PKI (البنية التحتية للمفتاح العام) هي الإطار الأساسي الذي يتيح التبادل الآمن للمعلومات عبر الإنترنت باستخدام الشهادات الرقمية والمفتاح العام التشفير. يمكن تبادل هذه المعلومات بين العديد من أنواع الكيانات، بما في ذلك مستخدمي الإنترنت العامين وعملاء الويب والمتصفحات وخوادم الشركة. يمكن أيضًا أن يمتد استخدام البنية التحتية للمفاتيح العمومية (PKI) والشهادات الرقمية المرتبطة بها إلى جهات أخرى الآلات الافتراضية.
الكلمة بنية تحتية هو متعمد في البنية التحتية للمفاتيح العمومية لأنه لا يشير إلى كيان مادي واحد. بل يشير إلى جميع المكونات المستخدمة لتشفير البيانات وتوزيع الشهادات الرقمية والتحقق منها وإبطالها واستخدامها بأمان. وتشمل هذه المكونات الأجهزة والبرامج والسياسات والإجراءات والكيانات.
هل PKI هو نفس التشفير؟
PKI هو نظام تشفير غير متماثل ذو مفتاحين يدعم أنظمة تكنولوجيا المعلومات في سعيها إلى الحفاظ على سرية المعلومات وتشفيرها وثقتها. تشبه المفاتيح الرقمية المفاتيح العادية، إلا أنها تُستخدم لقفل المواد الرقمية وفتحها. في حالة البنية التحتية للمفاتيح العمومية (PKI)، قفل يصف التشفير، في حين فتح يشير إلى فك التشفير.
التشفير هو العملية التي يتم من خلالها تشفير المعلومات الرقمية لحمايتها من المشاهدين غير المصرح لهم. مرة واحدة المرسل يقوم بتشفير المعلومات عند الذهاب إلى مستلم معتمد، يحتاج المستلم إلى طريقة لفتحه لقراءته. في نظام PKI، المفتاحان الرقميان – أ المفتاح العام و مفتاح خاص — تستخدم لقفل وفتح المواد الرقمية وهي القطع الرئيسية التي تضمن أمان البيانات وتسهل إدارة البيانات بشكل آمن بين المرسل والمستلم. يتيح المفتاح العام لأي مستخدم تشفير المعلومات لكيان محدد، مثل المستلم. الطريقة الوحيدة لفك تشفير المفتاح العام هي استخدام المفتاح الخاص به. باستخدام المفتاح، يمكن للمستخدمين قفل وفتح البيانات كما يحلو لهم. الجزء الفريد في المفاتيح هو أنه يمكن أيضًا مشاركتها مع الآخرين. إذا تمكن شخص ما من الوصول إلى المفتاح الرقمي لشخص آخر، فسيكون قادرًا على فك تشفير بياناته ورسائله المشفرة.
ترتبط المفاتيح العامة في PKI بشهادة رقمية من مصدر موثوق. المصدر الموثوق به عادة ما يكون مرجعًا مصدقًا (كاليفورنيا). تقوم الشهادة بمصادقة الكيانات – الأجهزة أو المستخدمين – مما يساعد على تأمين المعاملات وحماية البيانات ومنع التلاعب بالرسائل أو التنصت.
ما هو الهدف الأساسي للبنية التحتية للمفاتيح العمومية (PKI)؟
الهدف الرئيسي لـ PKI هو توفير نظام شامل وموحد لإنشاء الشهادات الرقمية وتوزيعها وتخزينها واستخدامها وإدارتها وإبطالها وإنشاء تشفير المفتاح العام. ومن خلال توفير إطار عمل لتشفير البيانات عبر الإنترنت، تساعد البنية التحتية للمفاتيح العمومية (PKI) على التحقق من هويات الكيانات المشاركة في المعاملات الرقمية. ببساطة، تتيح البنية التحتية للمفاتيح العامة (PKI) التحقق من هوية الكيان كما يدعي، مما يضمن اتصالات رقمية آمنة بين كيانين أو أكثر.
