Public key infrastructure

PKI, public key infrastructure, är det dominerande sättet att hantera publika krypteringsnycklar.

Hierarki av förtroende redigera

PKI möjliggör för användare av ett i grunden osäkert offentligt nätverk, som till exempel Internet, att säkert utbyta data genom att använda asymmetrisk kryptering. Varje användares publika nyckel knyts till användarens uppgifter med hjälp av ett certifikat. Certifikatet är signerat av en certifikatutfärdare (CA). Även CA:n har ett certifikat som knyter CA:ns publika nyckel till CA:ns uppgifter.

Eftersom signeringar gjorda med den privata nyckeln kan verifieras om man känner till den publika nyckeln kan man:

Verifiera att alla användares certifikat är äkta och innehåller korrekta uppgifter om man har CA:ns certifikat
Verifiera att signaturer gjorda av en användare är äkta om man har användarens certifikat

Detta innebär att det räcker med CA:ns certifikat för att kunna verifiera identiteten på en part.

Användningsområden redigera

Exempel på identiteter som kan verifieras med PKI är

en webbplats namn som "secure.wikileaks.org"
en person som skickat ett signerat e-postmeddelande
en person som loggar in på en webbsida över TLS med ett klientcertifikat
tillverkaren av datorprogram eller annan mjukvara
en maskindel eller komponenter i DRM-system

PKI på Internet redigera

De flesta webbläsare innehåller redan från början en lista med betrodda CA-certifikat. Dessa betrodda certifikat är utgivna av företag eller organisationer som lever upp till höga säkerhetskrav för hur användarcertifikat ges ut för att kunna garantera att det namn som skrivs in i webbläsarens adressfält verkligen tillhör ägaren av certifikatets privata nyckel. Exempel på företag som har betrodda CA-certifikat är Comodo, VeriSign och Thawte. TLS är det kryptografiska protokoll som används för säker anslutning till servrar.

Implementationer med öppen källkod redigera

OpenSSL är den enklaste formen av CA och verktyg för PKI. Finns inkluderad i alla de stora Linux-distributionerna. (Apache-licensierat)
EJBCA är en skalbar, anpassningsbar, plattformsoberoende CA med installationer över hela världen^[1] som huvudsakligen utvecklas i Sverige av PrimeKey Solutions AB. (LGPL-licensierat)
TinyCA är ett grafiskt gränssnitt för OpenSSL
OpenCA

Standarder redigera

X.509 är den standard som styr den vanligaste typen av certifikat. Men många andra standarder reglerar området.

Relaterad teknologi redigera

Även Pretty Good Privacy och GNU Privacy Guard kan användas för att kryptera e-post och identifiera identiteter, men använder ett korslänkat förtroende mellan användarna istället för en hierarkisk struktur vilket ger en distribuerad struktur, som emellertid är mer opraktisk att verifiera.

Se även redigera

Kryptonyckel
E-legitimation - ostandardiserat svenskt PKI system

Referenser redigera

^ ”Offentliga EJBCA installationer”. Arkiverad från originalet den 21 augusti 2008. https://web.archive.org/web/20080821191817/http://ejbca.org/installations.html. Läst 1 september 2008.

[1] ”Offentliga EJBCA installationer”. Arkiverad från originalet den 21 augusti 2008. https://web.archive.org/web/20080821191817/http://ejbca.org/installations.html. Läst 1 september 2008.

[1]