Hạ tầng khóa công khai (hoặc PKI) có một số cách sử dụng nhưng phần lớn mà hầu hết mọi người thấy chúng được dùng để mã hóa và/hoặc ký dữ liệu.
Hạ tầng khóa công khai cho phép phân phối và nhận dạng các khóa mã hóa công khai để hệ thống và người dùng có thể trao đổi dữ liệu an toàn qua mạng và đảm bảo nhận dạng.
Dữ liệu có thể được mã hóa an toàn mà không có PKI nhưng không có PKI, không đảm bảo được danh tính của bên còn lại.
PKI được sử dụng ở đâu?
PKI có thể dùng để xác thực người dùng thông qua đăng nhập thẻ thông minh. PKI cũng có thể được tìm thấy trong việc xác thực các hệ thống khách hàng bằng cách sử dụng các chữ ký hoặc mã hóa SSL (Secure Socket Layer).
PKI có thể được sử dụng để ký các tài liệu và biểu mẫu điện tử, nhắn tin tức thời an toàn, bảo mật thiết bị lưu trữ USB và quản lý cơ sở dữ liệu.
Các thành phần của PKI
PKI bao gồm phần cứng, phần mềm, chính sách và tiêu chuẩn giúp quản lý, phân phối và thu hồi khóa và chứng chỉ số.
Chứng chỉ số giống như thẻ ID và đôi khi được gọi là chứng chỉ X.509 hoặc đơn giản là chứng chỉ. Những chứng chỉ này tạo kết nối an toàn cho cả trang web công cộng và hệ thống riêng tư.
PKI bao gồm quyền cấp chứng chỉ (CA) để thể hiện tính tin cậy, cung cấp các dịch vụ xác thực danh tính người dùng và hệ thống. CA có thể được cung cấp trong nhà hoặc bởi nhà cung cấp chứng chỉ độc lập và đáng tin cậy của bên thứ ba.
Dưới đây là một cơ quan đăng ký hoặc CA cấp dưới, được chứng nhận bởi một CA gốc để cấp chứng chỉ sử dụng.
Ngoài ra còn có quyền cấp chứng chỉ, phục vụ mục đích ghi lại các yêu cầu, cấp và thu hồi các chứng chỉ.
Cuối cùng, có một cửa hàng chứng chỉ. Cửa hàng có thể được tìm thấy trên một hệ thống địa phương như một nơi nào đó để lưu trữ các chứng chỉ đã được cấp cũng như các khóa riêng tư. Các yêu cầu chứng nhận đang chờ xử lý hoặc bị từ chối từ hệ thống địa phương cũng có thể được lưu trữ tại đây.
Các cặp khóa công khai và khóa dùng riêng cũng được tìm thấy trong PKI. Bất kỳ dữ liệu nào được mã hóa bằng khóa công khai đều có thể được giải mã bằng khóa riêng và ngược lại. Người dùng có thể yêu cầu sử dụng khóa công khai và là một phần của giấy chứng nhận công. Khóa riêng tư được giữ riêng và không được chia sẻ.
Chữ ký số được tạo bởi mã băm của chứng chỉ số. Sau đó, mã này được mã hóa bằng khóa riêng của CA và được thêm vào chứng chỉ công khai dưới dạng chữ ký số.
Chuỗi niềm tin
Để tăng cường an ninh cho PKI, một mối quan hệ tin cậy là cần thiết được gọi là một chuỗi niềm tin. Phân cấp này mô tả mối quan hệ tin cậy giữa các danh tính khi sử dụng các CA cấp dưới (trung gian). Ưu điểm chính của việc này là nó cho phép ủy nhiệm chứng chỉ của các CA cấp dưới.
Một chuỗi niềm tin được tạo ra bằng cách xác nhận hợp lệ từng thành phần của phần cứng và phần mềm từ một đầu đến đúng chứng chỉ gốc. Điều này đảm bảo rằng chỉ phần mềm và phần cứng đáng tin cậy mới được sử dụng trong PKI.