PKI 权威指南
在数字表面之下,全面的安全框架为我们习以为常的许多基本功能奠定了基础。 从电子邮件到网上银行等诸多领域,公钥基础设施 (PKI) 都在幕后运行,以确保数字生活几乎各个方面的信任和完整性。
在本指南中,我们将探讨 PKI 如何为在线互动创建安全的环境,为个人和组织提供跨各种平台的强大保护。
什么是 PKI?
公钥基础设施包括创建、管理、分发、使用、存储和吊销数字证书所需的策略、角色、硬件、软件和程序。 数字证书的作用类似于护照或驾照,可以证明您的身份并提供某些许可。
PKI 的目的是促进电子商务、网上银行和机密电子邮件等各种网络活动安全的电子信息传输。 它是一个允许用户和计算机通过互联网安全地交换数据并验证对方身份的系统。
例如,当您登录网上银行账户时,PKI 会加密连接并确保您的敏感信息保持私密和安全。 这样,您便可以安全地输入您的凭证并访问您的账户,同时确保您不会与非法网站进行交互。
PKI 的组成部分
公钥基础设施不是一项单一的技术,而是几个重要部分的组合。 它们共同提供了大规模管理加密、保护数据和确保通信安全的技术和流程。
总体而言,PKI 包括:
- PKI 密钥: 支持加密的密钥对,加密是一个隐藏数据的过程,目的是防止除预期接收者以外的任何人读取数据。 在密码学中,每个公钥都与一个私钥配对。 公钥是自由公开分发的,而私钥对所有者是保密的。
- 数字证书:将证书持有人的身份绑定到可用于加密和签署信息的密钥对的电子凭证。
- 证书颁发机构 (CA): 颁发数字证书的可信实体。
- 注册机构 (RA): 负责接受证书申请并对背后的个人或组织进行身份验证。
- 证书存储库: 存储证书并可检索以进行验证的安全位置。
- 集中式管理软件: 组织可在其中管理其加密密钥和数字证书的控制面板。
- 硬件安全模块 (HSM): 为执行加密操作和存储/管理数字密钥提供安全环境的物理设备。
其中许多组件可通过全面的 PKI 提供商获得。 例如,Entrust PKI 是行业领先的解决方案,组织使用它来保持人员、系统和资源的安全连接。 作为一种灵活的产品,它可以在本地和云端使用,也可以作为托管 PKI 服务使用。
PKI 的工作原理是什么?
了解 PKI 的工作原理可以帮助您了解它为何至关重要,以及您的组织如何最大限度地发挥其能力。 接下来我们将详细介绍各个部分:
密码学和加密
这些术语虽然相关,但不可互换。 密码学是通过代码保护通信安全的科学,而加密是密码学的一部分,它使用数学算法进行此操作。 两者都会混淆敏感信息,使未经授权的实体无法读取它们。
加密算法分为两类:
- 对称加密: 此方法使用同一个加密密钥来加密(锁定)和解密(解锁)数据。 尽管这种方法很简单,但它就像将所有鸡蛋放在一个篮子里一样,任何入侵密钥的人都可以访问它所保护的任何内容。
- 非对称加密: 相比之下,非对称加密在整个 PKI 中得到了广泛使用,因此它也被称为“公钥加密”。 此方法使用数学关联的密钥对分别处理加密和解密。 由于私钥允许访问,它仅为接收受保护消息的实体所知。
假设您想要向 John 发送机密消息。 您可以使用 John 的公钥对消息进行加密,任何人都可以使用该公钥。 这样可以确保只有使用 John 保管的私钥才能解密此消息。 此设置可防止其他任何人(包括潜在的攻击者)读取内容。
