شاید عبارت \”PKI\” را شنیده باشید، اما به احتمال زیاد از معنای آن مطلع نیستید یا شاید حدس هایی بزنید. ما اینجا هستیم تا زیرساخت کلید عمومی یا PKI را مورد بررسی قرار دهیم.
PKI مخفف عبارت «زیرساخت کلید عمومی» است.
مفهوم زیرساخت کلید عمومی (PKI) یا گواهی PKI
همانطور که از نام آن پیداست، زیرساخت کلید عمومی (Public Key Infrastructure) زیرساختی است که از گواهی های دیجیتال به عنوان مکانیزم احراز هویت استفاده می کند و برای مدیریت گواهی های دیجیتال و کلیدهای مرتبط با آنها طراحی شده است.
رمزگذاری کلید عمومی به نام رمزگذاری نامتقارن نیز شناخته می شود ، و بسیار محبوب است زیرا از رمزگذاری متقارن ایمن تر کمی کند تر است.
در رمزگذاری کلید عمومی، دو کلید وجود دارد،
- عمومی
- خصوصی
این دو کلید با یکدیگر کار می کنند. از کلید عمومی برای رمزگذاری و کلید خصوصی برای رمز گشایی استفاده می شود. یکسری فرمول ریاضی برای این عملیات وجود دارد که رمزگذاری و رمز گشایی را برای ما انجام میدهد.
در رمزگذاری نامتقارن، کلید عمومی برای هر کسی که می خواهد ارتباط رمزگذاری شده با دارنده کلید خصوصی (سرور، هاست، وب سایت) داشته باشد ارسال می شود، پس این کلید به صورت عمومی در دسترس همگان قرار خواهد گرفت. و از آن طرف کلید خصوصی محرمانه است و باید در شرایط ایمن نگهداری شود و هرگز نباید به اشتراک گذاشته شود.
مشکلی که وجود دارد دشواری تأیید یک کلید عمومی است. و به سختی می توان از هویت مالک آن کلید عمومی مطمئن شد.
PKI این مشکل را برطرف می نماید. پس از این رو است که از PKI استفاده می شود.
در این سناریو، یک مرجع ثالث وجود دارد که مورد اعتماد است، و هویت شخص یا سازمانی که صادر کننده جفت کلید است را تأیید می کند. و بدین صورت، با استفاده از گواهی دیجیتالی که همراه با درخواست صادر می شود، هر کسی می تواند هویت دارنده کلید را تأیید کند.
یک گواهی PKI حاوی اطلاعاتی در مورد مالک کلید، خود کلید عمومی، تاریخ انقضای کلید و امضاء مرجع صدور گواهی می باشد که آن را صادر کرده است. متأسفانه، مدیریت گواهیهای CA دیجیتال میتواند یک چالش ایجاد کند ، بنابراین زیرساخت کلید عمومی برای کمک به ارائه چارچوبی برای صدور، تمدید و لغو این گواهیهای دیجیتال ایجاد شده است.
اجزا گواهی PKI
زیرساخت کلید عمومی یا PKI ها جهانی نیستند – به نظر نمیرسد که یک PKI واحد وجود داشته باشد که بر همه گواهیهای دیجیتال حاکم باشد.
در عوض، یک PKI میتواند برای یک سازمان ساخته شود و فقط در شبکه آن سازمان پیادهسازی شود یا میتواند یک PKI تجاری بسیار بزرگتر باشد که گواهیهای صادر شده برای کاربران اینترنت را کنترل کند.
صرف نظر از این، انواع PKI های مختلف دارای چهار جزء زیر هستند:
1. مرجع صدور گواهی – مرجعی که گواهی صادر میکند
یک CA قابل اعتماد تنها نهادی است که می تواند گواهی های دیجیتال قابل اعتماد صادر کند. این بسیار مهم است زیرا در حالی که PKI بخش رمزگذاری بیشتر این گواهی ها را مدیریت می کند، احراز هویت برای درک اینکه کدام نهادها مالک چه کلیدهایی هستند، حیاتی است. بدون یک CA قابل اعتماد، هر کسی می تواند کلیدهای خود را صادر کند، احراز هویت از حیطه خارج می شود و هرج و مرج رخ می دهد.
2. سیاست هایی که بر PKI حاکم است
به خاطر داشته باشید که PKI عمدتاً مربوط به حاکمیت و مدیریت گواهیهای دیجیتال CA است. برای دستیابی به هر دو، مجموعه ای از قوانین یا دستورالعمل ها می بایست وجود داشته باشد تا اطمینان حاصل شود که همه چیز به خوبی پیش می رود. برای PKI های کوچکتر، این دستورالعمل ها یا اغلب توسط یک سرپرست فناوری اطلاعات یا شخصی آگاه تعیین می شود. برای PKIهای تجاری بزرگتر، آنها توسط مجموعه ای از مرورگرها و مسئولین گواهی به نام انجمن CA/B تعیین می شوند.
