מה זה PKI?
PKI או Public Key Infrastructure כלומר, תשתית מפתח ציבורי היא מסגרת של מדיניות, תהליכים, חומרה,
תוכנה ושירותים המנהלים אישורים דיגיטליים והצפנת מפתח ציבורי.
מטרת PKI היא להקל על העברה אלקטרונית מאובטחת של מידע עבור מגוון פעילויות רשת כגון מסחר אלקטרוני,
בנקאות באינטרנט ודואר אלקטרוני סודי.
זה מאפשר למשתמשים ולמערכות להחליף נתונים בצורה מאובטחת דרך האינטרנט ולאמת את זהות הצד השני.
בלב תשתית PKI עומד הרעיון של תעודה דיגיטלית, שהוא מסמך אלקטרוני המשתמש בחתימה דיגיטלית כדי לאגד
מפתח ציבורי עם זהות – מידע כגון שם אדם או ארגון, כתובתו וכו’.
ניתן להשתמש באישור זה כדי לוודא שמפתח ציבורי שייך לאדם, חברה או מכשיר.
PKI פועל על פי מודל אמון, הכולל היררכיה של רשויות אישורים (CA) המנפיקות ומנהלות את האישורים הדיגיטליים הללו.
תפקיד ה-CA הוא קריטי שכן הוא מאמת את זהויות הישויות ומנפיק אישורים המעידים על זהות זו.
ה-CA עצמו חייב להיות מהימן על ידי הצדדים המעורבים, ולפיכך, אישור CA שורש מותקן לרוב בדפדפני אינטרנט ובמערכות הפעלה.
מרכיבי המפתח של PKI כוללים:
תעודות דיגיטליות: לייצג את הזהות של ישויות (יחידים, ארגונים, מכשירים) ולחייב את הישויות הללו למפתחות קריפטוגרפיים.
רשות אישורים (CA): ישויות מהימנות המנפיקות, מבטלות, מחדשות ומספקות ספריות לאישורים דיגיטליים.
רשות הרישום (RA): פועלת כמאמתת ה-CA לפני הנפקת אישור דיגיטלי למבקש.
רשימות שלילת אישורים (CRL): רשימות של אישורים שבוטלו שכבר לא מהימנים על ידי ה-CA.
SSL / TLS: פרוטוקולים המשתמשים ב-PKI לתעבורת אינטרנט מאובטחת.
PKI מאפשרת מספר שירותי אבטחה כולל סודיות, אותנטיקציה ואימות בעסקאות דיגיטליות שונות.
זה הבסיס לתקשורת מאובטחת דרך האינטרנט.
איך עובדת PKI?
PKI פועלת על ידי שימוש בטכניקות הצפנה, כולל הצפנה אסימטרית וחתימות דיגיטליות, כדי לבסס ולתחזק
סביבה דיגיטלית מאובטחת ומהימנה.
להלן סקירה פשוטה של אופן הפעולה של PKI:
יצירת צמד מפתחות
קריפטוגרפיה א-סימטרית: בליבת ה-PKI נמצאת קריפטוגרפיה א-סימטרית, המשתמשת בשני מפתחות הקשורים
מתמטית להצפנה ולפענוח: מפתח ציבורי ומפתח פרטי.
צמד מפתחות: כל ישות (אדם, ארגון, מכשיר) מייצרת זוג מפתחות.
ניתן לשתף את המפתח הציבורי בגלוי, בעוד המפתח הפרטי נשמר בסוד.
הנפקת תעודה
בקשת אישור: ישות מבקשת אישור דיגיטלי מרשות אישורים (CA) כדי לשייך את זהותה למפתח הציבורי.
בקשה זו כוללת את המפתח הציבורי ואת פרטי הזהות (כמו שם, דוא”ל וכו’).
אימות: CA או רשות רישום (RA) מאמתים את זהות הישות.
תהליך זה עשוי להשתנות במורכבות, מאימות דוא”ל ועד סקירת תיעוד משפטי.
יצירת אישורים: לאחר האימות, ה-CA מנפיק אישור דיגיטלי המכיל את המפתח והזהות הציבוריים של הישות,
יחד עם החתימה הדיגיטלית של ה-CA.
חתימה זו היא קריטית מכיוון שהיא מבטאת את האותנטיות של התעודה.
שימוש בתעודה
הצפנה: המפתח הציבורי בתעודה יכול לשמש אחרים כדי להצפין נתונים שרק בעל המפתח הפרטי המתאים יכול לפענח.
חתימות דיגיטליות: המפתח הפרטי משמש ליצירת חתימות דיגיטליות על נתונים, שאחרים יכולים לאמת
באמצעות המפתח הציבורי בתעודה, תוך הבטחת שלמות הנתונים ואי-הדחה.
מודל אמון
אישורי רשות מהימנים: כדי שיהיה מהימן באישור דיגיטלי, יש לסמוך על ה-CA שהנפיק אותו.
