PKI - Public Key Infrastructure
שיטה זה פותרת את הבעיה של החלפת מפתחות , הצפנה וחתימה דיגיטלית על ידי תשתית המבוססת על מפתחות ציבוריים.
ב PKI נעשה שימוש בשיטות הצפנה א סימטריות , כלומר : הצפנת ההודעה והפענוח שלה נעשים באמצעות שני מפתחות שונים.
מפתחות אליו נוצרים כצמד ויש בניהם קשר מיוחד המאפשר להצפנה באמצעות מפתח א להיות מפוענחת אך ורק על ידי מפתח ב ולהיפך.
ב PKI אנו יוצרים תשתית שבה מונפקים לכל משתמש שני מפתחות ( צמד) , מפתח אחד יקרא פרטי PRIVTE והוא ישאר ברשות המשתמש עצמו בלבד , המפתח השני יקרא ציבורי והוא יפורסם בציבור ביחד עם פרטים מזהים של המשתמש.
הצפנה באמצעות PKI
כאשר אליס רוצה לשלוח הודעה מוצפנת לבוב , כך שרק הוא יכול לפענח אותה , היא תצפין את ההודעה באמצעות המפתח הציבורי של בוב.
מפתח הציבורי נוצר כצמד למפתח הפרטי של בוב , משמע הדבר שרק בוב יוכל לפענח את ההודעה.
Digital Signature חתימה דיגיטלית באמצעות PKI
אליס מוסיפה הודעה לבוב , שחשוב לה להוכיח שאכן היא שולחת את ההודעה ולא מישהו אחר מתחזה .
במקרה זה אליס תצפין טקסט ידוע מראש , לדוגמא את המשפט : " שלום שמי אליס" באמצעות המפתח הפרטי שלה ותצרף את ההודעה למסר הנשלח.
מקבל ההודעה ינסה לפענח משפט זה באמצעות המפתח הציבורי של אליס.טם הפענוח אכן הצליח זוהי הוכחה לכך שהמשפט הוצפן באמצעות המפתח הפרטי של אליס.משמה הדבר שההודעה אכן הגיעה מאליס ולא ממתחזה.
CA - Certification Authority
זהו משרד הפנים שמנפיק תעודות.
לכל לקוח ישנה רשימה של כמה עשרות CA שהוא סומך עליהם.
ישנה אפשרות של הורדה והוספה של CA
התקנת CA במערכת הפעלה סרבר 2003 :
Add/remove windows components
Certification services
סוגי Certification Authority
ישנם ארבעה סוגי CA הנגזרים מהשילובים הבאים :
א.Enterprise מבוסס AD או Stand Alone לא מבוסס AD
ב.Root - ראשי בהררכיה , Subordinate כפוף ל root
SSL - Secure sockets layer
זהו פרטוקול אבטחה המשמש להצפנה של תעבורת רשת בפרוטוקלים שונים.
HTTPS
זוהי הגרסא המאובטחת של פרוטוקל Https המוכר.ההצפנה מתבצעת על ידי SSL באופן הבא :
1.הלקוח פונה אל השרת ומבקש ממנו דף .
2.השרת מציג ללקוח תעודה , הכוללת את המפתח הציבורי של השרת וחתומה על ידי Ca
3.הלקוח (הדפדפן) בודק את תקינות התעודה :
א.שעה ותאריך
ב.שם השרת המופיע בתעודה
ג.מיהו ה CA שהנפיק את התעודה והאם הוא מופיע ברשימת CA בהם בוטח הלקוח.
ד.הלקוח בודק מול ה CA , ברשימה הנקראת CRL שהיא רשימה שחורה של תעודות שנפסלו.
4.הלקוח ימציא לעצמו מפתח הצפנה.
5.הלקוח יצפין את ה session key באמצעות המפתח הציבורי של השרת.
6.השרת יפענח את ה session key באמצעות המפתח הפרטי שלו.