3. خود گواهی های دیجیتال
مدیریت گروهی از گواهیهای دیجیتالی که وجود ندارند کار سختی است. برای اینکه یک PKI به درستی کار کند و وجود داشته باشد، باید گواهیهای دیجیتال داشته باشد، در غیر این صورت – چه فایدهای دارد؟
4. برنامه هایی که برای استفاده از PKI نوشته شده اند
مورد آخر ممکن است انتزاعی به نظر برسد حال آن که واقعاً اینطور نیست. منظور هر برنامه ای است که از تکنولوژی PKI آگاه است و از PKI برای تسهیل یک اتصال رمزگذاری شده استفاده می کند. مانند مرورگر وب، برنامه جانبی سمت کلاینت برای ایمیل و غیره هستند.
مراجع صدور گواهی چیست؟ چرا مسئول صدور گواهی بخش حیاتی از گواهی PKI هستند؟
همانطور که قبلاً ایجاد کردهایم، PKI یک سیستم پیچیده برای اداره و مدیریت گواهیهای دیجیتال است. بنابراین PKI به تسهیل عملیات رمزگذاری کمک می کند و در عین حال سایت های دارای کلیدهای عمومی را نیز تأیید می کند.
این بخش آخر به همین دلیل است که مسئولان صدور گواهی بسیار مهم هستند. اگر CA ها را از PKI حذف کنید، اساساً یک گروه بزرگ و تأیید نشده از گواهینامه های CA دیجیتال دارید، که بسیاری از آنها احتمالاً قابل اجرا هستند، اما برخی از آنها نیز می توانند به طور مخرب استفاده شوند، زیرا هیچ راهی برای تأیید مالکیت آنها وجود ندارد. برای یک فرد غیرمستقیم، این بدان معنی است که شخصی اساساً می تواند مالکیت یک کلید داده شده را به اشتباه معرفی کند و سپس داده های رمزگذاری شده را بدزد – یا آن را دستکاری کند.
ما نمی توانیم این مسئله را تحمل کنیم. در نتیجه، مقامات صدور گواهی برای کمک به احراز هویت در محل هستند. احراز هویت به سادگی به این معنی است که شما مالکیت یک گواهی داده شده و در نتیجه کلید آن گواهی را اثبات می کنید. CA ها به دلایلی مورد اعتماد هستند، آنها سرمایه گذاری هنگفتی در زیرساخت های خود انجام داده اند و عملیات قوی در محل دارند که می توانند هویت را تأیید کنند و گواهی های دیجیتال را به درستی صادر کنند. آنها از دستورالعمل های ارائه شده توسط جامعه مرورگرها پیروی می کنند و بهترین شیوه ها را با هدف تضمین امنیت وب بهینه حفظ می کنند.
اساساً، آنها به دلیلی مورد اعتماد هستند. و به دلیل این اعتماد، ما همچنین میتوانیم به گواهیهایی که صادر میکنند اعتماد کنیم، که مدیریت آن گواهیها از طریق PKI را بسیار ساده تر میکند.
یک مرجع صدور گواهی چگونه کار می کند؟ نقش CA
خوب برای اینکه یک مرجع صدور گواهی قابل اعتماد باشید، ابتدا باید چندین میلیون دلار سرمایه گذاری سالانه در زیرساخت هایی که برای یک CA فعال لازم است انجام داده باشید. بنابراین در حال حاضر یک هزینه اولیه فقط برای انجام تجارت وجود دارد. فراتر از آن، شما باید دستورالعملهای تعیینشده توسط انجمن CA/B را دنبال کنید که بر رویههای صدور و احراز هویت حاکم است.
سپس باید شروع به صدور گواهینامه کنید. ما به بررسی تمام راه ها ، مسیر ها و واسطهها نمیپردازیم. و فقط به روند واقعی احراز هویت و صدور گواهی دیجیتال ca میپردازیم. پس از سفارش گواهی، بسته به سطح اعتبار مورد نیاز، CA برای تأیید هویت متقاضی وارد عمل می شود.
اگر این فقط یک گواهی اعتبار دامنه یا DV SSL باشد، CA فقط مالکیت دامنه را بررسی میکند و پس از برآورده شدن، گواهی را صادر میکند. برای اعتبار سنجی سازمان و EV SSL، که به عنوان اعتبار سنجی تجاری نیز شناخته می شود، مرجع صدور گواهی از ثبت نام کسب و کار و گزارش های اعتباری برای بررسی سازمان درخواست کننده استفاده می کند. این ممکن است بین 3 تا 5 روز طول بکشد و معمولاً یک فرآیند نسبتاً گسترده است. پس از تکمیل، گواهی می تواند صادر شود و حاوی جزئیات مهمی در مورد خود کسب و کار باشد.
همه اینها به ویژه برای یک PKI ضروری است، زیرا اجازه می دهد تا مالک واقعی کلیدها تأیید شود و کل تلاش را ایمن تر و قابل اطمینان تر می کند.