PKI (infra-estrutura de chave pública) é uma estrutura de serviços de segurança que permitem que grupos de usuários para utilizar comunicações seguras através do uso de mecanismos de segurança de chave pública. Esses mecanismos cair em 3 categorias principais que são a criptografia, autenticação e troca de chaves segura.
Qualquer organização que decide implementar PKI deve primeiro criar uma política de segurança ampla organização listando os bens a proteger, o nível de segurança a ser concedido aos quais ativos, os protocolos de segurança a serem adotadas e que foi responsável pela implementação e monitoramento de tais ações de segurança. O documento de política irá destacar quais mecanismos devem ser implementados e onde. Armazenamento seguro precisa ser identificado com a finalidade de armazenar qualquer informação de chave pública e uma autoridade de certificação de segurança deve ser seleccionada, ou uma autoridade de certificação interna deve ser identificada. IPSec se identifica os protocolos para a troca segura de dados mas PKI identifica todos os aspectos dos mecanismos de segurança.
A confiança para os intercâmbios de comunicação segura é habilitada através do uso de um terceiro que normalmente deverão fornecer assinaturas digitais para certificar que as duas partes que participam na troca de dados são autênticas. Isto requer que ambas as partes devem ser acordadas sobre o uso da autoridade de certificação e reconhecem a utilização das assinaturas digitais. Existem muitos CAs (autoridades de certificação) para escolher de e as duas partes devem concordar com o uso de uma autoridade de certificação específica.
O CAs vai registrar e certificar as assinaturas digitais de seus assinantes de cliente através do uso de uma chave particular usado para assinar o certificado digital...
Um originador inicia a vida de um certificado, tendo uma lista de detalhes pessoais e assiná-lo com sua chave privada. Este é enviado para a autoridade de certificação que adiciona detalhes de sua data de validade/hora, tempo de vida e um número de série que ele assina com sua própria chave privada. O certificado certificado é retornado para o remetente quem pode usá-lo para acrescentar a transações para verificar se a sua autenticação. Se a qualquer momento um emissor de informações sejam trocadas suspeita que um certificado digital foi comprometido, o originador normalmente irá selecionar um novo conjunto de chaves para produzir um novo certificado, mas deve primeiro revogar o primeiro conjunto de chaves, solicitando que o CA adiciona o certificado comprometido para a lista de revogação.
Existem inúmeros sistemas de segurança proprietárias disponíveis que oferecem um bom serviço de seguro, mas pode ser vale a pena considerar o uso de PKI abertas que são padrões que são fornecedores independentes e portanto não amarrar uma organização de um único fornecedor.
Um conjunto comum de normas para o armazenamento e a recuperação de certificados PKI são a série x. 500 de padrões ITU, x. 509, sendo o padrão particular de certificado digital, serviços de diretório. Este conjunto de normas foi originalmente projetado para operar com serviços de diretório OSI, mas também pode ser acessado via IP (Internet Protocol).
Os seguintes itens são necessários dentro de um certificado digital x. 509:
Versão número de x. 509 em uso
Zero = versão 1 (padrão)
Número de série do certificado
Identificador do algoritmo de assinatura
Nome do emissor,
Validade de validade,
Nome da entidade,
Assunto informações de chave pública
Algoritmo e chave pública
Identificador exclusivo do emitente opcional,
Informações específicas sobre o uso do x. 500 e mais especificamente os certificados digitais x. 509 serão explicadas em um artigo futuro.