7.מרגע זה השרת והלקוח יצפינו את על התעבורה בינהם באמצעות Session Key
שיטה זה פותרת את הבעיה של החלפת מפתחות , הצפנה וחתימה דיגיטלית על ידי תשתית המבוססת על מפתחות ציבוריים.
ב PKI נעשה שימוש בשיטות הצפנה א סימטריות , כלומר : הצפנת ההודעה והפענוח שלה נעשים באמצעות שני מפתחות שונים.
מפתחות אליו נוצרים כצמד ויש בניהם קשר מיוחד המאפשר להצפנה באמצעות מפתח א להיות מפוענחת אך ורק על ידי מפתח ב ולהיפך.
ב PKI אנו יוצרים תשתית שבה מונפקים לכל משתמש שני מפתחות ( צמד) , מפתח אחד יקרא פרטי PRIVTE והוא ישאר ברשות המשתמש עצמו בלבד , המפתח השני יקרא ציבורי והוא יפורסם בציבור ביחד עם פרטים מזהים של המשתמש.
הצפנה באמצעות PKI
כאשר אליס רוצה לשלוח הודעה מוצפנת לבוב , כך שרק הוא יכול לפענח אותה , היא תצפין את ההודעה באמצעות המפתח הציבורי של בוב.
מפתח הציבורי נוצר כצמד למפתח הפרטי של בוב , משמע הדבר שרק בוב יוכל לפענח את ההודעה.
Digital Signature חתימה דיגיטלית באמצעות PKI
אליס מוסיפה הודעה לבוב , שחשוב לה להוכיח שאכן היא שולחת את ההודעה ולא מישהו אחר מתחזה .
במקרה זה אליס תצפין טקסט ידוע מראש , לדוגמא את המשפט : " שלום שמי אליס" באמצעות המפתח הפרטי שלה ותצרף את ההודעה למסר הנשלח.
מקבל ההודעה ינסה לפענח משפט זה באמצעות המפתח הציבורי של אליס.טם הפענוח אכן הצליח זוהי הוכחה לכך שהמשפט הוצפן באמצעות המפתח הפרטי של אליס.משמה הדבר שההודעה אכן הגיעה מאליס ולא ממתחזה.
CA - Certification Authority
זהו משרד הפנים שמנפיק תעודות.
לכל לקוח ישנה רשימה של כמה עשרות CA שהוא סומך עליהם.
ישנה אפשרות של הורדה והוספה של CA
התקנת CA במערכת הפעלה סרבר 2003 :
Add/remove windows components
Certification services
סוגי Certification Authority
ישנם ארבעה סוגי CA הנגזרים מהשילובים הבאים :
א.Enterprise מבוסס AD או Stand Alone לא מבוסס AD
ב.Root - ראשי בהררכיה , Subordinate כפוף ל root
SSL - Secure sockets layer
זהו פרטוקול אבטחה המשמש להצפנה של תעבורת רשת בפרוטוקלים שונים.
HTTPS
זוהי הגרסא המאובטחת של פרוטוקל Https המוכר.ההצפנה מתבצעת על ידי SSL באופן הבא :
1.הלקוח פונה אל השרת ומבקש ממנו דף .
2.השרת מציג ללקוח תעודה , הכוללת את המפתח הציבורי של השרת וחתומה על ידי Ca
3.הלקוח (הדפדפן) בודק את תקינות התעודה :
א.שעה ותאריך
ב.שם השרת המופיע בתעודה
ג.מיהו ה CA שהנפיק את התעודה והאם הוא מופיע ברשימת CA בהם בוטח הלקוח.
ד.הלקוח בודק מול ה CA , ברשימה הנקראת CRL שהיא רשימה שחורה של תעודות שנפסלו.
4.הלקוח ימציא לעצמו מפתח הצפנה.
5.הלקוח יצפין את ה session key באמצעות המפתח הציבורי של השרת.
6.השרת יפענח את ה session key באמצעות המפתח הפרטי שלו.
7.מרגע זה השרת והלקוח יצפינו את על התעבורה בינהם באמצעות Session Key