Czym jest Infrastruktura klucza publicznego?
Infrastruktura klucza publicznego (PKI) to kompleksowa platforma ról, zasad, sprzętu, oprogramowania i procedur służąca do tworzenia, zarządzania, dystrybucji, przechowywania i unieważniania certyfikatów cyfrowych oraz powiązanych par kluczy publiczno-prywatnych.
Znane również jako: PKI, public key infrastructure
PKI to kręgosłup zaufania internetu. Za każdym razem, gdy przeglądarka wyświetla ikonę kłódki przy połączeniu HTTPS, PKI jest w działaniu. System opiera się na urzędach certyfikacji (CA), które wystawiają certyfikaty cyfrowe wiążące klucz publiczny z tożsamością — czy to nazwą domeny, organizacją czy osobą. Certyfikaty te pozwalają klientom zweryfikować, że komunikują się z prawdziwym serwerem, a nie z osobą podszywającą się pod niego.
Model zaufania PKI jest hierarchiczny. Główne urzędy certyfikacji (root CA) stoją na szczycie, a ich certyfikaty są fabrycznie zainstalowane w systemach operacyjnych i przeglądarkach. Root CA podpisują certyfikaty pośrednich urzędów certyfikacji, które z kolei podpisują certyfikaty końcowe dla poszczególnych serwerów i usług. Ten łańcuch zaufania pozwala każdemu klientowi zweryfikować certyfikat przez prześledzenie podpisów aż do zaufanego korzenia. Jeśli jakiekolwiek ogniwo łańcucha zostanie skompromitowane lub unieważnione, podpisane przez nie certyfikaty tracą zaufanie.
PKI wykracza poza webowe TLS. Stanowi podstawę podpisywania kodu (weryfikacja autentyczności oprogramowania), szyfrowania e-mail (S/MIME), uwierzytelniania VPN, wzajemnego TLS między mikroserwisami i uwierzytelniania za pomocą kart inteligentnych. Zarządzanie PKI na dużą skalę obejmuje śledzenie wygaśnięcia certyfikatów, automatyzację odnowień, obsługę list unieważnionych certyfikatów (CRL) lub odpowiedzi OCSP oraz zabezpieczenie kluczy prywatnych urzędów CA — kompromitacja klucza prywatnego root CA podważyłaby zaufanie w całej hierarchii.
Jak Vaulted używa Infrastruktura klucza publicznego
Vaulted pośrednio korzysta z PKI przez HTTPS. Certyfikat TLS dla vaulted.fyi, wystawiony przez zaufany urząd certyfikacji, zapewnia, że twoja przeglądarka komunikuje się z prawdziwym serwerem Vaulted, a nie z atakującym w środku. Chroni to szyfrogram i metadane podczas transportu. Vaulted nie opiera jednak swojego podstawowego modelu szyfrowania na PKI — sekrety są szyfrowane po stronie klienta symetrycznymi kluczami AES-256-GCM, które nigdy nie przemierzają sieci, więc nawet awaria PKI nie ujawniłaby jawnych sekretów.