امنیت سیستم عامل امنیت وبسایت
زیرساخت کلید عمومی یا PKI

زیرساخت کلید عمومی یا PKI

شاید عبارت “PKI” را شنیده باشید، اما به احتمال زیاد از معنای آن مطلع نیستید یا شاید حدس هایی بزنید. ما اینجا هستیم تا زیرساخت کلید عمومی یا PKI را مورد بررسی قرار دهیم.

PKI مخفف عبارت «زیرساخت کلید عمومی» است.

در آموزش رایگان نصب حرفه‎ای لینوکس وب سرور شیوه ایجاد ارتباط امن را ارائه کرده ایم. از طرفی راجع به لینوکس مقدماتی برای هکرها کتابی فوق العاده وجود دارد که ما آن را در آموزش لینوکس مقدماتی برای هکرها آورده ایم.

مفهوم زیرساخت کلید عمومی (PKI) یا گواهی PKI

همانطور که از نام آن پیداست، زیرساخت کلید عمومی (Public Key Infrastructure) زیرساختی است که از گواهی های دیجیتال به عنوان مکانیزم احراز هویت استفاده می کند و برای مدیریت گواهی های دیجیتال و کلیدهای مرتبط با آنها طراحی شده است.

رمزگذاری کلید عمومی به نام رمزگذاری نامتقارن نیز شناخته می شود ، و بسیار محبوب است زیرا از رمزگذاری متقارن ایمن تر کمی کند تر است.

در رمزگذاری کلید عمومی، دو کلید وجود دارد،

  1. عمومی
  2. خصوصی

این دو کلید با یکدیگر کار می کنند. از کلید عمومی برای رمزگذاری و کلید خصوصی برای رمز گشایی استفاده می شود. یکسری فرمول ریاضی برای این عملیات وجود دارد که رمزگذاری و رمز گشایی را برای ما انجام میدهد.

در رمزگذاری نامتقارن، کلید عمومی برای هر کسی که می خواهد ارتباط رمزگذاری شده با دارنده کلید خصوصی (سرور، هاست، وب سایت) داشته باشد ارسال می شود، پس این کلید به صورت عمومی در دسترس همگان قرار خواهد گرفت. و از آن طرف کلید خصوصی محرمانه است و باید در شرایط ایمن نگهداری شود و هرگز نباید به اشتراک گذاشته شود.

مشکلی که وجود دارد دشواری تأیید یک کلید عمومی است. و به سختی می توان از هویت مالک آن کلید عمومی مطمئن شد.

PKI این مشکل را برطرف می نماید. پس از این رو است که از PKI استفاده می شود.

در این سناریو، یک مرجع ثالث وجود دارد که مورد اعتماد است، و هویت شخص یا سازمانی که صادر کننده جفت کلید است را تأیید می کند. و بدین صورت، با استفاده از گواهی دیجیتالی که همراه با درخواست صادر می شود، هر کسی می تواند هویت دارنده کلید را تأیید کند.

یک گواهی PKI حاوی اطلاعاتی در مورد مالک کلید، خود کلید عمومی، تاریخ انقضای کلید و امضاء مرجع صدور گواهی می باشد که آن را صادر کرده است. متأسفانه، مدیریت گواهی‌های CA دیجیتال می‌تواند یک چالش ایجاد کند ، بنابراین زیرساخت کلید عمومی برای کمک به ارائه چارچوبی برای صدور، تمدید و لغو این گواهی‌های دیجیتال ایجاد شده است.

اجزا گواهی PKI

زیرساخت کلید عمومی یا PKI ها جهانی نیستند – به نظر نمی‌رسد که یک PKI واحد وجود داشته باشد که بر همه گواهی‌های دیجیتال حاکم باشد.

در عوض، یک PKI می‌تواند برای یک سازمان ساخته شود و فقط در شبکه آن سازمان پیاده‌سازی شود یا می‌تواند یک PKI تجاری بسیار بزرگ‌تر باشد که گواهی‌های صادر شده برای کاربران اینترنت را کنترل کند.

صرف نظر از این، انواع PKI های مختلف دارای چهار جزء زیر هستند:

اجزا گواهی PKI
اجزا گواهی PKI

1. مرجع صدور گواهی – مرجعی که گواهی صادر میکند

یک CA قابل اعتماد تنها نهادی است که می تواند گواهی های دیجیتال قابل اعتماد صادر کند. این بسیار مهم است زیرا در حالی که PKI بخش رمزگذاری بیشتر این گواهی ها را مدیریت می کند، احراز هویت برای درک اینکه کدام نهادها مالک چه کلیدهایی هستند، حیاتی است. بدون یک CA قابل اعتماد، هر کسی می تواند کلیدهای خود را صادر کند، احراز هویت از حیطه خارج می شود و هرج و مرج رخ می دهد.

2. سیاست هایی که بر PKI حاکم است

به خاطر داشته باشید که PKI عمدتاً مربوط به حاکمیت و مدیریت گواهی‌های دیجیتال CA است. برای دستیابی به هر دو، مجموعه ای از قوانین یا دستورالعمل ها می بایست وجود داشته باشد تا اطمینان حاصل شود که همه چیز به خوبی پیش می رود. برای PKI های کوچکتر، این دستورالعمل ها یا اغلب توسط یک سرپرست فناوری اطلاعات یا شخصی آگاه تعیین می شود. برای PKIهای تجاری بزرگتر، آنها توسط مجموعه ای از مرورگرها و مسئولین گواهی به نام انجمن CA/B تعیین می شوند.

