Eine Infrastruktur des öffentlichen Schlüssels (PKI) ist eine Reihe der Hardware, Software, Leute, Policen, und Verfahren mussten schaffen, führen, verteilen, Digitalzertifikate zu verwenden, zu versorgen, und zu widerrufen.

In der Geheimschrift ist ein PKI eine Einordnung, die öffentliche Schlüssel mit der jeweiligen Benutzeridentität mittels einer Zertifikat-Autorität (CA) bindet. Die Benutzeridentität muss innerhalb jedes CA Gebiets einzigartig sein. Die Schwergängigkeit wird durch die Registrierung und den Ausgabe-Prozess gegründet, der, abhängig vom Niveau der Versicherung, die die Schwergängigkeit hat, durch die Software an einem CA, oder unter der menschlichen Aufsicht ausgeführt werden kann. Die PKI Rolle, die diese Schwergängigkeit sichert, wird Registration Authority (RA) genannt. Der RA stellt sicher, dass der öffentliche Schlüssel der Person gebunden wird, der es in einem Weg zugeteilt wird, der Nichtnichtanerkennung sichert.

Übersicht

Verschlüsselung des öffentlichen Schlüssels ist eine kryptografische Technik, die Benutzern ermöglicht, in einem unsicheren öffentlichen Netz sicher zu kommunizieren, und zuverlässig die Identität eines Benutzers über Digitalunterschriften nachzuprüfen.

Eine Infrastruktur des öffentlichen Schlüssels (PKI) ist ein System für die Entwicklung, die Lagerung und den Vertrieb von Digitalzertifikaten, die verwendet werden, um nachzuprüfen, dass ein besonderer öffentlicher Schlüssel einer bestimmten Entität gehört. Der PKI schafft Digitalzertifikate, die öffentliche Schlüssel zu Entitäten kartografisch darstellen, sicher versorgt diese Zertifikate in einem Hauptbehältnis, und widerruft sie wenn erforderlich.

Ein PKI besteht aus:

• Eine Zertifikat-Autorität (CA), dass beide Probleme und die Digitalzertifikate nachprüfen.
• Eine Registrierungsautorität, die die Identität von Benutzern nachprüft, die um Information vom CA bitten
• Ein Hauptverzeichnis - d. h. eine sichere Position, in der man versorgt und Schlüssel mit einem Inhaltsverzeichnis versieht.
• Ein Zertifikat-Verwaltungssystem

Methoden des Zertifikats

Ganz allgemein gesprochen gibt es drei Annäherungen an das Bekommen dieses Vertrauens: Zertifikat-Behörden (CAs), Web des Vertrauens (WoT) und einfache Infrastruktur des öffentlichen Schlüssels (SPKI).

Zertifikat-Behörden

Die primäre Rolle des CA soll digital unterzeichnen und den öffentlichen einem gegebenen Benutzer gebundenen Schlüssel veröffentlichen. Das wird mit dem eigenen privaten Schlüssel des CA getan, so dass sich das Vertrauen auf den Benutzerschlüssel auf jemandes Vertrauen auf die Gültigkeit des Schlüssels des CA verlässt. Der Mechanismus, der Schlüssel zu Benutzern bindet, wird Registration Authority (RA) genannt, die kann oder vom CA nicht getrennt sein kann. Der Schlüsselbenutzer, der bindet, wird gegründet, abhängig vom Niveau der Versicherung hat die Schwergängigkeit durch die Software oder unter der menschlichen Aufsicht.

Der Begriff vertrauter Dritter (TTP) kann auch für die Zertifikat-Autorität (CA) gebraucht werden. Außerdem wird PKI selbst häufig als ein Synonym für eine CA Durchführung verwendet.

Vorläufige Zertifikate & einzelnes Zeichen - darauf

Diese Annäherung ist mit einem Server verbunden, der als eine Online-Zertifikat-Autorität innerhalb eines einzelnen Zeichens - auf dem System handelt. Ein einzelnes Zeichen - auf dem Server wird Digitalzertifikate ins Kundensystem ausgeben, aber versorgt sie nie. Benutzer können Programme usw. mit dem vorläufigen Zertifikat durchführen. Es ist üblich, diese Lösungsvielfalt mit mit Sitz in x.509 Zertifikaten zu finden.

Web des Vertrauens

Eine alternative Annäherung an das Problem der öffentlichen Beglaubigung der Information des öffentlichen Schlüssels ist das Web des Vertrauensschemas, das selbstunterzeichnete Zertifikate und Drittbescheinigungen jener Zertifikate verwendet. Der einzigartige Begriff "Web des Vertrauens" bezieht die Existenz eines einzelnen Webs des Vertrauens, oder allgemeinen Punkts des Vertrauens, aber eher einer keiner Zahl des potenziell zusammenhanglosen "Webs des Vertrauens" ein. Beispiele von Durchführungen dieser Annäherung sind PGP (Ziemlich Gute Gemütlichkeit) und GnuPG (eine Durchführung von OpenPGP, die standardisierte Spezifizierung von PGP). Weil PGP und Durchführungen den Gebrauch der E-Mails Digitalunterschriften für die Selbstveröffentlichung der Information des öffentlichen Schlüssels erlauben, ist es relativ leicht, jemandes eigenes Web des Vertrauens durchzuführen.

