Cos'è Infrastruttura a Chiave Pubblica?
L'infrastruttura a chiave pubblica (PKI) è un framework completo di ruoli, policy, hardware, software e procedure usato per creare, gestire, distribuire, archiviare e revocare certificati digitali e le relative coppie di chiavi pubblica-privata.
Noto anche come: PKI, public key infrastructure
La PKI è la spina dorsale di fiducia di Internet. Ogni volta che il tuo browser mostra l'icona del lucchetto su una connessione HTTPS, la PKI è al lavoro. Il sistema si basa su autorità di certificazione (CA) che emettono certificati digitali che legano una chiave pubblica a un'identità — che si tratti di un nome di dominio, un'organizzazione o un individuo. Questi certificati consentono ai client di verificare di comunicare con il server legittimo e non con un impostore.
Il modello di fiducia della PKI è gerarchico. Le CA radice sono al vertice, con i loro certificati preinstallati nei sistemi operativi e nei browser. Le CA radice firmano i certificati delle CA intermedie, che a loro volta firmano i certificati delle entità finali per singoli server e servizi. Questa catena di fiducia consente a qualsiasi client di verificare un certificato risalendo le firme fino a una radice attendibile. Se qualsiasi anello della catena viene compromesso o revocato, i certificati da esso firmati non sono più attendibili.
La PKI va oltre il TLS web. Supporta il code signing (verifica dell'autenticità del software), la cifratura delle email (S/MIME), l'autenticazione VPN, il mutual TLS tra microservizi e l'autenticazione con smart card. Gestire la PKI su larga scala implica monitorare la scadenza dei certificati, automatizzarne il rinnovo, gestire le liste di revoca (CRL) o i responder OCSP e proteggere le chiavi private delle CA — la compromissione della chiave privata di una CA radice minerebbe la fiducia nell'intera gerarchia.
Come Vaulted usa Infrastruttura a Chiave Pubblica
Vaulted si affida indirettamente alla PKI tramite HTTPS. Il certificato TLS su vaulted.fyi, emesso da un'autorità di certificazione attendibile, garantisce che il tuo browser stia comunicando con il vero server Vaulted e non con un man-in-the-middle. Questo protegge il testo cifrato e i metadati in transito. Tuttavia, Vaulted non dipende dalla PKI per il suo modello di cifratura principale — i segreti vengono cifrati lato client con chiavi AES-256-GCM simmetriche che non attraversano mai la rete, quindi anche un guasto della PKI non esporrebbe segreti in chiaro.