Säkerhetsmetoden public key infrastructure (PKI) har fått ett stort uppsving i popularitet och används för allt från att möjliggöra kommunikationssäkerhet i sakernas internet (internet of things, IoT) till att möjliggöra digital signering av dokument. Martin Furuhed, PKI-expert på identitets- och säkerhetsföretaget Nexus Group, förklarar metoden på 4 minuter.
Vad används PKI till?
”PKI möjliggör pålitliga elektroniska identiteter för människor, tjänster och saker. De pålitliga elektroniska identiteterna gör det möjligt att implementera stark autentisering, datakryptering och digitala signaturer.”
”De här säkerhetsmekanismerna används för att ge säker tillgång till fysiska och digitala resurser, säkra kommunikation mellan människor, tjänster och saker, samt möjliggöra digital signering av dokument och transaktioner”, säger Martin Furuhed, produktägare för Certificate Manager, som är Nexus mjukvara för certifikatutfärdare (certificate authorities, CAs).
Ladda ner Guide: Så bygger du en säker IoT-infrastruktur
Vad består en PKI av?
”En typisk PKI består av policys, standarder, hårdvara och mjukvara som hanterar skapande, distribution, återkallande och administration av digitala certifikat. Hjärtat i en PKI är en certifikatutfärdare, vilket är en betrodd part som säkerställer de digitala certifikatens tillförlitlighet”, säger Martin Furuhed.
Vad är ett digitalt certifikat?
”Ett digitalt certifikat är en fil som innehåller en mängd information, exempelvis serienummer, utgångsdatum och identifieringsinformation. Den innehåller också certifikatutfärdarens digitala signatur, vilket är det som ger giltighet till certifikatet, samt certifikatinnehavarens publika nyckel.”
”Det här är syftet med PKI: att på ett tillförlitligt sätt knyta en publik nyckel till en person, tjänst eller sak. Nästan alla digitala certifikat som används inom PKI bygger på X.509-standarden, och stöd för de här certifikaten är inbyggt i en mängd olika program, såsom e-postklienter och -servrar, webbservrar och operativsystem”, säger Martin Furuhed.
Vad är publika och privata nycklar?
”Inom kryptografi är en nyckel en liten mängd data som bestämmer det funktionella resultatet av en kryptografisk algoritm. Publika och privata nycklar genereras i par som är matematiskt kopplade, och de används för asymmetrisk kryptering, även kallat kryptering med öppen nyckel.”
”Den publika nyckeln är tillgänglig för alla och den privata nyckeln är endast känd för nyckelns ägare. När en publik nyckel används för att kryptera data kan datan bara dekrypteras med den matchande privata nyckeln. När en privat nyckel används för att signera ett meddelande används den publika nyckeln för att verifiera signaturen. Användningen av två olika nycklar är det som ger asymmetrisk kryptering dess namn. Inom symmetrisk kryptering används samma nyckel för både kryptering och dekryptering”, säger Martin Furuhed.
Vad består en elektronisk identitet av?
”Ett digitalt certifikat, som är tillgängligt för allmänheten och innehåller en publik nyckel, samt en privat nyckel. I kombination fungerar certifikatet och den privata nyckeln som ett digitalt pass: den elektroniska identiteten kan användas för att bekräfta en persons, mjukvaras eller saks identitet”, säger Martin Furuhed.
Hur möjliggör PKI autentisering?
”När en användare exempelvis vill autentisera sig mot en server så genererar servern slumpdata och skickar det till användaren. Användaren krypterar datan med sin privata nyckel och skickar tillbaka den till servern. Servern dekrypterar datan med den publika nyckeln i användarens digitala certifikat, och om den dekrypterade datan är detsamma som den data servern skickade så vet servern att användaren är den som den påstår sig vara”, säger Martin Furuhed.
Hur möjliggör PKI digital signering?
”Det första steget är att beräkna ett så kallad hash-värde av dokumentet eller transaktionen som ska undertecknas. Hash-värdet beräknas med en algoritm och resultatet kan beskrivas som ett digitalt fingeravtryck av filens innehåll. Hash-värdet krypteras sedan med den undertecknande användarens privata nyckel, och det krypterade hash-värdet läggs till dokumentet eller transaktionen – det här utgör själva signaturen.”
”Användarens digitala certifikat, som innehåller användarens publika nyckel, läggs också till dokumentet eller transaktionen. Vem som helst kan sedan dekryptera signaturen med hjälp av den publika nyckeln och beräkna hash-värdet av dokumentet. Om de två resultaten är identiska så är giltigheten av signaturen och dokumentets integritet bekräftade”, säger Martin Furuhed.
Hur möjliggör PKI kryptering och dekryptering av data?
”När stora mängder data ska krypteras och dekrypteras använder man symmetrisk kryptering, eftersom asymmetrisk kryptering är för långsam. Eftersom samma nyckel används för både kryptering och dekryptering i symmetrisk kryptografi måste nyckeln först delas mellan de två kommunicerande parterna. En av parterna genererar nyckeln och sänder den till den andra parten med hjälp av asymmetrisk kryptografi, som möjliggörs genom PKI”, säger Martin Furuhed.