PKI技术解密:IT安全专业人士必备指南

本文深入解析公钥基础设施(PKI)技术的核心组件和工作原理,涵盖数字证书、加密密钥对、证书颁发机构等关键技术要素,帮助IT安全专业人士全面理解PKI在网站安全、电子邮件保护和代码签名等场景中的应用。

揭秘PKI技术:IT安全专业人士必备指南

当您打开网站、进行在线支付或在Netflix上追剧时,PKI技术是确保这些连接安全背后的隐藏力量。公钥基础设施(PKI)是在数字世界中验证设备和个人身份、保护数据完整性免受未经授权修改的无名英雄。它支撑着每一个安全连接、通信和代码。

但PKI技术到底是什么?在PKI技术背后发生了什么让它如此神奇?在这份终极指南中,您将找到所有应该了解但可能不敢询问的PKI技术知识。

编者注:本文是三部分系列文章中的第一篇,深入探讨PKI技术的细节。本系列探讨PKI技术在IT安全中的角色,提供中小型企业可以使用的PKI应用示例,并了解PKI技术的工作原理。

什么是PKI技术?

“PKI技术"这个说法有点用词不当。从技术意义上讲,它包含一组用于创建、管理、分发、存储和撤销数字证书的策略、标准、硬件和软件。从更基本的意义上说,它使得在不安全网络上进行安全、经过身份验证的通信成为可能。

听起来有点熟悉?是的,PKI IT是护照系统的数字版本,其中签发、更新或撤销实体护照的机构遵循特定的流程和规则。

就像护照确认您的身份并使您能够在出国旅行时证明身份一样,PKI断言人员、服务和设备的数字身份,并促进通过互联网进行安全的数据传输。

PKI技术的5个关键要素

让我们探索五个基本的PKI组成部分,使您能够保护数据、管理加密并保护通信。但首先,您必须了解PKI技术在数据和IT安全中的三个主要目标:

  • 保持通过互联网在两个实体之间交换的数据的私密性
  • 验证一方或双方是否是他们声称的身份
  • 确保数据按预期到达(即未被篡改)

为了做到这一点,PKI技术依赖于几个小助手(即组件)。让我们分解PKI技术五个最基本的要素。

1. 证书颁发机构(CA)

在PKI技术中的角色:CA构成用于颁发和撤销X.509数字证书的信任层次结构(即"信任链”)的支柱。

证书颁发机构是签发您护照的政府机构的数字版本。像Sectigo这样的CA是一个公开受信任的实体,在经过彻底的审查过程后向个人和组织颁发公开受信任的数字证书。

这些受信任的实体负责维护"信任层次结构",网站、用户、软件和文档签名以及许多其他用例的数字证书都链接回这些层次结构。基于它们在信任层次结构中的位置,不同的CA(即根CA、中间CA和颁发CA)扮演特定角色,如下图所示:

图片说明:根CA是信任的源头,必须不惜一切代价保护。颁发CA是根证书和叶子(端点)证书之间的"缓冲区",颁发CA向网站、设备、用户等提供这些证书。中间CA在根CA和颁发CA之间提供另一个缓冲层。上面的示例展示了两层和三层的PKI层次结构。

但需要注意的是,不同类型的CA(公共CA与私有CA)可以分别颁发用于互联网或私有网络的公开受信任证书。

  • 公共CA或公共PKI:这些组织经过精心挑选。每个都必须满足CA/浏览器论坛(CA/B Forum或CABF)制定的严格指南,这是一个由主要浏览器、操作系统和移动设备制造商代表组成的独立组织。私有PKI不必遵守CABF服务器证书基线要求(尽管这样做通常被认为是最佳实践)。
  • 私有CA用于私有PKI:组织可以使用其员工和资源在内部创建和管理这些实体,或依赖第三方PKI即服务提供商。例如,Active Directory证书服务(AD CS)使公司能够专门为内部使用颁发数字证书。

2. 数字证书

在PKI技术中的角色:实现安全通信并将组织或个人的身份与公钥-私钥对链接。

PKI证书(即X.509证书)是一个数字文件,确认您是您应该成为的人。它由受信任的第三方颁发,确认证书上显示信息的准确性。

但并非所有证书都是平等创建的。根据验证级别,它们可能或多或少受到信任。以下是一些示例:

  • 域名验证(DV) SSL/TLS证书:此验证级别提供最低的信任度。几乎任何人都可以获得它,包括网络犯罪分子——所需要的只是控制证书详细信息中列出的域名。
  • 组织验证(OV) SSL/TLS证书:此证书提供更高级别的信任,因为CA必须确认网站由特定组织合法拥有。对于预算有限但不想在安全上妥协并希望促进信任的组织来说,这是理想选择。
  • 扩展验证(EV) SSL/TLS证书:由银行和知名品牌使用,EV证书提供最高级别的信任。在颁发之前,CA遵循严格的验证和身份验证过程,以确保请求它的组织是合法的,并且证书中包含的组织详细信息是准确的。

