PKI (Public Key Infrastructure) ist ein Rahmen der Sicherheitsdienste, die Benutzergruppen an, verwenden Sie sichere Kommunikation durch den Einsatz von öffentlichen Schlüssel Sicherheitsmechanismen zu ermöglichen. Diese Mechanismen werden in 3 Hauptkategorien unterteilt, die sicheren Schlüsselaustausch, Authentifizierung und Verschlüsselung sind.
Jede Organisation, die beschließt, PKI implementieren muss zuerst erstellen eine Organisation breit-Sicherheitsrichtlinie Inserat die Vermögen geschützt werden, das Maß an Sicherheit, auf welche Ressourcen gewährt werden die Sicherheitsprotokolle zu erlassen und wer war verantwortlich für die Umsetzung und Überwachung solcher Sicherheitsaktionen. Das Grundsatzdokument beleuchten, welche Mechanismen umgesetzt werden sollte und wo. Sichere Speicher muss identifiziert werden, zum Zwecke der Speicherung öffentlichen Schlüssel-Informationen und eine Zertifizierungsstelle Sicherheit gewählt werden, oder eine interne Zertifizierungsstelle muss identifiziert werden. IPSec selbst identifiziert die Protokolle für den sicheren Austausch von Daten, sondern PKI identifiziert alle Aspekte der Sicherheitsmechanismen.
Das Vertrauen für die sichere Kommunikation-Börsen ist durch den Einsatz eines dritten aktiviert, die normalerweise verpflichtet, werden digitale Signaturen, um bestätigen, dass die beiden Parteien, die Teilnahme an den Datenaustausch bona-fide. Dies erfordert, dass beide Parteien über die Verwendung der Zertifizierungsstelle vereinbart werden müssen und die Verwendung digitaler Signaturen erkennen. Gibt es viele Zertifizierungsstellen (Certification Authorities), wählen aus und die beiden Parteien müssen für die Verwendung einer bestimmten ca zustimmen.
Die CAs wird registrieren und bestätigen die digitalen Signaturen ihrer Client-Abonnenten durch einen privaten Schlüssel verwendet, um das digitale Zertifikat signieren...
Originator beginnt das Leben eines Zertifikats, indem eine Liste der persönlichen Daten und mit seinem privaten Schlüssel signiert. Dies wird an die Zertifizierungsstelle gesendet, die Informationen über seine Gültigkeit Datum/Uhrzeit, Lebensdauer und eine Seriennummer, die sie dann mit seinem eigenen privaten Schlüssel signiert, hinzufügt. Das zertifizierte Zertifikat wird an den Absender zurückgegeben, die es benutzen können, Transaktionen zu seiner Authentifizierung überprüfen angefügt. Wenn jederzeit Originator ausgetauschten vermutet werden, dass ein digitales Zertifikat beschädigt wurde, der Urheber normalerweise einen neuen Satz von Schlüsseln wählt, ein neues Zertifikat zu produzieren, sondern muss erste Revoke die erste festgelegten Schlüssel anfordern, die die CA fügt das kompromittierte Zertifikat zur Sperrliste.
Es gibt zahlreiche proprietäre Sicherheitssysteme zur Verfügung, die einen guten sicheren Service bieten können, jedoch überlegenswert die Verwendung von offenen PKI die Standards sind, die sind herstellerunabhängig und binden also keine Organisation zu einem einzigen Anbieter.
Einen gemeinsamen Satz von Standards für die Speicherung und Abruf von PKI-Zertifikaten ist die x. 500-Serie der ITU-Standards, x. 509 wird von bestimmten Standard für digitale Zertifikate der Verzeichnisdienste. Dieser Satz von Standards wurde ursprünglich für den Betrieb mit OSI-Verzeichnisdiensten aber auch über IP (Internet Protocol) zugegriffen werden kann.
Die folgenden Elemente sind in ein digitales x. 509-Zertifikat erforderlich:
Version Anzahl von x. 509 im Einsatz
NULL = Version 1 (Standard)
Seriennummer des Zertifikats
Signatur-Algorithmus-Identifier
Ausstellername,
Gültigkeit Gültigkeit,
Name des Antragstellers,
Gegenstand öffentlichen Schlüsselinformationen
Algorithmus und den öffentlichen Schlüssel
Emittenten eindeutiger Bezeichner OPTIONAL,
Spezifische Informationen über die Verwendung der x. 500 und genauer gesagt digitalen x. 509-Zertifikate werden in einem späteren Artikel erläutert.