Dela via

Certifikat och offentliga nycklar

  • Artikel

Certificate Services är en grund för PKI (Public Key Infrastructure) som tillhandahåller metoder för att skydda och autentisera information. Relationen mellan en certifikatinnehavare, certifikatinnehavarens identitet och certifikatinnehavarens offentliga nyckel är en viktig del av PKI. Den här infrastrukturen består av följande delar:

Det offentliga/privata nyckelparet

PKI kräver användning av offentliga/privata nyckelpar. Matematiken för offentliga/privata nyckelpar ligger utanför den här dokumentationens omfång, men det är viktigt att notera den funktionella relationen mellan en offentlig och en privat nyckel. PKI kryptografiska algoritmer använda den offentliga nyckeln av mottagaren av ett krypterat meddelande för att kryptera data, och den relaterade privata nyckeln och endast den relaterade privata nyckeln för att dekryptera det krypterade meddelandet.

På samma sätt skapas en digital signatur av innehållet, som beskrivs mer detaljerat nedan, med undertecknarens privata nyckel. Motsvarande offentliga nyckel, som är tillgänglig för alla, används för att verifiera den här signaturen. Sekretessen för den privata nyckeln måste upprätthållas eftersom ramverket faller isär efter att den privata nyckeln har komprometterats.

Med tillräckligt med tid och resurser kan ett offentligt/privat nyckelpar komprometteras, dvs. den privata nyckeln kan identifieras. Ju längre nyckeln är, desto svårare är det att använda brute force för att upptäcka den privata nyckeln. I praktiken kan tillräckligt starka nycklar användas för att göra det omöjligt att fastställa den privata nyckeln i tid, vilket gör infrastrukturen för offentliga nycklar till en fungerande säkerhetsmekanism.

En privat nyckel kan lagras i skyddat format på en disk, i vilket fall den bara kan användas med den specifika datorn om den inte flyttas fysiskt till en annan dator. Ett alternativ är att ha en nyckel på ett smartkort som kan användas på en annan dator förutsatt att den har en smartkortsläsare och stödprogramvara.

Den offentliga nyckeln, men inte den privata nyckeln, för ämnet för ett digitalt certifikat ingår som en del av certifikatbegäran. (Därför måste det finnas ett offentligt/privat nyckelpar innan certifikatbegäran skickas.) Den offentliga nyckeln blir en del av det utfärdade certifikatet.

Certifikatbegäran

Innan ett certifikat utfärdas måste en certifikatbegäran genereras. Den här begäran gäller för en entitet, till exempel en slutanvändare, en dator eller ett program. Anta att entiteten är dig själv för diskussion. Information om din identitet ingår i certifikatbegäran. När begäran har genererats skickas den till en certifikatutfärdare (CA). Certifikatutfärdare använder sedan din identitetsinformation för att avgöra om begäran uppfyller certifikatutfärdares kriterier för att utfärda ett certifikat. Om certifikatutfärdare godkänner begäran utfärdar den ett certifikat till dig, som den entitet som heter i begäran.

Certifikatutfärdare

Innan certifikatet utfärdas verifierar certifikatutfärdare din identitet. När certifikatet utfärdas är din identitet bunden till certifikatet, som innehåller din offentliga nyckel. Certifikatet innehåller även certifikatutfärdares digitala signatur (som kan verifieras av alla som tar emot ditt certifikat).

Eftersom certifikatet innehåller identiteten för den utfärdande certifikatutfärdare kan en berörd part som litar på certifikatutfärdare utöka det förtroendet till ditt certifikat. Utfärdandet av ett certifikat upprättar inte förtroende, men överför förtroende. Om certifikatkonsumenten inte litar på den utfärdande certifikatutfärdare kommer den inte (eller bör åtminstone inte) lita på ditt certifikat.

Med en kedja med signerade certifikat kan även förtroende överföras till andra certifikatutfärdare. Detta gör det möjligt för parter som använder olika certifikatutfärdare att fortfarande kunna lita på certifikat (förutsatt att det finns en gemensam certifikatutfärdare i kedjan, d.v.s. en certifikatutfärdare som är betrodd av båda parter).

Certifikatet

Förutom din offentliga nyckel och identiteten för den utfärdande certifikatutfärdare innehåller det utfärdade certifikatet information om syftet med din nyckel och ditt certifikat. Dessutom innehåller den sökvägen till certifikatutfärdares lista över återkallade certifikat och anger certifikatets giltighetsperiod (start- och slutdatum).

