Инфраструктура На Јавниот Клуч

Во криптографија PKI е аранжман кој ги врзува јавните клучеви со соодветните кориснички идентитети со помош на сертификатот за авторитер. Корисничкиот идентитет мора да биде единствен во рамките на certificate authority доменот. Врзувањата се воспоставуваат преку регистрација и issuance process, кое зависи од нивото на осигурување кое го има врзувањето, може да се изврши од страна на софтвер од страна на CA, или пак под човечки надзор. PKI има улога да увери дека ова поврзување е наречено Registration Authority (RA). RA уверува дека јавниот клуч е врзан за поединецот на кој му е доделен на начин на обезбедување non-repudation. Поимот trusted third party (TTP) може да биде употребен за certificate authority (CA). Поимот PKI понекогаш погрешно се користи за означување public keys algorithms, кои не бараат употреба од CA.

Терминот доверливост од трета страна или trusted third party (TTP) исто така може да се користи кај сертификати за авторитет (CA). Поимот јавен клуч понекогаш погрешно се користи за означување алгоритми за јавни клучеви или public keys algorithms, кои не бараат употреба од CA.

Заштитата јавен клуч е криптографска техника која им овозможува на корисниците безбедно да комуницираат на небезбедна јавна мрежа, и со сигурност да го верифицираат идентитетот на корисникот преку дигитални потписи. Инфраструктурата на јавниот клуч е систем за создавање, складирање и дистрибуција на дигитални сертификати кои се употребуваат за потврда дека одредени јавни клучеви припаѓаат на одредена заедница. Јавниот клуч создава дигитални сертификати кои ги мапира јавните клучеви во целина, безбедно чувајки ги овие сертификати во централното складиште, и ги отповикува назад ако се потребни. Инфрастуктурата на јавниот клуч се состои од:

• A Сертификати за афторитет која и двете ги верификува како дигитални сертификати
• A Регистарски авторитет кој го верификува идентитетот на корисникот по барање на CA
• A Централен директориум е безбедна локација на која се зачувуваат index keys
• A Сертификат за управување со системотПредлошка:Clarify

Генерално кажано, има 3 пристапи за добивање на довербата: Certificate Authorities (CAs), Web of Trust (WoT), и Simple public key infrastructure (SPKI).^{[се бара извор]}

Издавачи на сертификати

Примарната улога на CA е дигитално да се потпишат и да го објават јавниот клуч врзани за даден корисник. Ова е направено со употреба на приватниот клуч на CA, и довербата на корисничкиот клуч се потпира на еден доверба на валидноста CA клучот. Механизмот кој ги врзува клучевите со корисникот е наречен регистрација за авторитет или Registration Authority (RA), со кој може или не може да се раздели од CA. Врзувањето клуч-корисник е воспоставено, засновано на нивото на осигурување што го има поврзувањето, без разлика дали е од софтвер или под надзор од човек.^{[се бара извор]}

Поимот trusted third party (TTP) може да биде употребено за (CA). Повеќе пати, јавниот клуч само по себе употребува синоним за имплементација за CA.^{[се бара извор]}

Привремени сертификати сам најавен

Овој пристап инволвира опслужувач кој работи како онлајн сертификат авторитет со single sign-on систем. Со single sign-on опслужувач ќе внесе дигитални сертификати во системот на клиентот,но никогаш не ги зачувува. Корисниците можат да стопираат програми, итн. со моментален сертификат. Ова е неопходно да се пронајдат различни решение за со x.509 засновани сертификати.

Веб доверба

Алтернативен пристап до проблемот со јавна авторизација на информации на јавниот клуч е шемата мрежа на доверба, која употребува само потпишаниcertificates сертификати и потврда од трета страна за сертификатите. Единечниот поим Мрежа на доверба не го имплементира постоењето на единствена мрежа на доверба, или земено точка на доверба, туку една од било кој број на потенцијални disjoint "мрежи на доверба". Примери за имплементација на овој пристап се PGP (Pretty Good Privacy) и GnuPG (имплементација од OpenPGP, стандардизирана спецификација на PGP). Бидејќи PGP и имплементациите дозволуваат употреба на e-mail дигитален потпис за self-publication од информациите за јавните клучеви, тоа е релативно лесно да се имплементира сопствена веб доверба.^{[се бара извор]} Една од придобивките од Мрежа на доверба , како што е PGP, е тоа што може внатрешно да функционираат со PKI CA целосно сигурните делови во домеинот ( како интерна CA во компанијата) која е желна да ги гарантира сертификатите, како сигурен претставник. Ако мрежата на доверба е целосно сигурна, и бидејќи од самата природа на мрежата на доверба, осигурување еден сертификат е доделување доверба кон сите сертификати на таа мрежа. PKI вреди единствено како стандард и практики кои го контролираат издавањето на сертификати вклучувајќи го PGP или лично избрана мрежа на доверба може значително да ја намали сигурноста на тоа enterprise’s or domain’s implementation of PKI.

Концептот “Мрежа од Доверба” за првпат беше изнесена од страна на PGP основачот Phil Zimmermann во 1992 како прирачник за употреба на PGP 2.0 верзијата.

As time goes on, you will accumulate keys from other people that you may want to designate as trusted introducers. Everyone else will each choose their own trusted introducers. And everyone will gradually accumulate and distribute with their key a collection of certifying signatures from other people, with the expectation that anyone receiving it will trust at least one or two of the signatures. This will cause the emergence of a decentralized fault-tolerant web of confidence for all public keys.