但是您如何知道您收到的公钥就属于您认为应该属于的人? 如果没有身份验证,您就有可能成为中间人 (MITM) 攻击的受害者。 这时,冒名顶替者会使用公钥来拦截和修改通信,以达到恶意目的,例如收集数据。
所幸的是,数字证书此时正好派上用场。
数字证书
数字证书,有时称为“公钥证书”,是一种用于识别公钥所有者的电子文档。 此证书使收件人能够确认密钥来自合法来源,从而降低了 MITM 攻击的风险。
证书通常包括:
- 可识别信息,例如证书持有者的姓名、证书的序列号及其到期日期
- 公钥副本
- 颁发 CA 的数字签名,用于证明真实性
证书颁发机构
证书颁发机构,是创建和颁发数字证书的可信第三方组织。 就公共 CA 而言,他们还负责审查和验证证书持有者的身份,使其成为公钥基础设施中不可或缺的一部分。
所有 CA 都必须维护“证书吊销列表”。 简而言之,它记录了可信 CA 在预定到期日期之前吊销的所有证书,确定了任何不应再信任的证书。
从广义上讲,CA 有两种类型:
- 根 CA: PKI 层次结构中最值得信赖的 CA 类型。 根 CA 的证书是自签名的,这意味着它是通过自己的数字签名进行身份验证的。 这些 CA 构成了信任的基础,因为它们的证书用于创建、签署和向从属 CA 或直接向终端实体颁发证书。
- 从属 CA: 由根 CA 或链中更高层的从属 CA 认证的组织。 从属 CA 颁发的证书带有根 CA 的签名,因此继承了信任。 链中的每个证书都负责认证下一个证书的真实性,从而从上到下创建持续可靠的信任路径。
CA 如何创建数字证书? 基本过程是这样的:
- 密钥生成: 用户生成密钥对。
- 证书请求: 用户向 CA 发送证书签名请求 (CSR),包括其公钥和识别信息。
- 验证:CA 通常在 RA 的帮助下验证用户的身份。
- 证书颁发: 一旦验证,CA 就会颁发包含用户公钥和其他身份详细信息的数字证书。 该证书还由 CA 的私钥签名,从而创建数字签名。
- 证书使用: 进行安全通信时,发件人可以使用收件人的公钥对消息进行加密。 收到消息后,收件人可以使用其私钥解密消息。
证书管理系统
证书管理系统是可促进证书生命周期的各个方面的软件解决方案。 从证书注册和颁发到分发、吊销和续订,此系统使用自动化来简化流程并确保对加密资产进行适当的管理。
例如,一些解决方案会保留所有相关活动的详细日志,以帮助遵守监管要求和内部审计。 通过单一事实来源进行集中管理,组织可以降低证书管理不当的风险并改善数据保护。
硬件加密模块
最后,HSM 在 PKI 的安全架构中发挥着关键作用。 简单来说,HSM 是物理设备,旨在通过在强化的防篡改环境中生成、存储和处理密钥来保护加密过程。
以密钥生成为例。 硬件安全模块可以使用高质量的随机数生成器创建密钥对,这对于保持加密系统的强度和完整性至关重要。 由于密钥永远不会以明文形式离开设备,因此它们面临潜在漏洞的风险最低。
同样地,HSM 的主要功能之一是私钥存储。 将私钥保存在硬件环境中可以保护它们免受未经授权的实体提取或入侵。
了解有关 Entrust PKI 解决方案的更多信息,并立即下载我们的 PKI 买家指南。
PKI 为什么很重要?
