PKI (nyckelhantering)

 

Kortkurs om SSL och TLSEn certifikatutfärdare, CA, är en del av en infrastruktur som kallas PKI. PKI-strukturen är hela kedjan, från tekniken för att hantera nycklar och verifiera certifikat till regelverket, rutinerna och lagarna som styr verksamheten.
Det här avsnittet förklarar PKI lite mer ingående.

Begreppet PKI står för hela den infrastruktur som ska stödja användningen av elektroniska dignaturer. I en PKI ingår en rad olika funktioner, t.ex.

  • Certifiering, skapande av certifikat
  • Verifiering, kontroll av certifikat
  • Revokering, återtagande av certifikat

Begreppet PKI är engelskt och står för Public Key Infrastructure.

Det viktigaste i en PKI är det regelverk som styr verksamheten i de olika organisationer som utför olika funktioner enligt en PKIs regelverk och alltså ingår i en och samma PKI.

Riktigt hur det här ska gå till i praktiken vet man inte. Ett antal olika försök har inletts, varav det största förmodligen är den stödstruktur som skapats för SET, en standard säkra kreditkortstransaktioner på Internet.

Certifiering – kopplingen mellan verkligheten och nyckeln

Certifieringen utförs av en CA, certificate authority. Som vi beskrivit i kapitlet om certifikat och certifiering är certifikatet ett bevis på en koppling mellan ett nyckelpar och en person, ett företag eller  ett datorsystem.

Certifikat är alltid tidsbegränsade och upphör att gälla efter viss tid. Då bör användaren byta ut sina nycklar och certifiera ett nytt nyckelpar.

Verifiering

Om en användare presenterar ett certifikat med en publik nyckel kan mottagaren vilja verifiera att certifieringen fortfarande är giltig, ungefär som man kontrollerar kreditkort vid användning. Kontrollen sker online, med protokollet OSCP.

Återkallande

Om en CA av något skäl vill återkalla en certifiering bör denna information spridas snabbt, så att inga mottagare accepterar användning av nycklarna. Det kan vara en anställd som har slutat och inte längre får använda tjänsteverktygen, som behörig att kommunicera som företrädare för företaget.

Tekniska lösningar

I certifikatet, själva dokumentet, kan en adress till en katalogtjänst för den CA som utfört certifieringen finnas.

I den servern finns uppgift om certifikatets giltighet och status. I de flesta förslag är denna server baserad på Internet-protokollet LDAP, en standard för olika typer av katalogtjänster.