Public Key Infrastructure (PKI)

En offentlig nøgleinfrastruktur (PKI) er et system, der muliggør udstedelse og styring af digitale certifikater. PKI er grundlaget for SSL/TLS-teknologien. PKI består af flere dele, der kan leveres af samme eller forskellige enheder:

  • En CA, der forvalter certifikaterne.
  • En RA, der udfører kontrollen for udstedelse af certifikater.
  • Offentlig information om ikke længere gyldige certifikater via CRL eller OCSP.
  • Betingelserne for PKI er fastsat i en CPS (Certificate Practice Statement).

Kryptografi

Kryptering er krypterelsen af oplysninger med det formål at gøre den ubrugeligt uden den nøgle, som oplysningerne kan læses med. PKI er baseret på asymmetrisk kryptografi. Dette er et begreb, der har eksisteret siden 1976, da to kryptografer, Whitfeld Diffie og Martin Hellman, foreslog at bruge de såkaldte asymmetriske nøgler. Indtil da blev der altid brugt symmetriske nøgler, og dermed har man brugt den samme nøgle til kryptering og dekryptering af oplysningerne. Et meget simpelt eksempel på en symmetrisk kryptering er et simpelt hemmeligt script, hvor du taler med nogen til at erstatte et tegn i en tekst for et andet tegn i henhold til en bestemt nøgle. Senderen krypterer oplysningerne i henhold til denne nøgle, og modtageren kan afkode det, fordi det også har nøglen i sin besiddelse. Det store problem med denne krypteringsform er, at nøglen skal udveksles på en bestemt måde mellem de to parter. Hvis nøglen opsnappes, er oplysningerne ikke længere sikre.

Asymmetriske nøgler er noget sværere at forstå end symmetriske. For det første anvendes to forskellige nøgler: en såkaldte offentlige nøgle og en private nøgle. Afsenderen af informationen henter den offentlige nøgle, krypterer oplysninger, så den kan sendes sikkert. Modtageren bruger derefter sin private nøgle til at dekryptere disse oplysninger. Fordi kun modtageren har denne private nøgle i hans besiddelse, kan kun han dekryptere oplysningerne. Desuden kan modtageren sikre, at han opbevarer nøglen på et sikkert sted, så det aldrig kan falde i tredjemandens hænder, hvilket gør denne form for kryptering mere sikker end den, der bruger symmetriske nøgler. Det er ikke muligt at dekryptere oplysningerne ved hjælp af den offentlige nøgle, så hvis den opfanges, forbliver oplysningerne sikre. Kun med den private nøgle kan informationen læses.

Et asymmetrisk nøglepar består altid af:

  • Privat nøgle: Kun kendt af ejeren af nøglen. Med den private nøgle afkodes krypterede meddelelser og meddelelser signeres.
  • Offentlig nøgle: Tilgængelig for alle. Med den offentlige nøgle er meddelelser beregnet til ejeren af nøgleparet krypteret, og digitale signaturer kontrolleres.

Praktiske anvendelser

Ved at bruge forskellige nøgler er asymmetrisk kryptering sikrere end symmetrisk kryptografi. På den anden side er symmetrisk kryptering mindre beregningsintensiv og derfor hurtigere end asymmetrisk kryptografi, således at der i nogle applikationer anvendes en kombination af begge metoder. SSL er den mest udbredte form for PKI-teknologi og en af de vigtigste former for server sikkerhed. SSL bruger asymmetrisk kryptering til at bestemme hinandens identitet, hvorefter symmetrisk kryptering anvendes til udveksling af information. PKI bruges også til digital signering af f.eks. Software eller dokumenter.

Hvad står X509 for?

X509 er den standard, som anbefales af ITU (International Telecommunication Union, De Forenede Nationers Specialiserede Informations- og Kommunikationsteknologi) for formatet af public key certifikater og validering af certifikater. X509 er den mest anvendte standard for SSL verden over.

SSLCheck

SSLCheck kontrollerer, om dit certifikat er korrekt installeret på din server og om der potentielt er problemer.