تقوم PKI أيضًا بما يلي:
- يساعد في تأمين حركة المرور بين متصفحات الويب وخوادم الويب.
- يسهل الوصول الآمن والمتحكم فيه إلى الأجهزة والموارد المتصلة.
- يساعد على حماية البيانات من التسريبات والانتهاكات.
- يضمن أن تكون الرسائل الرقمية مرئية فقط للمرسل والمستلم المقصود، مما يمنع الكيانات غير المصرح لها من العبث أو التنصت أثناء النقل.
- يجلب قدرًا أكبر من المساءلة والشفافية في المعاملات الرقمية.
كيف تعمل تقنية PKI
خذ بعين الاعتبار معاملة تتضمن المرسل (أ) والمستلم (ب). يريد “أ” إرسال رسالة مشفرة إلى “ب” عبر الإنترنت. إذا كان A يستخدم PKI، فإنه يحتاج أولاً إلى المفتاح العام لـ B قبل أن يتمكن من إرسال رسالة إلى B. بمجرد أن يقدم B مفتاحه العام، يستخدمه A لتشفير الرسالة أو البيانات أو المواد الرقمية التي تذهب إلى B. وبمجرد تشفير الرسالة وإرسالها، يستطيع B فك تشفير المعلومات ثم الوصول إليها في شكلها الأصلي باستخدام مفتاحه الخاص. هذا هو أبسط شكل من أشكال نظام التشفير غير المتماثل المكون من مفتاحين لـ PKI لمصادقة الاتصالات وحماية المعلومات.
نظرًا لأن البنية التحتية للمفاتيح العامة (PKI) تستخدم كلاً من المفتاح العام والمفتاح الخاص، فهي طريقة للتشفير أو التشفير غير المتماثل. يقوم المفتاح العام بتوثيق المرسل الذي يقوم بتشفير الرسالة، والمفتاح الخاص – المعروف للمستلم فقط – يساعد المستلم على فك تشفير الرسالة. توفر هذه المفاتيح معًا أمانًا أقوى للمعاملات والبيانات مقارنةً بطرق التشفير المتماثل الأبسط المستخدمة في الماضي.
على الرغم من أن التشفير غير المتماثل مفيد، إلا أنه غالبًا ما يكون غير كافٍ لتأمين المحادثات الرقمية الحديثة بين الكيانات. معظم هذه الاتصالات تحدث الآن في توسيع مشهد التهديدات السيبرانيةمما يجعلها عرضة للتلاعب أو التسوية أو التسريبات المباشرة من العديد من جهات التهديد المختلفة. هناك حاجة أيضًا إلى أنظمة أخرى للتحقق من هوية الكيانات أو المستخدمين المشاركين وضمان الاتصالات الآمنة.
بدون هذه الأنظمة للتأكد من أن المفتاح العام الذي يتم إرساله إلى المرسل ينتمي إلى المستلم المقصود، قد ترسل الكيانات عن غير قصد بيانات حساسة إلى جهات غير مصرح بها أو يتظاهر المستخدمون الضارون بأنهم أشخاص ليسوا كذلك. وقد تؤدي مثل هذه التبادلات إلى تقويض الأمن والسرية والثقة في التفاعلات. تساعد الشهادات الرقمية المدعومة بالتشفير غير المتماثل وPKI على منع مثل هذه المشكلات.
تحكم PKI إصدار وإدارة الشهادات الرقمية، والمعروفة أيضًا باسم شهادات PKIالتي تتحكم في مفاتيح التشفير. فهو يقدم لأطراف ثالثة موثوقة سلطة تعيين الهويات للشهادات الرقمية وإصدار شهادات مقاومة للتلاعب للمعاملات الرقمية بين الكيانات.
مكونات البنية التحتية للمفاتيح العمومية (PKI).
المكونات الرئيسية للبنية التحتية للمفاتيح العامة هي التالية:
- كاليفورنيا. يوفر هذا الطرف الموثوق به أساس الثقة لجميع شهادات وخدمات PKI المفيدة لمصادقة هوية الأفراد وأجهزة الكمبيوتر والكيانات الأخرى. يوفر CA ضمانًا بشأن الأطراف المحددة في شهادة PKI. يحتفظ كل مرجع مصدق (CA) بالمرجع المصدق (CA) الجذري الخاص به ليتم استخدامه بواسطة المرجع المصدق (CA) فقط.