Einer der Vorteile des Webs des Vertrauens, solcher als in PGP, ist, dass es mit einem PKI CA völlig vertraut von allen Parteien in einem Gebiet zwischenfunktionieren kann (wie ein innerer CA in einer Gesellschaft), der bereit ist, Zertifikate als ein vertrauter introducer zu versichern. Nur wenn dem "Web des Vertrauens", und wegen der Natur eines Webs des Vertrauens völlig vertraut wird, glaubend, dass ein Zertifikat gewährt, vertrauen allen Zertifikaten in diesem Web. Ein PKI ist nur so wertvoll wie die Standards und Methoden, die die Ausgabe von Zertifikaten und einschließlich PGP kontrollieren oder ein persönlich errichtetes Web des Vertrauens den trustability der Durchführung dieses Unternehmens oder Gebiets von PKI bedeutsam erniedrigen konnte.

Das Web des Vertrauenskonzepts wurde zuerst hervor vom PGP Schöpfer Phil Zimmermann 1992 im Handbuch für die PGP Version 2.0 gestellt:

Einfache Infrastruktur des öffentlichen Schlüssels

Eine andere Alternative, die sich mit öffentlicher Beglaubigung der Information des öffentlichen Schlüssels nicht befasst, ist die einfache Infrastruktur des öffentlichen Schlüssels (SPKI), die aus drei unabhängigen Anstrengungen gewachsen ist, die Kompliziertheiten von X.509 und das Web von PGP des Vertrauens zu überwinden. SPKI vereinigt Benutzer mit Personen nicht, da der Schlüssel ist, wem, aber nicht die Person vertraut wird. SPKI verwendet keinen Begriff des Vertrauens, weil der verifier auch der Aussteller ist. Das wird eine "Genehmigungsschleife" in der SPKI Fachsprache genannt, wo Genehmigung zu seinem Design integriert ist.

Geschichte

Die öffentliche Enthüllung sowohl des sicheren Schlüsselaustausches als auch der asymmetrischen Schlüsselalgorithmen 1976 durch Diffie, Hellman, Rivest, Shamir und Adleman hat sichere Kommunikationen völlig geändert. Mit der weiteren Entwicklung der hohen Geschwindigkeit elektronische Digitalkommunikationen (das Internet und seine Vorgänger) ist ein Bedürfnis offensichtlich für Wege geworden, auf die Benutzer mit einander, und als eine weitere Folge davon für Wege sicher kommunizieren konnten, auf die Benutzer damit überzeugt sein konnten, wen sie wirklich aufeinander wirkten.

Geordnete kryptografische Protokolle wurden erfunden und analysiert, innerhalb dessen die neuen kryptografischen Primitiven effektiv verwendet werden konnten. Mit der Erfindung des World Wide Web und seiner schnellen Ausbreitung ist das Bedürfnis nach der Beglaubigung und sicheren Kommunikation noch akuter geworden. Kommerzielle Gründe allein (z.B, elektronischer Handel, Onlinezugriff zu Eigentumsdatenbanken von WWW-Browsern, usw.) waren genügend. Taher Elgamal und andere an Netscape haben das SSL Protokoll ('https' in Web-URL-ADRESSEN) entwickelt; es hat Schlüsselerrichtung, Server-Beglaubigung (vor v3, Einweg-nur) und so weiter eingeschlossen. Eine PKI Struktur wurde so für Webbenutzer/Seiten geschaffen, die sichere Kommunikationen wünschen.

Verkäufer und Unternehmer haben die Möglichkeit eines großen Marktes gesehen, haben Gesellschaften (oder neue Projekte an vorhandenen Gesellschaften) angefangen und haben begonnen, für die gesetzliche Anerkennung und den Schutz vor der Verbindlichkeit zu agitieren. Ein amerikanisches Anwaltsvereinigungstechnologieprojekt hat eine umfassende Analyse von einigen der absehbaren gesetzlichen Aspekte von PKI Operationen veröffentlicht (sieh ABA Digitalunterschrift-Richtlinien), und kurz danach, mehrere US-Staaten (Utah, das das erste 1995 ist) und andere Rechtsprechungen weltweit, hat begonnen, Gesetze zu verordnen und Regulierungen anzunehmen. Verbrauchergruppen und andere haben Fragen der Gemütlichkeit, des Zugangs und der Verbindlichkeitsrücksichten aufgebracht, die in einigen Rechtsprechungen mehr in Betracht gezogen wurden als in anderen.

