Public Key Infrastructure (PKI)

En offentlig nøgleinfrastruktur (PKI) er et system, der muliggør udstedelse og styring af digitale certifikater. PKI er grundlaget for SSL/TLS-teknologien. PKI består af flere dele, der kan leveres af samme eller forskellige enheder:

• En CA, der forvalter certifikaterne.
• En RA, der udfører kontrollen for udstedelse af certifikater.
• Offentlig information om ikke længere gyldige certifikater via CRL eller OCSP.
• Betingelserne for PKI er fastsat i en CPS (Certificate Practice Statement).

Kryptografi

Kryptering er krypterelsen af oplysninger med det formål at gøre den ubrugeligt uden den nøgle, som oplysningerne kan læses med. PKI er baseret på asymmetrisk kryptografi. Dette er et begreb, der har eksisteret siden 1976, da to kryptografer, Whitfeld Diffie og Martin Hellman, foreslog at bruge de såkaldte asymmetriske nøgler. Indtil da blev der altid brugt symmetriske nøgler, og dermed har man brugt den samme nøgle til kryptering og dekryptering af oplysningerne. Et meget simpelt eksempel på en symmetrisk kryptering er et simpelt hemmeligt script, hvor du taler med nogen til at erstatte et tegn i en tekst for et andet tegn i henhold til en bestemt nøgle. Senderen krypterer oplysningerne i henhold til denne nøgle, og modtageren kan afkode det, fordi det også har nøglen i sin besiddelse. Det store problem med denne krypteringsform er, at nøglen skal udveksles på en bestemt måde mellem de to parter. Hvis nøglen opsnappes, er oplysningerne ikke længere sikre.

Asymmetriske nøgler er noget sværere at forstå end symmetriske. For det første anvendes to forskellige nøgler: en såkaldte offentlige nøgle og en private nøgle. Afsenderen af informationen henter den offentlige nøgle, krypterer oplysninger, så den kan sendes sikkert. Modtageren bruger derefter sin private nøgle til at dekryptere disse oplysninger. Fordi kun modtageren har denne private nøgle i hans besiddelse, kan kun han dekryptere oplysningerne. Desuden kan modtageren sikre, at han opbevarer nøglen på et sikkert sted, så det aldrig kan falde i tredjemandens hænder, hvilket gør denne form for kryptering mere sikker end den, der bruger symmetriske nøgler. Det er ikke muligt at dekryptere oplysningerne ved hjælp af den offentlige nøgle, så hvis den opfanges, forbliver oplysningerne sikre. Kun med den private nøgle kan informationen læses.

Et asymmetrisk nøglepar består altid af:

• Privat nøgle: Kun kendt af ejeren af nøglen. Med den private nøgle afkodes krypterede meddelelser og meddelelser signeres.
• Offentlig nøgle: Tilgængelig for alle. Med den offentlige nøgle er meddelelser beregnet til ejeren af nøgleparet krypteret, og digitale signaturer kontrolleres.

Nøglelængde

En nøgle har en vis længde. Denne nøglelængde (også kaldet bitlængde eller nøglestørrelse) bestemmer, hvor svært det er at knække nøglen. I dag betragtes en 512 bit nøgle som svag, fordi den kan knækkes inden for et par måneder, forudsat at der er nok computerkraft. Det forventes, at en 1024 bit nøgle med meget computerkraft kan knækkes på sigt. Når en nøgle er knækket, er det muligt at aflytte datatrafikken. I øjeblikket betragtes nøgler på 2048 bit som sikre og kræves som minimum til SSL certifikater. Certifikater med en større nøglelængde er også mulige, men en nøglelængde, der er større end 4096, forårsager ofte problemer, f.eks. på Apple enheder.

Praktiske anvendelser

Ved at bruge forskellige nøgler er asymmetrisk kryptering sikrere end symmetrisk kryptografi. På den anden side er symmetrisk kryptering mindre beregningsintensiv og derfor hurtigere end asymmetrisk kryptografi, således at der i nogle applikationer anvendes en kombination af begge metoder. SSL er den mest udbredte form for PKI-teknologi og en af de vigtigste former for server sikkerhed. SSL bruger asymmetrisk kryptering til at bestemme hinandens identitet, hvorefter symmetrisk kryptering anvendes til udveksling af information. PKI bruges også til digital signering af f.eks. Software eller dokumenter.