- سلطة التسجيل (را). ويسمى أيضا أ المرجع المصدق التابع, ال را يصدر شهادات PKI. جمعتمدة من قبل المرجع المصدق الجذري، وهي مخولة بإصدار شهادات لاستخدامات محددة يسمح بها الجذر.
- مخزن الشهادات. عادةً ما يتم تخزين هذا بشكل دائم على جهاز الكمبيوتر ولكن يمكن الاحتفاظ به في الذاكرة للتطبيقات التي لا تتطلب تخزين الشهادات بشكل دائم. يتيح مخزن الشهادات للبرامج التي تعمل على النظام الوصول إلى الشهادات المخزنة، قوائم إبطال الشهادات وقوائم الثقة بالشهادات.
- قاعدة بيانات الشهادات. تقوم قاعدة البيانات هذه بتخزين الشهادات الصادرة والمعلومات المتعلقة بتلك الشهادات، مثل فترة الصلاحية والحالة. يتم إلغاء الشهادة عن طريق تحديث قاعدة البيانات هذه، والتي يجب الاستعلام عنها لمصادقة أي بيانات موقعة رقميًا أو مشفرة باستخدام المفتاح السري لصاحب الشهادة.
تتضمن البنية التحتية للمفاتيح العامة (PKI) أيضًا دليلاً مركزيًا حيث يتم تخزين مفاتيح التشفير، أ نظام إدارة الشهادات التي تدير تسليم الشهادات الرقمية والوصول إليها، وسياسة الشهادة التي تحدد إجراءات الشهادة ومصداقيتها.
تطبيقات البنية التحتية للمفاتيح العمومية (PKI).
طبقة المقابس الآمنة (طبقة المقابس الآمنة) يعد البروتوكول من بين التطبيقات الأكثر شيوعًا لإطار عمل البنية التحتية للمفاتيح العمومية (PKI). SSL وخليفته، Transport Layer Security (TLS)، المساعدة في إنشاء الروابط المصادق عليها والمشفرة بين أجهزة الكمبيوتر المختلفة المتصلة بالشبكة والمستخدمة في البنية التحتية للمفاتيح العامة (PKI).
تعد الشهادات الرقمية تطبيقًا مهمًا آخر لـ PKI، مما يساعد على بناء الثقة بين عملاء موقع الويب والخوادم. تُستخدم هذه الشهادات أيضًا لتوقيع المستندات والبرامج.
تشمل التطبيقات الأخرى لـ PKI ما يلي:
- التوقيع الرقمي البرامج والتطبيقات.
- تشفير البريد الإلكتروني.
- إنترنت الأشياء الأمن.
- أمن الشبكة.
- حماية الاتصالات التي يستضيفها الخادم.
- استعادة كلمة المرور.
- وصف الملف.
- مصادقة البطاقة الذكية.
- أمن اتصالات الويب.
مشاكل مع البنية التحتية للمفاتيح العمومية (PKI).
توفر البنية التحتية للمفاتيح العمومية (PKI) سلسلة من الثقة بحيث يمكن التحقق من الهويات الموجودة على الشبكة. ومع ذلك، فإن البنية التحتية للمفاتيح العامة لها أيضًا عيوبها. قد يكون من الصعب على المرسل التأكد من أن المفتاح العام الذي تلقاه من المستلم ينتمي إلى المستلم. كما أنه ليس من المستحيل على كيان غير مصرح له أن يصنع مفتاحه الخاص ويستخدمه لفك تشفير الرسائل الموجهة إلى مستلم آخر دون علم المرسل الأصلي أو المستلم المقصود.
أيضًا، على الرغم من أن CA يُشار إليه غالبًا باسم a طرف ثالث موثوق به، هناك أوجه قصور في الإجراءات الأمنية لمختلف المراجع المصدقة الثقة المعرضة للخطر. إذا تم اختراق مرجع مصدق واحد، فإن أمان البنية التحتية للمفاتيح العامة بالكامل معرض للخطر.