不同类型的PKI证书在PKI IT安全中扮演不同角色

PKI技术依赖几种类型的PKI证书,例如:

  • 安全套接字层/传输层安全(SSL/TLS)证书:这些证书保护网站和Web应用程序
  • 安全/多用途互联网邮件扩展(S/MIME)证书:S/MIME证书以加密方式签名、加密和验证电子邮件
  • 代码签名证书:这些证书使组织能够签名软件、代码、脚本、容器和驱动程序
  • 客户端身份验证证书:这些电子邮件签名证书也用作个人身份验证证书,向应用程序、数据库和其他系统验证用户
  • 设备证书:组织经常使用这些证书来验证自主IoT设备并保护其网络连接

现在,了解它们的目的至关重要。尽管名称和目的不同,但所有这些证书通常包含相同的信息,例如:

  • 所有者经过验证的数字身份信息
  • 公钥的副本
  • CA的数字签名

3. 加密密钥对

在PKI技术中的角色:加密密钥对加密和解密信息,使组织能够通过不安全网络安全通信。

私钥密码学中的密钥对(对称加密)

这种加密方法使用单个共享私钥来加密和解密数据。由于这个敏感密钥同时扮演两个角色,必须安全存储和管理以避免泄露。因此,双方(即发送方和接收方)必须找到一种方法在使用它交换敏感消息之前安全地共享私钥数据。

历史上,双方曾经面对面会面交换密钥,以便首先验证对方的身份。但在通过不安全网络(即互联网)进行在线通信的世界中,这种方法单独不再可行。如果攻击者获得了该私钥,他们可以使用它来解密您的消息。那么,解决方案是什么?这就是使用公钥-私钥对的地方。

公钥密码学中的密钥对(非对称加密)

这种方法除了私钥外还使用公钥来在不安全通道中安全交换数据。两个密钥在数学上相关但仍然是唯一的。在公钥密码学中,只共享公钥,这意味着私钥保持秘密。这有助于保护它不被坏人泄露。

听起来很棒,对吧?但就像生活中的大多数事情一样,有一个问题:非对称加密是资源密集型的,不适合大规模使用。这就是为什么非对称和对称加密都在SSL/TLS握手(稍后会详细介绍)中发挥作用,服务器和客户端使用它来验证和建立安全的网站连接。

  • 非对称加密最初用于验证一方或双方并交换密钥数据
  • 对称加密(需要较少的计算开销)用于会话

4. 安全密钥存储

在PKI技术中的角色:硬件安全模块(HSM)、安全令牌和基于云的密钥库使组织能够安全存储和管理其加密密钥。

2023年1月,GitHub报告攻击者窃取了三个代码签名证书和密钥。证书很快被撤销。然而,此事件使GitHub及其客户面临攻击风险。

几个月后,CA/B论坛强制要求所有公开受信任的代码签名证书的密钥必须在安全硬件(例如,符合FIPS 140-2级别2的USB令牌、物理HSM或基于云的HSM)上生成和存储。

无论您使用哪种类型的证书,安全硬件(如HSM)都是PKI技术安全的基本支柱,因为它们提供针对网络犯罪分子的强大保护。想一想:对于攻击者来说,窃取USB密钥或数据中心中的物理HSM设备比窃取存储在连接到互联网的笔记本电脑或数据库上的私钥要困难得多。

5. 证书撤销机制(即CRL和OCSP)

在PKI技术中的角色:这些撤销机制有助于识别被盗和/或其他受损证书,并在其指定的到期日期之前使它们失效。

您在浏览互联网时是否曾经看到过此错误消息?

图片说明:屏幕截图显示了一个撤销证书警告,指示网站不安全,不应信任。

上面的消息是当您访问的网站使用已被撤销的证书时看到的内容示例。当您访问网站时,您的浏览器会验证其SSL/TLS证书的有效性。为此,浏览器可以使用不同的方法:

  • 在线证书状态协议(OCSP):客户端向OCSP响应器发送关于特定证书撤销状态的请求,并几乎实时获得响应
  • 证书撤销列表(CRL):在这种情况下,浏览器向CRL分发点发送请求,下载所有撤销证书的最新预配置列表,并检查网站的证书序列号是否在撤销列表中

很酷吧?它们是两个不同的过程,各有优缺点,但最终共享相同的目标:提醒客户端网站是否正在使用已撤销的证书。这可以防止用户与潜在危险的网站(例如,网络钓鱼或虚假网站)交互,并防止您作为网站所有者面临数据泄露后果(例如,法律诉讼、罚款)。

好的,既然您已经熟悉了PKI技术关键要素,让我们看看它们如何协同工作。

PKI技术如何工作?

