|
Foydalanadi
Bir yoki boshqa turdagi PKI'lar va bir nechta sotuvchilardan ko'p foydalaniladi, shu jumladan ochiq kalitlarni va foydalanuvchi identifikatorlarini bog'lashni ta'minlaydi:
Shifrlash va / yoki jo'natuvchi autentifikatsiya ning elektron pochta xabarlar (masalan, foydalanish OpenPGP yoki S / MIME);
Hujjatlarni shifrlash va / yoki autentifikatsiya qilish (masalan, XML imzosi yoki XML shifrlash agar hujjatlar kodlangan bo'lsa, standartlar XML);
Autentifikatsiya foydalanuvchilarning dasturlarga (masalan, aqlli karta tizimga kirish, mijozning autentifikatsiyasi SSL). Raqamli imzolash uchun eksperimental foydalanish mavjud HTTP ichida autentifikatsiya Enigform va mod_openpgp loyihalar;
Yuklab olish kabi xavfsiz aloqa protokollari Internet kalitlari almashinuvi (IKE) va SSL. Ikkalasida ham xavfsiz kanalni dastlabki sozlash (a "xavfsizlik assotsiatsiyasi") foydalanadi assimetrik kalit- ya'ni, ochiq kalit - usullar, holbuki haqiqiy aloqa tezroq qo'llaniladi nosimmetrik kalit- ya'ni, maxfiy kalit- usullar;
Mobil imzolar - bu mobil qurilmadan foydalangan holda yaratilgan va imzo yoki sertifikatlashtirish xizmatlariga asoslangan holda, mustaqil telekommunikatsiya muhitida joylashgan elektron imzolar;[28]
Internetdagi narsalar o'zaro ishonchli qurilmalar o'rtasida xavfsiz aloqani talab qiladi. Ochiq kalit infratuzilma qurilmalar o'rtasida ishonchni o'rnatish va kommunikatsiyalarni shifrlash uchun ishlatiladigan X509 sertifikatlarini olish va yangilashga imkon beradi. TLS.
Ochiq manbali dasturlar
OpenSSL CA ning eng oddiy shakli va PKI uchun vosita. Bu C-da ishlab chiqilgan va barcha asosiy narsalarga kiritilgan asboblar to'plami Linux tarqatish va o'z shaxsiy (oddiy) CA-ni yaratish uchun ham, PKI-ni yoqish uchun ham ishlatilishi mumkin. (Apache litsenziyalangan)
EJBCA bu to'liq xususiyatli, korporativ darajadagi, CA-da ishlab chiqilgan Java. Ichki foydalanish uchun ham, xizmat sifatida ham CAni sozlash uchun ishlatilishi mumkin. (LGPL litsenziyalangan)
XiPKI,[29] CA va OCSP javob beruvchisi. Java-da amalga oshirilgan SHA3 ko'magi bilan. (Apache litsenziyalangan)
OpenCA bu turli xil vositalardan foydalangan holda to'liq xususiyatli CA dasturidir. OpenCA asosiy PKI operatsiyalari uchun OpenSSL-dan foydalanadi.
XCA grafik interfeys va ma'lumotlar bazasi. XCA asosiy PKI operatsiyalari uchun OpenSSL-dan foydalanadi.
(To'xtatilgan) TinyCA OpenSSL uchun grafik interfeys edi.
IoT_pki python yordamida qurilgan oddiy PKI kriptografiya kutubxonasi
DogTag ning bir qismi sifatida ishlab chiqilgan va saqlanadigan to'liq xususiyatli CA Fedora loyihasi.
CFSSL[30][31] tomonidan ishlab chiqilgan ochiq manbali vositalar to'plami CloudFlare TLS sertifikatlarini imzolash, tekshirish va paketlash uchun. (BSD 2-bandi litsenziyalangan)
Vault[32] tomonidan ishlab chiqilgan sirlarni xavfsiz boshqarish vositasi (TLS sertifikatlari kiritilgan) HashiCorp. (Mozilla Public License 2.0 litsenziyalangan)
Libhermetik a-ga o'rnatilgan o'z-o'zidan ochiq kalitli infratuzilma tizimi C tili kutubxona. Hermetik foydalanadi LibSodium barcha kriptografik operatsiyalar uchun va SQLite barcha ma'lumotlar doimiyligi operatsiyalari uchun. Dasturiy ta'minot ochiq manbali va ostida chiqarilgan ISC litsenziyasi.
Tanqid
Shuningdek qarang: X.509 § xavfsizlik, Comodo Group § 2011 yildagi buzilish hodisasiva Diginotar § soxta sertifikatlar berish
Ba'zilar veb-saytlarni xavfsizligini ta'minlash uchun sertifikatlar sotib olishlarini ta'kidlaydilar SSL va dasturiy ta'minotni ta'minlash kodni imzolash kichik biznes uchun qimmatga tushadigan ishdir.[33] Biroq, bepul alternativalarning paydo bo'lishi, masalan Shifrlaymiz, buni o'zgartirdi. HTTP / 2, HTTP protokolining so'nggi versiyasi, nazariy jihatdan xavfsiz ulanishga imkon beradi; amalda yirik brauzer kompaniyalari ushbu protokolni faqat xavfsizligi ta'minlangan PKI orqali qo'llab-quvvatlashlarini aniq ko'rsatib berishdi TLS ulanish.[34] HTTP / 2-ning veb-brauzerini amalga oshirish, shu jumladan Chrome, Firefox, Operava Yon yordamida HTTP / 2-ni faqat TLS orqali qo'llab-quvvatlaydi ALPN TLS protokolini kengaytirish. Demak, HTTP / 2-ning tezkor afzalliklarini olish uchun veb-sayt egalari korporatsiyalar tomonidan boshqariladigan SSL sertifikatlarini sotib olishga majbur bo'lishadi.
Hozirgi vaqtda veb-brauzerlarning aksariyati oldindan o'rnatilgan bilan etkazib berilmoqda oraliq sertifikatlar sertifikat beruvchi tomonidan berilgan va imzolangan, deb nomlangan tomonidan tasdiqlangan ochiq kalitlar bilan ildiz sertifikatlari. Bu shuni anglatadiki, brauzerlarda juda ko'p sonli sertifikat etkazib beruvchilar bo'lishi kerak, bu esa asosiy murosaga kelish xavfini oshiradi[iqtibos kerak].
Agar kalit buzilganligi ma'lum bo'lsa, uni sertifikatni bekor qilish yo'li bilan tuzatish mumkin edi, ammo bunday murosani osongina aniqlash mumkin emas va xavfsizlikning katta buzilishi bo'lishi mumkin. Buzilgan ildiz sertifikati idorasi tomonidan berilgan vositachilik sertifikatlarini bekor qilish uchun brauzerlar xavfsizlik patchini chiqarishi kerak.[35]
Do'stlaringiz bilan baham: |