也许理解 PKI 为何重要的最佳方法是分析其使用案例。 以下是组织充分利用 PKI 的一些最重要的方式:
1. 安全通信
PKI 是保护各种形式数字通信(包括电子邮件、消息服务等)的基石。 它不仅能保护这些通信渠道,而且还让所有相关各方(消费者、合作伙伴、员工、公民等)更加信赖这些渠道。
2. 身份验证和访问控制
PKI 为用户访问系统、网络或在线服务提供了强大的身份验证机制。 证书可以用作安全的数字身份形式,确保仅向经过验证的用户授予访问权限。
这些功能使得 PKI 对实施零信任安全模型的组织特别有用。 零信任基于“无验证不信任”的原则,这需要持续的身份验证来确认访问资源的每个用户和设备(无论位于何处)。
此外,这种方法也确实很有成效。 根据 Forrester 的研究,零信任安全性可以扩大业务成果,同时改善用户体验。
3. 安全互联网浏览
PKI 的许多方面都与互联网浏览和在线交易高度相关。 通过安全套接字层 (SSL) 和传输层安全 (TLS) 协议,浏览器利用数字证书对网站进行身份验证并建立加密连接。 更简单地说,他们告知最终用户他们正在访问一个可信的域。
TLS/SSL 证书可确保在 Web 服务器和浏览器之间传输的所有信息保持私密性。 缺少证书的网站和服务器容易受到攻击,并有可能让敏感数据落入坏人之手。
4. 文档签名和时间戳
由 PKI 支持的数字签名可验证电子文档的真实性和完整性。这对于法律文书、合同和其他需要原创证明和同意的记录至关重要。
最重要的是,文档签名证书有三个关键用途:
- 真实性: 证书可确认文档已由持有证书中公钥相应私钥的个人或实体签署。
- 完整性: 签名后对文档进行的任何修改都会使数字签名失效。 这样可以确保收到的文档与签名者打算发送的文档完全一致,无需进行任何修改。
- 不可否认性: 签名者不能否认他们在文档中签名的真实性,因为数字签名和相关证书为签名者的身份及其在签署时对文件内容的同意提供了有力的证据。
5.代码签名
软件开发人员使用代码签名证书对其脚本进行身份验证。 这样,最终用户可以验证他们下载的软件是否未被修改。 这有助于防范恶意软件、保持软件完整性并帮助消费者建立信心。
6.物联网 (IoT)
随着联网设备的激增,机器的数量往往超过人类用户。 这些设备(例如收集、存储数据和向其他计算机传输数据的传感器)可能容易受到网络威胁。 但是,由于需要管理的设备如此之多,物联网安全变得越来越困难。
通过为每台设备提供唯一的数字证书,PKI 可确保强大的身份验证,从而验证通信的设备确实合法。 这对于防止未经授权的访问和数据泄露至关重要。
此外,PKI 可促进设备之间的加密通信,保护敏感数据的传输免遭窃听和篡改。 这种全面的安全方法对于保持日益复杂的物联网生态系统中数据的完整性和机密性至关重要。
PKI 最佳实践
以下是一些充分利用 PKI 实施的最佳实践:
- 使用私钥存储: 实施强大的私钥保护机制,例如使用提供物理和逻辑保护以防止篡改和未经授权访问的 HSM。
- 定期进行密钥轮换和续订: 密钥和证书不应无限期使用。 建立定期密钥轮换和证书续订的例程,以降低与密钥泄露相关的风险并增强安全性。 此外,在必要时撤销加密资产,例如员工离开公司或私钥遭到泄露时。
- 实施强大的身份验证方案: 集成多重身份验证 (MFA) 以增强安全性,尤其是在访问 PKI 系统和执行敏感操作(例如证书颁发或吊销)时。
- 集中管理证书和密钥: 实施工具和流程,管理证书的整个生命周期(从颁发到吊销或到期)。 确保这些工具促进对 PKI 策略和安全标准的遵守。
- 创建密钥备份和恢复策略: 建立并定期测试备份和恢复程序,以确认关键的 PKI 组件在中断或灾难发生后可以快速安全地恢复。
- 随时更新策略和程序: 证书策略 (CP) 和认证实践声明 (CPS) 对 PKI 至关重要。CP 是一份全面的文档,概述了证书颁发机构颁发的不同类别的证书及其适用策略。CPS 详细说明了 CA 如何以技术身份实施这些策略。 使这些文档保持最新状态对于保持安全性、信任和法律合规性至关重要。 应定期对其进行审查和修订,以适应网络安全、技术和监管变化的动态格局。