: Шифрование данных с помощью public key получателя или подпись данных с помощью private key отправителя.
- Non-repudiation: Цифровые подписи предоставляют доказательство происхождения и целостности.

В итоге, PKI является основой доверенных цифровых взаимодействий в вебе, электронной почте, подписи кода и идентификации устройств, предоставляя структурированный подход к выпуску, управлению и валидации сертификатов в рамках юридически регулируемой структуры.