3. خود گواهی های دیجیتال

مدیریت گروهی از گواهی‌های دیجیتالی که وجود ندارند کار سختی است. برای اینکه یک PKI به درستی کار کند و وجود داشته باشد، باید گواهی‌های دیجیتال داشته باشد، در غیر این صورت – چه فایده‌ای دارد؟

4. برنامه هایی که برای استفاده از PKI نوشته شده اند

مورد آخر ممکن است انتزاعی به نظر برسد حال آن که واقعاً اینطور نیست. منظور هر برنامه ای است که از تکنولوژی PKI آگاه است و از PKI برای تسهیل یک اتصال رمزگذاری شده استفاده می کند. مانند مرورگر وب، برنامه جانبی سمت کلاینت برای ایمیل و غیره هستند.

منبع ارائه دهنده این اجزاء در این آدرس قرار دارد.

مراجع صدور گواهی چیست؟ چرا مسئول صدور گواهی بخش حیاتی از گواهی PKI هستند؟

همانطور که قبلاً ایجاد کرده‌ایم، PKI یک سیستم پیچیده برای اداره و مدیریت گواهی‌های دیجیتال است. بنابراین PKI به تسهیل عملیات رمزگذاری کمک می کند و در عین حال سایت های دارای کلیدهای عمومی را نیز تأیید می کند.

این بخش آخر به همین دلیل است که مسئولان صدور گواهی بسیار مهم هستند. اگر CA ها را از PKI حذف کنید، اساساً یک گروه بزرگ و تأیید نشده از گواهینامه های CA دیجیتال دارید، که بسیاری از آنها احتمالاً قابل اجرا هستند، اما برخی از آنها نیز می توانند به طور مخرب استفاده شوند، زیرا هیچ راهی برای تأیید مالکیت آنها وجود ندارد. برای یک فرد غیرمستقیم، این بدان معنی است که شخصی اساساً می تواند مالکیت یک کلید داده شده را به اشتباه معرفی کند و سپس داده های رمزگذاری شده را بدزد – یا آن را دستکاری کند.

ما نمی توانیم این مسئله را تحمل کنیم. در نتیجه، مقامات صدور گواهی برای کمک به احراز هویت در محل هستند. احراز هویت به سادگی به این معنی است که شما مالکیت یک گواهی داده شده و در نتیجه کلید آن گواهی را اثبات می کنید. CA ها به دلایلی مورد اعتماد هستند، آنها سرمایه گذاری هنگفتی در زیرساخت های خود انجام داده اند و عملیات قوی در محل دارند که می توانند هویت را تأیید کنند و گواهی های دیجیتال را به درستی صادر کنند. آنها از دستورالعمل های ارائه شده توسط جامعه مرورگرها پیروی می کنند و بهترین شیوه ها را با هدف تضمین امنیت وب بهینه حفظ می کنند.

اساساً، آنها به دلیلی مورد اعتماد هستند. و به دلیل این اعتماد، ما همچنین می‌توانیم به گواهی‌هایی که صادر می‌کنند اعتماد کنیم، که مدیریت آن گواهی‌ها از طریق PKI را بسیار ساده تر می‌کند.

یک مرجع صدور گواهی چگونه کار می کند؟ نقش CA

خوب برای اینکه یک مرجع صدور گواهی قابل اعتماد باشید، ابتدا باید چندین میلیون دلار سرمایه گذاری سالانه در زیرساخت هایی که برای یک CA فعال لازم است انجام داده باشید. بنابراین در حال حاضر یک هزینه اولیه فقط برای انجام تجارت وجود دارد. فراتر از آن، شما باید دستورالعمل‌های تعیین‌شده توسط انجمن CA/B را دنبال کنید که بر رویه‌های صدور و احراز هویت حاکم است.

سپس باید شروع به صدور گواهینامه کنید. ما به بررسی تمام راه ها ، مسیر ها و واسطه‌ها نمی‌پردازیم. و فقط به روند واقعی احراز هویت و صدور گواهی دیجیتال ca می‌پردازیم. پس از سفارش گواهی، بسته به سطح اعتبار مورد نیاز، CA برای تأیید هویت متقاضی وارد عمل می شود.

اگر این فقط یک گواهی اعتبار دامنه یا DV SSL باشد، CA فقط مالکیت دامنه را بررسی می‌کند و پس از برآورده شدن، گواهی را صادر می‌کند. برای اعتبار سنجی سازمان و EV SSL، که به عنوان اعتبار سنجی تجاری نیز شناخته می شود، مرجع صدور گواهی از ثبت نام کسب و کار و گزارش های اعتباری برای بررسی سازمان درخواست کننده استفاده می کند. این ممکن است بین 3 تا 5 روز طول بکشد و معمولاً یک فرآیند نسبتاً گسترده است. پس از تکمیل، گواهی می تواند صادر شود و حاوی جزئیات مهمی در مورد خود کسب و کار باشد.

همه اینها به ویژه برای یک PKI ضروری است، زیرا اجازه می دهد تا مالک واقعی کلیدها تأیید شود و کل تلاش را ایمن تر و قابل اطمینان تر می کند.

زیرساخت کلید عمومی یا PKI
زیرساخت کلید عمومی یا PKI

Author

خسرو نظری

دانش آموخته کارشناسی ارشد فناوری اطلاعات (گرایش طراحی و تولید نرم افزار)، توسعه دهنده وب، مدیرپروژه های نرم افزاری، مدیرسیستم (sysadmin) لینوکس، مشاور مانیتورینگ و مدیر مجموعه تحلیل یار

Leave a comment

نشانی ایمیل شما منتشر نخواهد شد.