PKI - Инфраструктура открытых ключей

Определение

PKI (Public Key Infrastructure) — это комплекс технологий, политик и процедур для управления цифровыми сертификатами и ключами шифрования в асимметричной криптографии. PKI обеспечивает безопасную передачу данных, аутентификацию и цифровые подписи в компьютерных сетях.

Основные компоненты PKI

1. Центр сертификации (CA - Certificate Authority)

Определение: Организация, которая выдает, управляет и отзывает цифровые сертификаты
Функции:
Верификация личности владельца сертификата
Выдача цифровых сертификатов
Управление жизненным циклом сертификатов
Отзыв скомпрометированных сертификатов

2. Регистрационный центр (RA - Registration Authority)

Определение: Организация, которая проверяет заявки на получение сертификатов
Функции:
Прием заявок на сертификаты
Проверка документов и идентификации
Передача проверенных заявок в CA

3. Репозиторий сертификатов

Определение: База данных для хранения и распространения сертификатов
Функции:
Публикация действующих сертификатов
Распространение списков отозванных сертификатов (CRL)
Обеспечение доступа к сертификатам

4. Система управления ключами

Определение: Комплекс для генерации, хранения и уничтожения ключей
Функции:
Генерация криптографических ключей
Безопасное хранение приватных ключей
Уничтожение ключей по истечении срока

Структура цифрового сертификата X.509

Основные поля сертификата:

Версия: 3
Серийный номер: 1234567890
Алгоритм подписи: SHA256withRSA
Издатель: CN=Example CA, O=Example Corp
Срок действия:
  Не раньше: 01.01.2024 00:00:00 UTC
  Не позже: 31.12.2024 23:59:59 UTC
Субъект: CN=example.com, O=Example Inc
Открытый ключ: RSA 2048 бит
Подпись: [цифровая подпись CA]

Расширения сертификата:

Key Usage: Назначение ключа (подпись, шифрование)
Extended Key Usage: Дополнительные назначения (SSL/TLS, код-подпись)
Subject Alternative Name: Дополнительные имена (домены, email)
Authority Key Identifier: Идентификатор ключа CA

Цепочка доверия (Certificate Chain)

Принцип работы:

Корневой сертификат — самоподписанный сертификат корневого CA
Промежуточный сертификат — сертификат промежуточного CA, подписанный корневым
Конечный сертификат — сертификат конечного субъекта, подписанный промежуточным CA

Пример цепочки:

Root CA (самоподписанный)
    ↓ подписывает
Intermediate CA
    ↓ подписывает
End-Entity Certificate (example.com)

Типы PKI

1. Централизованная PKI

Описание: Один корневой CA управляет всей инфраструктурой
Преимущества: Простота управления, единая политика
Недостатки: Единая точка отказа, сложность масштабирования

2. Иерархическая PKI

Описание: Древовидная структура с корневым и промежуточными CA
Преимущества: Масштабируемость, делегирование полномочий
Недостатки: Сложность управления, зависимость от корневого CA

3. Сетевая PKI (Mesh PKI)

Описание: Множественные CA с перекрестными сертификатами
Преимущества: Отказоустойчивость, независимость
Недостатки: Сложность валидации, управление доверием

Применение PKI

1. Веб-безопасность (HTTPS)

# Проверка SSL-сертификата
openssl s_client -connect example.com:443 -servername example.com

# Просмотр сертификата
openssl x509 -in certificate.crt -text -noout

2. Email-безопасность (S/MIME)

Цифровые подписи сообщений
Шифрование содержимого email
Аутентификация отправителя

3. Код-подпись

Подпись исполняемых файлов
Проверка целостности ПО
Аутентификация разработчика

4. VPN и сетевые протоколы

Аутентификация в IPSec
Подпись в OpenVPN
Верификация в TLS

Управление жизненным циклом сертификатов

Этапы жизненного цикла:

Генерация ключей — создание пары ключей
Запрос сертификата — подача заявки в RA
Верификация — проверка документов и идентификации
Выдача сертификата — подпись и публикация CA
Использование — применение в приложениях
Обновление — продление перед истечением
Отзыв — досрочное прекращение действия
Уничтожение — безопасное удаление ключей

Отзыв сертификатов (CRL)

# Проверка статуса сертификата через OCSP
openssl ocsp -issuer ca.crt -cert certificate.crt -url http://ocsp.example.com

# Просмотр списка отозванных сертификатов
openssl crl -in crl.pem -text -noout

Безопасность PKI

Угрозы:

Компрометация приватного ключа CA
Подделка сертификатов
Атаки на репозиторий
Социальная инженерия
Внутренние угрозы

Меры защиты:

Hardware Security Module (HSM) для хранения ключей CA
Физическая безопасность центров сертификации
Аудит и мониторинг всех операций
Разделение обязанностей между сотрудниками
Регулярное тестирование процедур отзыва

Современные тенденции

1. Автоматизация (ACME протокол)

# Автоматическое получение Let's Encrypt сертификата
certbot --nginx -d example.com

2. Короткий срок жизни сертификатов

Переход от годовых к 90-дневным сертификатам
Автоматическое обновление
Снижение риска компрометации

3. Certificate Transparency

Публичные журналы всех выданных сертификатов
Обнаружение поддельных сертификатов
Повышение прозрачности работы CA

4. Post-Quantum PKI

Подготовка к квантовым компьютерам
Новые алгоритмы подписи
Миграция существующей инфраструктуры

Практические примеры

Создание самоподписанного сертификата:

# Генерация приватного ключа
openssl genrsa -out private.key 2048

# Создание запроса на сертификат
openssl req -new -key private.key -out certificate.csr

# Создание самоподписанного сертификата
openssl x509 -req -days 365 -in certificate.csr -signkey private.key -out certificate.crt

Проверка цепочки доверия:

# Проверка цепочки сертификатов
openssl verify -CAfile ca-bundle.crt certificate.crt

# Просмотр деталей сертификата
openssl x509 -in certificate.crt -text -noout | grep -A 5 "Subject:"

Заключение

PKI является фундаментальной технологией современной кибербезопасности, обеспечивающей:

Аутентификацию участников коммуникации
Шифрование передаваемых данных
Цифровые подписи для обеспечения целостности
Управление доверием в распределенных системах

Понимание принципов работы PKI критически важно для специалистов по информационной безопасности, разработчиков и системных администраторов, работающих с современными сетевыми технологиями.