מערכות הפעלה ודפדפני אינטרנט מגיעים עם רשימה של CA שורשיים מהימנים.
שרשראות תעודות: לפעמים, תעודות מונפקות על ידי CA Intermediate, אשר מאושרים על ידי CA Root,
מה שיוצר שרשרת אמון.
כדי לתת אמון באישור, יש לאמת את כל השרשרת.
אימות וביטול תעודה
תוקף: אישורים דיגיטליים תקפים לתקופה מסוימת.
יש לחדש אותם לפני שהם יפוג.
ביטול אישורים: אם מפתח פרטי נפרץ או שהאישור אינו תקף עוד מסיבות אחרות, ניתן לבטלו.
ה-CA מחזיקה רשימת ביטולי אישורים (CRL) או משתמשת בפרוטוקול מצב אישורים מקוונים (OCSP) כדי להפיץ מידע זה.
מערכות PKI
מערכות PKI מקיפות מגוון רחב של רכיבים ופרוטוקולים שנועדו לאבטח תקשורת ולאימות זהויות של הצדדים
המעורבים בעסקאות דיגיטליות.
להלן אלמנטים ומערכות מפתח המרכיבים את PKI:
רשויות אישורים (CA)
אישורי שורש: אלה נמצאים בראש היררכיית ההסמכה והם מהימנים על ידי לקוחות ושרתים כאחד.
תפקידם העיקרי הוא להנפיק אישורים ל-CA ביניים ולעיתים ישירות לגופים קצה.
אישורי ביניים: אלה מאושרים על ידי CA Root ויכולים להנפיק אישורים ל-CA ביניים אחרים או לישויות קצה, ולהרחיב את שרשרת האמון.
רשויות רישום (RA)
RA משמשים כמאמתים עבור CAs.
הם מאמתים בקשות אישורים ממשתמשים או מכשירים לפני ש-CA מנפיק אישור, ולמעשה פועלים כמתווך בין
הישות המבקשת אישור לבין ה-CA.
תעודות דיגיטליות
תעודות דיגיטליות קושרות מפתח ציבורי לזהות של ישות ומונפקות על ידי CA.
הם תואמים לתקן X.509, המגדיר את הפורמט של תעודות מפתח ציבורי.
מאגרי אישורים
אלו הן ספריות נגישות לציבור שבהן CA מפרסמים אישורים שהונפקו ורשימות ביטולי אישורים (CRL).
הם מאפשרים למשתמשים ולמערכות לאמת את תקפות האישור.
רשימות שלילת אישורים (CRL)
CRL הן רשימות של אישורים שבוטלו על ידי ה-CA לפני תאריכי התפוגה שלהם ואינם תקפים עוד.
פרוטוקול סטטוס אישור מקוון (OCSP)
OCSP מאפשר ליישומים לבדוק במהירות את מצב הביטול של אישור בזמן אמת, ומציע חלופה להורדת CRL.
מערכות מפתח
מערכות אלו אחראיות על יצירה, אחסון וניהול של מפתחות קריפטוגרפיים המשמשים ב-PKI.
זה כולל מודולי אבטחת חומרה (HSM) עבור יישומים בעלי אבטחה גבוהה.
פרוטוקולי תקשורת מאובטחים
פרוטוקולים כמו SSL/TLS לגלישה מאובטחת באינטרנט, S/MIME לאימייל מאובטח ו-IPsec לתקשורת IP
מאובטחת מסתמכים על PKI להחלפת מפתחות ואימות.
הצמדת מפתח ציבורי
זה כרוך בקידוד קשיח של המפתח הציבורי של שרת לתוך יישום או דפדפן כדי למנוע התקפות של אדם באמצע
על ידי הבטחת היישום מקבל רק מפתח או אישור ציבורי ספציפי.
ספקי שירות אמון (TSP)
TSP מציעים מגוון שירותי אמון כגון חותמת זמן, חתימות אלקטרוניות ושימור דיגיטלי,
מה שמרחיב עוד יותר את היכולות של מערכות PKI.
דוגמאות ליישום PKI
אבטחת אינטרנט: אישורי SSL/TLS עבור אתרי HTTPS.
אבטחת דואר אלקטרוני: S/MIME להצפנה וחתימה של הודעות דואר אלקטרוני.
חתימת קוד: אישורים המשמשים לחתימה על יישומי תוכנה, המבטיחים שהתוכנה מגיעה ממקור לגיטימי.
גישת VPN: תשתית PKI מספקת דרך להתחבר בצורה מאובטחת לרשתות פרטיות דרך האינטרנט.
אימות כרטיס חכם: PKI משמשת בכרטיסים חכמים לאימות מאובטח ביישומים שונים, לרבות מערכות בקרת גישה פיזיות ולוגיות.