Die verordneten Gesetze und Regulierungen haben sich unterschieden, es gab technische und betriebliche Probleme im Umwandeln von PKI Schemas in die erfolgreiche kommerzielle Operation, und Fortschritt ist viel langsamer gewesen, als sich Pioniere vorgestellt hatten, dass es sein würde.

Um die ersten paar Jahre des 21. Jahrhunderts war die zu Grunde liegende kryptografische Technik klar nicht leicht, sich richtig aufzustellen. Betriebsverfahren (manuell oder automatisch) waren nicht leicht richtig zu entwickeln (noch selbst wenn so bestimmt, um vollkommen durchzuführen, den die Technik verlangt hat). Die Standards, die bestanden haben, waren ungenügend.

PKI Verkäufer haben einen Markt gefunden, aber es ist nicht ganz der Markt, der Mitte der 90er Jahre vorgesehen ist, und es ist sowohl langsamer als auch auf etwas verschiedene Weisen gewachsen, als es vorausgesehen wurde. PKIs haben einige der Probleme nicht behoben, wie man erwartete, sie, und mehrere Hauptverkäufer sind aus dem Geschäft gegangen oder durch andere erworben worden. PKI hat den grössten Teil des Erfolgs in Regierungsdurchführungen gehabt; die größte PKI Durchführung ist bis heute Defense Information Systems Agency (DISA) PKI Infrastruktur für das Allgemeine Zugriffskarte-Programm.

Sicherheitsprobleme

• Sieh PKI Sicherheitsprobleme mit X.509
• Sieh Bruch von Comodo CA
• Sieh Bruch von Diginotar CA

Gebrauch-Beispiele

PKIs eines Typs oder hat ein anderer, und von einigen von mehreren Verkäufern, vielen Nutzen, einschließlich der Versorgung öffentlicher Schlüssel und bindings zur Benutzeridentität, die verwendet wird für:

• Verschlüsselung und/oder Absenderbeglaubigung von E-Mail-Nachrichten (z.B, mit OpenPGP oder S/MIME).
• Verschlüsselung und/oder Beglaubigung von Dokumenten (z.B, die XML Unterschrift http://www.w3.org/TR/xmldsig-core/ oder XML Verschlüsselung http://www.w3.org/TR/xmlenc-core/ Standards, wenn Dokumente als XML verschlüsselt werden).
• Beglaubigung von Benutzern zu Anwendungen (z.B, kluge Karte logon, Kundenbeglaubigung mit SSL). Es gibt experimentellen Gebrauch für die digital unterzeichnete HTTP Beglaubigung in Enigform und Mod_openpgp-Projekten.
• Sichere Nachrichtenprotokolle, wie Internetschlüsselaustausch (IKE) und SSL urladend. In beiden von diesen verwendet die anfängliche Einstellung eines sicheren Kanals (eine "Sicherheitsvereinigung") asymmetrischen Schlüssel (a.k.a. öffentlicher Schlüssel) Methoden, wohingegen wirkliche Kommunikation schnelleren symmetrischen Schlüssel (a.k.a. heimlicher Schlüssel) Methoden verwendet.
• Bewegliche Unterschriften sind elektronische Unterschriften, die mit einem beweglichen Gerät geschaffen werden und sich auf die Unterschrift oder Zertifikat-Dienstleistungen in einer Position unabhängige Fernmeldeumgebung verlassen.
• Universal Metering Interface (UMI) ein offener Standard, der ursprünglich von Beratern von Cambridge für den Gebrauch in Klugen Messen-Geräten/Systemen und die Hausautomation geschaffen ist, verwendet eine PKI Infrastruktur für die Sicherheit.

Fachsprache

• CA: Zertifikat-Autorität
• TTP: Vertrauter Dritter

Links

• PKI Tutorenkurs durch Peter Gutmann
• PKI Tutorenkurs das Verwenden von Fingerpuppets
• PKIX workgroup
• Den SCHMERZ - eine ausführliche Erklärung der PKI Gemütlichkeit, Beglaubigung, Integrität und Nichtnichtanerkennung (SCHMERZ) erleichternd
• NIST PKI Programm - in dem das Nationale Institut für Standards und Technologie (NIST) versucht, eine öffentliche Schlüsselinfrastruktur zu entwickeln
• Zehn Gefahren von PKI: Was Ihnen über die öffentliche Schlüsselinfrastruktur von C. Ellison und B. Schneier nicht erzählt wird
• Antwort auf zehn Gefahren durch A. Perez
• Siebeneinhalb Nichtgefahren von PKI durch B. Laurie
• Der unvermeidliche Zusammenbruch des Zertifikat-Modells durch die Hagai Bar-El