Förutsatt att certifikatkonsumenten litar på den utfärdande certifikatutfärdare för certifikatet måste certifikatkonsumenten avgöra om certifikatet fortfarande är giltigt genom att jämföra certifikatets start- och slutdatum med den aktuella tiden och genom att kontrollera att certifikatet inte finns med i certifikatutfärdarcertifikatets lista över återkallade certifikat.

Listan över återkallade certifikat

Förutsatt att certifikatet används under en giltig tidsperiod och certifikatkonsumenten litar på den utfärdande certifikatutfärdare finns det ytterligare ett objekt som certifikatkonsumenten kan kontrollera innan certifikatet används: listan över återkallade certifikat (CRL). Certifikatkonsumenten kontrollerar certifikatutfärdares crl (sökvägen som ingår som ett tillägg i certifikatet) för att säkerställa att certifikatet inte finns med i listan över certifikat som har återkallats. CRL:er finns eftersom det finns tillfällen då ett certifikat inte har upphört att gälla, men det kan inte längre vara betrott. Med jämna mellanrum publicerar ca:en uppdaterad CRL. Certifikatkonsumenter ansvarar för att jämföra certifikat med den aktuella listan över återkallade certifikat innan de överväger certifikatet som är tillförlitligt.

Din offentliga nyckel som används för kryptering

Om en avsändare vill kryptera ett meddelande innan det skickas till dig hämtar avsändaren först certifikatet. När avsändaren har fastställt att certifikatutfärdaren är betrodd och certifikatet är giltigt och inte återkallats använder avsändaren din offentliga nyckel (återkallar den är en del av certifikatet) med kryptografiska algoritmer för att kryptera klartext meddelande till chiffertext. När du får chiffertexten använder du din privata nyckel för att dekryptera chiffertexten.

Om en tredje part fångar upp e-postmeddelandet i chiffertexten kan den tredje parten inte dekryptera det utan åtkomst till din privata nyckel.

Observera att huvuddelen av de aktiviteter som anges här hanteras av programvara, inte direkt av användaren.

Din offentliga nyckel som används för signaturverifiering

En digital signatur används som bekräftelse på att ett meddelande inte har ändrats och som bekräftelse på meddelandesändarens identitet. Den här digitala signaturen är beroende av din privata nyckel och innehållet i meddelandet. Med meddelandet som indata och din privata nyckel skapar kryptografiska algoritmer den digitala signaturen. Innehållet i meddelandet ändras inte av signeringsprocessen. En mottagare kan använda din offentliga nyckel (efter att ha kontrollerat certifikatets giltighet, utfärdat ca och återkallningsstatus) för att avgöra om signaturen motsvarar meddelandeinnehållet och för att avgöra om meddelandet skickades av dig.

Om en tredje part fångar upp det avsedda meddelandet, ändrar det (även något) och vidarebefordrar det och den ursprungliga signaturen till mottagaren, kommer mottagaren, efter undersökning av meddelandet och signaturen, att kunna fastställa att meddelandet är misstänkt. På samma sätt, om en tredje part skapar ett meddelande och skickar det med en falsk digital signatur under den skepnad som den kommer från dig, kommer mottagaren att kunna använda din offentliga nyckel för att fastställa att meddelandet och signaturen inte motsvarar varandra.

Nonrepudiation stöds också av digitala signaturer. Om avsändaren av ett signerat meddelande nekar att skicka meddelandet kan mottagaren använda signaturen för att motbevisa det anspråket.

Observera att huvuddelen av de aktiviteter som anges här också hanteras av programvara, inte direkt av användaren.

Microsoft Certificate Services-roll

Microsoft Certificate Services har rollen att utfärda certifikat eller neka begäranden om certifikat, enligt anvisningarna i principmoduler, som ansvarar för att säkerställa identiteten för certifikatförfrågan. Certificate Services ger också möjlighet att återkalla ett certifikat och publicera crl-filen. Certificate Services kan också distribuera certifikat som utfärdats centralt (till exempel till en katalogtjänst). Möjligheten att utfärda, distribuera, återkalla och hantera certifikat, tillsammans med publicering av CRL:er, ger de nödvändiga funktionerna för infrastruktur för offentliga nycklar.