PKI - Public Key Infrastructure

För dig inom offentlig sektor som behöver förstå och etablera PKI tjänster för att komplettera systemet för utfärdande av intyg.

Om tillitsmodeller

Alla verifierbara intyg behöver en tillitsmodell som beskriver vilka tekniska funktioner och principer som gäller för skapande och distribuering av certifikaten som används för att signera och verifiera intyg. PKI innehåller några av de tekniska förmågor som behövs för att stödja tillitsmodeller för biljettintyg.

Vad är PKI?

En PKI, eller Public Key Infrastructure, är en uppsättning av processer, tekniker och policyer som används för att skapa, hantera, distribuera och använda digitala certifikat genom assymetrisk kryptering. Certifikaten används för att verifiera identiteten hos användare, enheter eller tjänster. PKI är ett viktigt verktyg för att säkerställa datasäkerheten i dagens digitala värld. Certifikaten gör det möjligt för användare att säkert kommunicera med varandra, även om de befinner sig i osäkra nätverk, som till exempel internet.

Några exempel på hur PKI används:

  • TLS-certifikat används för att säkra bebbplatser. De krypterar data som skickas mellan bebbläsaren och bebbservern, vilket gör det omöjligt för obehöriga att avlyssna eller avkoda informationen.
  • Digitala signaturer används för att verifiera att ett dokument eller en fil inte har ändrats sedan det skapades.
  • E-legitimation används för att identifiera användare i elektroniska system. Den gör det möjligt för användare att logga in på bebbplatser och tjänster, och att utföra transaktioner på ett säkert sätt.

När det gäller verifierbara intyg är det framför allt egenskapen att skapa digitala signaturer och distribuera en publik nyckel som är anledningen till varför dessa tjänster behövs som en kompletterande del av systemet.

PKI Policies

Policies är regler som styr hur en PKI-miljö ska användas. De är viktiga för att säkerställa att PKI-miljön används på ett säkert och ansvarsfullt sätt.

Några exempel på viktiga PKI-policies inkluderar:

  • Nyckellängd: Policy för hur långa offentliga och privata nycklar ska vara.
  • Nyckelrotation: Policy för hur lång giltighetstid en privat nyckel har.
  • Certifikatlivslängd: Policy för hur länge certifikat ska vara giltiga.
  • Krypteringsstandarder: Policy för vilka krypteringsstandarder som ska
    användas.

PKI Processer

Några exempel på viktiga PKI-processer inkluderar:

  • Nyckelceremoni: Processen för att generera och hantera privata nycklar.
  • Certifikathantering: Processen för att utfärda, återkalla och hantera certifikat.
  • Autentisering: Processen för att kontrollera att en användare eller en enhet är den de utger sig för att vara.
  • Kryptering: Processen för att skydda data så att endast de avsedda mottagarna kan läsa dem.

Tekniska komponenter

Nyckelpar

Ett kryptografiskt nyckelpar innehåller en privat och en publik nyckel och används för att skapa en Cerifikat signing request CSR till en CA. Den privata nyckeln används tillsammans med DSC certet för att signera intyg. Den privata nyckeln skapas genom den så kallade nyckelceremonin och skyddas bäst i en HSM.

Certifikatutfärdare (CA)

En CA är en auktoriserad part som utfärdar och revokerar certifikat. Certifikat är elektroniska dokument som länkar en publik nyckel till en användares identitet.

DSC Document Signer Certificate

Kryptografiskt certifikat som används för att signera digitala dokument och intyg. Dessa certifikat används för att säkerställa att ett dokument har signerats av rätt person eller entitet och att dokumentet inte har ändrats sedan det signerades.

Ett DSC certifikat innehåller:

  • Certifikatets ägare: Namn, organisationsnummer, kontaktuppgifter, etc.
  • Certifikatets utfärdare: CA-tjänsten som utfärdat certifikatet.
  • Certifikatets giltighetstid: Perioden under vilken certifikatet är giltigt.
  • Certifikatets behörigheter: Vilka handlingar som certifikatet kan användas för att signera.
  • Certifikatets offentliga nyckel: En matematisk funktion som används för att signera digitala dokument.

VDR - Verifierbart Dataregister

Distribueringsnod främst för att distribuera publika nycklar till verifieringstjänster, men kan även innehålla spärrlistor, regler och annan metadata.

HSM

En HSM, eller Hardbare Security Module, är en fysisk datorenhet som skyddar och hanterar hemligheter såsom privata nycklar, utför krypterings- och dekrypteringsfunktioner för digitala signaturer, stark autentisering och andra kryptografiska funktioner. HSM`er är utformade för att vara mycket säkra. De använder avancerade säkerhetsfunktioner, såsom fysisk isolering, hårdvarabaserad kryptering och certifiering av tredje part, för att skydda nycklar och annan känslig information från stöld eller manipulation.

Rekommendation

Privata nycklar bör genereras, lagras och användas i en HSM maskinvara för att säkerställa högsta möjliga säkerhet. Signeringscertifikatens giltighetstid bör vara lika lång som eller längre än intygens giltighetstider. Ju fler DSC-certifikat som skapas och växlas in i en utfärdartjänst, desto mindre omfattning blir det om ett certifikat behöver återkallas.

Processer och Policies

Processen runt nyckelceremoni bör dokumenteras noggrant, både administrativt och tekniskt. Detta är viktigt eftersom det är en sällan förekommande aktivitet. Dokumentationen bör innehålla tydliga instruktioner för förberedelser i HSM-konfigurationen och hur nyckelceremonin ska utföras.

CA-tjänst

Om det redan finns en CA-tjänst inom myndigheten kan den användas för att utfärda signeringscertifikat. Det är även möjligt att använda en kommersiell CA-tjänst under förutsättning att det går att hämta och distribuera certifikaten till verifierare. Det bör framgå av tillitsmodellen på vilket sätt DSC-certifikaten skapas och distribueras.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: