Public Key Infrastructure
Een Public Key Infrastructure is een systeem waarmee uitgiften en beheer van digitale certificaten kan worden gerealiseerd.
Inhoud |
[bewerk] Inleiding
Door de toepassing van een deugdelijke PKI is het mogelijk dat een certificaat dat door de Certificate Authority (CA) wordt beheerd, door de eigenaar ervan wordt gebruikt in de relatie met een andere individu. De CA waarborgt de integriteit en authenticiteit van het certificaat en staat dus in voor de identiteit van de certificaatbezitter. Aangezien de CA de kopieën van de verstrekte certificaten bevat, alsmede identificerende kenmerken van de identiteiten aan wie ze zijn verstrekt, is het van groot belang dat de fysieke opslagruimte op een zeer goede manier is beveiligd, zowel logisch (toegangsrechten binnen het systeem) als fysiek (wie is in staat het opslagsysteem te benaderen). Inrichten van een deugdelijke CA is dan ook een zeer kostbare aangelegenheid.
[bewerk] Componenten van een PKI
Een PKI bestaat uit verschillende componenten. De belangrijkste zijn:
- Certificate Authority (CA) Dit is de certificaten beherende entiteit
- Registration Authority (RA) Deze entiteit stelt vast aan welke identiteit een certificaat kan worden verstrekt en controleert de uitgifte ervan
- Certificate Revocation List (CRL) Is een lijst met het overzicht van vervallen certificaten
- Certificate Practice Statement (CPS) Bevat de 'algemene verkoopvoorwaarden' van de PKI
De PKI wordt mogelijk gemaakt door de koppeling met een Directory Service, waarin de identiteiten waaraan een certificaat wordt verstrekt, worden beheerd.
[bewerk] Kosten van een PKI
Een Certificaatserver is van origine een afzonderlijk, zwaar beveiligd systeem, dat ontworpen is om ook fysiek geweld te weerstaan. Tegenwoordig worden certificaatservers met veel operating systems meegeleverd, te denken valt aan Windows en Linux, zodat ook een gewone pc als CA ingezet kan worden. Dat betekent dat er aanvullende maatregelen moeten worden getroffen om het beoogde niveau van beveiliging te bereiken.
Ook beheer van een PKI is een kostbare aangelegenheid. Los van de fysieke inrichting van de CA-server, moet ook de RA functie worden ingericht en moet een passende CPS worden opgesteld. Afhankelijk van het niveau van vertrouwen dat door het certificaat en het CPS wordt geboden is met name de RA functie kostbaar. In het duurste geval zal elke verstrekking van een certificaat gepaard moeten gaan met een authenticatie van de certificaathouder, door vaststellen van de identiteit aan de hand van een wettelijk identificatiemiddel.
[bewerk] Soorten PKI
[bewerk] Openbare PKI
Er bestaan verschillende niveaus van certificaat verstrekkende entiteiten. Op het internet zijn verschillende root CA's die certificaten aan andere CA's mogen verstrekken, die vervolgens, dus op een hiërarchisch lager niveau, zelf ook weer certificaten kunnen verstrekken. De certificaten die binnen deze hiërarchie worden verstrekt, zijn ook buiten deze hiërarcie bruikbaar. Deze CA's zijn bijvoorbeeld in de certificaatlijsten in de internet browsers opgenomen, zodat de browsers en e-mailpakketten de certificaten van deze CA's op geldigheid kunnen controleren. CA's buiten een hiërarchie kunnen andere CA's vertrouwen, zodat de certificaten die door den CA binnen de ene hiërarchie zijn verstrekt, door gebruikers in een andere hiërarchie vertrouwd kunnen worden. Het mechanisme dat dit mogelijk maakt heet Cross certificering.
[bewerk] Interne PKI
Wanneer certificaten niet buiten een hiërarchie beschikbaar hoeven te zijn, is sprake van een Interne PKI. Een dergelijke PKI wordt in de regel binnen bedrijven toegepast voor het zetten van een digitale handtekening op bijvoorbeeld interne inkooporders of voor code signing van zelf ontwikkelde programmatuur of macroscripts. Overigens kan ook voor een interne PKI een hiërarchisch architectuurmodel worden gekozen, waarbij een root CA instaat voor de authenticiteit van de onderliggende certificaatverstrekkende CA's. De root-CA zal in een dergelijke omgeving vanuit de optiek van beveiliging off-line worden gezet, zodat de server niet vanaf het netwerk is aan te vallen.
[bewerk] Trusted Third Party
Een TTP is een CA die certificaten op de markt aanbiedt. Deze term wordt momenteel niet veel meer gebruikt.
[bewerk] Web of Trust
Het web of trust is een beheermodel waarbij de RA functie niet is geformaliseerd, maar waarbij de certificaathouders zelf de RA functie vervullen, zij staan zelf in voor de authenticiteit van de identiteit van andere certificaathouders. De kosten van een certificaat zijn bij deze vorm van PKI dan ook aanzienlijk lager dan die met een geformaliseerde RA functie. Bekende aanbieders van WoT certificaten zijn [Thawte] en [CAcert]. Ook PGP kent een vorm van een Web of Trust, waarbij ook de CA functie niet is geformaliseerd.
[bewerk] Externe links
- PKIX website
- NIST PKI Programma NIST initiatief voor een publieke PKI