简而言之,PKI IT安全的工作方式归结为三个要点:

  • 身份验证:PKI使一方或双方能够通过不安全通道进行身份验证
  • 安全:PKI使用密码学加密和解密数据,以提供隐私并防止未经授权的访问
  • 完整性保证:PKI使用加密函数提供一种检查数据自数字签名以来是否已被修改或更改的方法

例如,当用户访问您的网站时,他们的客户端(浏览器)和服务器进行"TLS握手"。此过程确定双方将如何安全通信(即使用加密算法和函数的组合)。以下是该过程的快速概述:

图片说明:图形显示了PKI技术在基本TLS 1.2握手插图中的实际工作示例。

如果您想了解更多信息并深入了解该过程的细节,请关注我的下两篇文章,它们将描述PKI技术如何工作的细节,以及中小型企业如何使用它来提高其安全性。

在组织内使用PKI技术的5个示例

那么,作为IT专业人士,您可以在哪里使用这种技术奇迹使您的组织更安全和值得信赖?

  1. 网站的PKI IT安全:在您的网站上安装SSL/TLS证书可以保护您的数据和交易免受窥探。由于强加密,当客户输入信用卡详细信息支付网站订单时,信息被加扰成"乱码"。因此,即使攻击者确实设法拦截数据,他们也无法对其执行任何操作,因为他们缺乏解密所需的私钥。

  2. 电子邮件安全的PKI IT安全:在保护电子邮件方面,PKI技术至关重要。您可以使用SSL/TLS证书创建安全通道来保护传输中的数据,并使用S/MIME证书以加密方式签名和加密消息数据以增加安全性。

  3. 保护软件和代码的PKI技术:使用代码签名证书保护您的应用程序和代码免受篡改。签名您的代码确保用户的操作系统或客户端可以验证软件应用程序自签名以来是否已被恶意第三方修改,并可以阻止可能受损的软件安装或运行。

  4. 文档的PKI IT安全:给用户一个信任您文档的理由。数字文档签名证书让您证明您签名的Microsoft Office文档确实是由您制作的。最重要的是,使用加密哈希创建代码签名数字签名可以防止未经授权的更改被忽视。

  5. IoT设备的PKI IT安全:使用设备证书验证和保护您的IoT设备。一个单一证书为您的设备提供唯一的数字身份,无需密码即可验证IoT。它还支持使用加密算法和函数来保护机密信息和IoT设备数据的完整性。是时候告别网络钓鱼和暴力攻击了。

想了解更多关于这些和其他特定PKI用途的信息以及针对中小型企业的示例吗?查看我们关于PKI用例的其他文章以了解更多信息。

PKI技术:优势

通过促进身份验证并确保数据隐私和完整性,PKI技术为组织及其客户提供了许多优势:

  • 来自客户和合作伙伴的信任:PKI技术通过数字证书、身份验证和加密帮助您与重要方建立信任。在线交易得到保护,攻击风险降低。
  • 更强的合规性:实施PKI技术和标准有助于您的组织避免违反监管和不合规问题。考虑到即使违反"较不严重"的通用数据保护条例(GDPR)也可能导致高达1000万欧元(即1125万美元)或您组织年收入2%的罚款,这一点至关重要。
  • 更大的可扩展性:公钥基础设施和PKI技术使组织能够采取更集中的方法来保护其数字资产、设备和用户。对于实施证书自动化以管理其PKI资产的组织来说,尤其如此。
  • 增强的安全性:通过将PKI IT安全纳入您的运营,您的组织成为想要快速赚钱的网络犯罪分子更具挑战性的目标。

使用私有PKI将安全性提升到新水平

虽然使用公共PKI技术和证书对于保护外部面向的资源非常有用,但至关重要的是不要忽视组织的内部安全需求。私有PKI允许您运营内部受信任的CA,使您能够更好地控制IT生态系统以及其中的所有设备、用户和应用程序。

您想在组织内实施内部PKI吗?太好了!Sectigo Private PKI可以帮助您做到这一点。这个直观的托管PKI平台消除了与运行内部CA相关的许多负担。

无论您是想创建新的私有CA还是想增强现有的CA,Sectigo Private PKI都将帮助您简化流程并重新专注于其他关键职责。

关于"揭秘PKI技术:IT安全专业人士必备指南"的最后说明

PKI技术是安全数字世界的基础。它保护敏感数据、代码和通信,同时验证方和身份。既然您了解了PKI的每一个细节,您就可以亲自试验它了。

但不要忘记:只有当您的证书和密钥安全无恙时,PKI IT安全才有效。因此,通过强大的PKI程序将网络犯罪分子远离您组织的电子邮件、密码和数据,并将其与像Sectigo Certificate Manager这样的证书管理软件配对,该软件与数十种技术和平台集成,包括用于保护您秘密的密钥库。多层安全总是比一层更好。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次