Public Key Infrastructure (PKI)

[Public Key Infrastructure](/tr/terms/public-key-infrastructure) (PKI), kimlikleri kriptografik anahtarlara ve sertifikalara bağlamak için public-key [cryptography](/tr/terms/public-key-cryptography) uygulayarak güvenli elektronik iletişimi sağlayan kapsamlı bir sistemdir. Bir PKI, dijital sertifikaları yayınlamak, yönetmek ve kullanımdan kaldırmak ve organizasyonel ve teknik sınırlar boyunca trust zincirlerini doğrulamak için gereken süreçleri, insanları ve teknolojiyi sağlar.

Temel bileşenler şunları içerir:

• Certificate Authority (CA): Konular ve public key'leri arasındaki bağları doğrulayan dijital sertifikalar yayınlayan ve sürdüren bir otorite.
• Registration Authority (RA): Bir sertifika yayınlanmadan önce başvuru sahibinin kimliğini doğrular.
• Public ve private keys: Şifreleme, imzalama ve kimlik doğrulama için kullanılan asimetrik key çiftleri.
• Certificate repository ve Directory Services: Sertifikaların ve sertifika durumunun depolanması ve aranması.
• Validation protocols: Sertifika zincirlerini doğrulama mekanizmaları (path validation).
• Certificate policies ve CPS: Sertifika yayınlama, kullanım ve yaşam döngüsünü yöneten kurallar.
• Trust anchors: Bir PKI hiyerarşisinin güven temelini oluşturan Root CAs.

Yaşam döngüsü ve operasyonlar:
- Enrollment ve issuance: Kimlik doğrulama, key üretimi, sertifika oluşturma ve sertifikanın konuya teslimi.
- Renewal ve rekey: Key tehlikeye girme riskini azaltmak için periyodik yenileme ve key rotasyonu.
- Revocation: Artık güvenilmemesi gereken bir sertifikanın tespit edilmesi ve yayınlanması (CRLs veya OCSP aracılığıyla).
- Validation: İstemciler, sertifika zincirlerini güvenilir köklere ve politika kısıtlamalarına karşı doğrular.
- Archival ve recovery: Kurtarma (politikanın izin verdiği yerlerde) ve felaket kurtarma planlaması için key arşivleme.

Yaygın dağıtım modelleri ve uç durumlar:
- Hierarchical PKI: Ölçeklenebilir bir trust modeli sağlayan Root ve intermediate CAs; cross-certification, PKI'lar arası birlikte çalışabilirliği sağlar.
- Maruz kalma riskini azaltmak için çevrimdışı Root CA ve çevrimiçi intermediate'lar.
- Hafif profiller ve ölçeklenebilir enrollment gerektiren IoT ve cihaz kimliği PKI'ları.
- Çoklu PKI ortamlarını desteklemek için cross-certification ve bridge CAs.

Önemli güvenlik kontrolleri:
- Private key koruması: Private key'leri korumak için HSM'ler veya güvenli key cihazlarının kullanımı; güçlü erişim kontrolleri; donanım destekli depolama.
- Key management: Rotasyon, yedekleme ve kullanım ömrü sonunda güvenli imha.
- Revocation ve durum kontrolü: Tehlikeye giren sertifikaları iptal etmek ve zamanında durum sağlamak için CRL'ler ve OCSP/OCSP stapling.
- Certificate pinning ve DANE: Belirli bağlamlarda üçüncü taraf trust'ına olan bağımlılığı azaltma teknikleri.
- Audit ve governance: CPS/CP politikaları, düzenli denetimler ve olay müdahale planlaması.

Sınırlamalar ve zorluklar:
- PKI karmaşıklığı: Operasyonel yük, politika uyumu ve çapraz alan trust yönetimi.
- Revocation gecikmesi: Revocation yayılımındaki gecikmeler ve OCSP yanıtlayıcıları gerçek zamanlı kararları etkileyebilir.
- Ölçeklenebilirlik: Büyük CRL'ler ve yüksek sertifika yayınlama oranları sağlam altyapı gerektirir.

Sonuçlanan yetenekler:
- Authentication: Bir konunun sertifikasını ve imzasını doğrulayarak kimliği kanıtlama.
- Confidentiality ve integrity: Alıcının public key'i ile veriyi şifreleme veya gönderenin private key'i ile veriyi imzalama.
- Non-repudiation: Dijital imzalar, köken ve bütünlük kanıtı sağlar.

Özetle, PKI, web, e-posta, code signing ve cihaz kimliği genelinde trusted dijital etkileşimlerin omurgasıdır ve yasal olarak yönetilen bir framework içinde sertifikaları yayınlama, yönetme ve doğrulama için yapılandırılmış bir yaklaşım sunar.