^{[се бара извор]}

Едноставен јавен клуч

Друга алтернатива, која не бара дозвола за авторизација на информациите од јавните клучеви, е единствениот јавен клуч (SPKI), која порасна поради надминуванјето на проблемите со комплексноста на X.509 и PGP мрежата на доверба. SPKI не associate корисници со луѓе, бидејќи клучот е во што се сигурни, а не во човекот. SPKI не употребува никаков поим на доверба, верификаторот е исто така издавач. Ова се нарекува "дозволен циклус" во терминологијата на SPKI, каде авторизацијата е составен дел од неговиот дизајн.^{[се бара извор]}

Концептите за употреба на јавниот клуч беа откриени од страна на научниците Јаmes H. Ellis и British GCHQ во 1969 година. По откривањето и комерцијална употреба на јавниот клуч од страна на Rivest, Shamir, Diffie и други GCHQ британската влада го смета за успешно во рамките на оваа област и го пушта во употреба. Сепак ненавременото објавување на Spycatcher владата издаде ред за молк за целосните детали за GCHQ чии достигнувања никогаш не беа откриени.^{[се бара извор]}

На јавната објава на двата безбедносни клуча и асиметричниот алгоритам во 1976 година од страна на Diffie, Hellman, Rivest, Shamir, и Adleman со оваа промена комуникацијата ја направија да биде безбедна во целост. Со понатамошниот развој на високата брзина на дигиталните електронски комуникации (Интернет и неговите претходници), потребата стана јасна за начиотн на кои корисниците ќе може безбедно да комуницираат едни со други, начини на кои корисниците може да биде сигурен со кого тие всушност вршат интеракција. Избрани криптографски протокли биле измислени и анализирани кон новита примитивна криптографија кој би можеле да ги користат. Со пронаоѓањето на World Wide Web и неговото брзо ширење, пшотребата за комуникација стана уште поакутна. Само комерцијалните причини (пример: е-бизнис on-line пристап до база на податоци од web браузери и слично) беа доволни. Taher Elgamal и другите од Нетскејп развија SLL протокол (https во веб URL). Toa вклучува претставување на клучот автентикација на опслужувачот (prior to v3 one-way only), и слично. PKI структурата е создадена за веб корисниците/ страните со цел за безбедна комуникација.^{[се бара извор]}

Продавачите и претприемачите видоа огромна можност за голем бизнис, основаа компании (или нови проект на постоечки компании), и почнаа да агитираат за легално препознавање и заштита од одговорности. Американска Адвокатска Асоцијација објави анализи од некои предвидливи аскпекти на операциите на PKI (види ABA упатство за дигитални потписи ABA digital signature guidelines), кратко потоа, неколку Соединети држави (прва беше Јута во 1995) и други надлежности ширум светот, почна да владеат закони и да се донесуваат регулативи. Се покренаа прашања од страна на купувачите за приватноста.^{[се бара извор]}

Донесените закони и регулативи се разликуваа, имаше технички и опеарциски проблеми во претворајки ги PKI шемите во успешни комерцијални операции, а пргресот беше далеку поспор отколку што пионерите можеа и да замислат дека ќе биде.^{[се бара извор]}

Првите неколку години од 21-от век основниот криптографско инженерство не беше лесно коректно да се развие. Операциските процедури (рачни или автоматски ) не беше лесно коректно да се дизајнираат (дури ни кога се дизајнирани, за префектно за се извршуваат како што бара инженерството.) Стандардите кои постојат беа недоволни.^{[се бара извор]}

PKI продавачите си најдоа маркет, но тоа не е тој маркет предвиден во средината на 90-тите, и растат заедно многу споро а во некои различни патеки од очекуваните. PKI не решија некои проблеми кои се очекуваа да ги решат, и неколку големи продавачи си заминаа од бизнисот или беа препуштени на други. PKI имаше најголем успех во владината имплементација, најголема PKI имплементација до денес е Агенција за Одбранбен Информациски СистемDefense Information Systems Agency (DISA) Инфраструктурата на PKI за програми со често пристапувани картички.^{[се бара извор]}

• See PKI security issues with X.509
• See Breach of Comodo CA
• See Breach of Diginotar CA

• Encryption and/or sender authentication of e-mail messages (e.g., using OpenPGP or S/MIME).
• Encryption and/or authentication of documents (e.g., the XML Signature [2] or XML Encryption [3] standards if documents are encoded as XML).
• Authentication of users to applications (e.g., smart card logon, client authentication with SSL). There's experimental usage for digitally signed HTTP authentication in the Enigform and mod openpgp projects.
• Bootstrapping secure communication protocols, such as Internet key exchange (IKE) and SSL. In both of these, initial set-up of a secure channel (a "security association") uses asymmetric key (a.k.a. public key) methods, whereas actual communication uses faster symmetric key (a.k.a. secret key) methods.
• Mobile signatures are electronic signatures that are created using a mobile device and rely on signature or certification services in a location independent telecommunication environment.
• Universal Metering Interface (UMI) an open standard, originally created by Cambridge Consultants for use in Smart Metering devices/systems and home automation, uses a PKI infrastructure for security.

• CA: Certificate authority
• TTP: Trusted third party