ما هي شهادة PKI؟
ومن المفيد أن نفكر في البنية التحتية للمفاتيح العمومية مثل المطار: فهي البنية التحتية التي تمكن الأفراد من السفر بأمان من مكان إلى آخر. وهنا المسافر هو البيانات أو الرسالة التي من المفترض إرسالها، والطرفان هما محطة الوصول والمغادرة. لكي تتمكن من نقل البيانات على متن الطائرة، يجب أن تمر عبر الجمارك أولاً. يتضمن معادل PKI للجمارك قيام الخوادم والعملاء بالتحقق من جوازات سفر بعضهم البعض أو الشهادات الرقمية قبل التبادل.
شهادة PKI أو شهادة رقمية أو شهادة X.509 عبارة عن حزمة بيانات تتحقق من هوية الخادم المرتبط بالمفتاح العام. تتضمن هذه الحزمة الملفات الرقمية والمستندات وبيانات التشفير المستخدمة للتحقق من هوية الكيان. تشبه شهادة PKI جواز السفر الرقمي. لإرسال معلومات باستخدام PKI، يجب أن يكون المستخدمون قادرين على التحقق من هويتهم ومن هو المستلم. وهنا يأتي دور الشهادة الرقمية. مثل جوازات السفر، يجب أن تكون الشهادات الرقمية كذلك صادرة عن مؤسسات ذات مصداقية لتأكيد شرعيتهم. لمنع التلاعب بالشهادات الرقمية أو إتلافها ولزيادة تأمين المعاملات الرقمية، غالبًا ما تتطلب أنظمة الأمان المستندة إلى البنية التحتية للمفاتيح العامة (PKI) عمليات تحقق إضافية.
تغطي معايير معينة، مثل سياسة شهادة Internet X.509 PKI وإطار ممارسات الاعتماد، أو طلب التعليقات 2527، جوانب PKI. ينشر منتدى CA/Browser أيضًا إرشادات استخدام الشهادات الرقمية وأفضل الممارسات للمراجع المصدقة والمتصفحات والأطراف الأخرى المشاركة في البنية التحتية للمفاتيح العامة (PKI). ظهر هذا الاتحاد الصناعي في عام 2005؛ ويشمل أعضاؤها المراجع المصدقة وناشري برامج المتصفح وموفري الأنظمة الآخرين الذين يستخدمون شهادات X.509 الرقمية للتشفير والمصادقة.
بالإضافة إلى الشهادات الرقمية، تعمل البنية التحتية للمفاتيح العامة (PKI) أيضًا على تشغيل الأنظمة الأخرى المستخدمة على نطاق واسع للأمان الرقمي، بما في ذلك ما يلي:
كيفية الحصول على الشهادة الرقمية
أسهل طريقة للحصول على شهادة رقمية هي الحصول على واحدة وتوقيعها من قبل مرجع مصدق موثوق به بشكل عام. تقوم CAs بإصدار الشهادات الرقمية وتوزيعها وإبطالها للكيانات بناءً على التشريعات الخاصة بالبلد أو الشركة. يمكن للشركات الفردية استخدام نظام CA الداخلي الخاص بها إذا كانت بحاجة إلى أمان إضافي ولديها البنية التحتية اللازمة لدعمه.
بعد إصدار الشهادة الرقمية، يمكن لأي شخص توزيعها على أي شخص، تمامًا مثل المفتاح العام. يمكن التحقق من صحة الشهادة الرقمية بشكل فردي؛ أنه لا يحتوي على معلومات خاصة. معظم الشهادات الرقمية موثوق بها ضمنيًا بواسطة برامج العميل، مثل متصفحات الويب، ولا تتطلب التحقق الإضافي من الصحة.
تساعد البنية التحتية للمفاتيح العامة (PKI) على مصادقة المرسلين عبر التشفير والشهادات الرقمية. تعرف على أنواع شهادات PKI وحالات استخدامها.
