PKI eller certifikattjänst?

2012-06-25

Idag är det fler och fler tjänster som kräver certifikat och väldigt många kunder behöver en PKI implementerat! Många har hört begreppet PKI och betydligt fler använder sig av PKI-tjänster.

Detta har varit upp till diskussion i ca 20 år, och idag är det väldigt många tjänster och lösningar som behöver någon form av säker authentisering som kräver certifikat. Vi pratar System Center, Direct Access, VPN, smart card, SITHS och alla möjliga SSL-lösningar. Jag tar för givet att många av er har hört talas om begreppet PKI, men hur många är det som vet vad PKI är? Hur många har faktiskt reflekterat över det? Är det bara certifikat eller är det något mer?

I grund och botten handlar PKI om en assymetrisk krypteringslösning där man vill garantera vem som äger krypteringsnycklarna.

Alltså måste vi börja med en grundkurs i kryptering (ja, jag vet att det redan börjar bli lite jobbigt, men häng med..) Kryptering är ju ett ganska "tungt" område, det är vi nog överrens om.
Men i grund och botten finns det två olika sorters kryptering, Symmetrisk och Assymetrisk kryptering. Vad är då skillnaden?
 
När vi pratar symmetrisk kryptering så handlar det om att båda parterna har samma krypteringsnyckel för att kryptera/dekryptera information.
Ex: Alice vill skicka ett dokument till Bob som ingen annan ska kunna läsa. Hon krypterar dokumentet med en symmetrisk krypterinsnyckel och skickar dokumentet till Bob. Bob behöver då samma nyckel som Alice krypterade med för att kunna  dekryptera och läsa informationen. Detta betyder att Alice måste se till att Bob får krypteringsnyckeln så han kan läsa dokumentet. Vilket är ganska lätt om Alice och Bob bor nära varandra och har möjlighet att träffas och utbyta nycklar.
 
Men vad händer om Alice och Bob bor på varsin sida om planeten? Eller om de inte känner varandra men har ett behov av att byta information ändå? Jo, lösningen PKI och asymetriskt kryptering!
Vad är då assymetrisk kryptering? Jo, det är en metod som går ut på att man har ett nyckelpar bestående av en privat och en publik nyckel. Där vem som helst får tillgång till den publika nyckeln medan den privata nyckeln ägs av en utpekad person/resurs.
Ex: Alice vill skicka ett dokument till Bob som ingen annan ska kunna läsa. Alice får då Bob:s publika nyckel/certifikat som hon använder för att kryptera dokumentet. Det enda som då kan dekryptera dokumentet är Bob som har den privata nyckeln. Genialiskt och enkelt va? Men hur vet Alice att det verkligen är Bob:s publika nyckel hon fått och inte Charlies? Jo, genom att någon garanterat att det verkligen är Bob som är innehavare av den privata nyckeln som tillhör nyckelparet!
Och den som garanterat det är en CA, en certifikatutfärdare. Denna binder en publik nyckel (som genom en matematisk formel är kopplad till den privata) mot ett certifikat som innehåller information om innehavaren av certifikatet och därmer den publika nyckeln.
 
En jämförelse från verkliga livet kan vara att jämföra CA:n med Transportstyrelsen. Du vet att om någon visar sitt körkort för dig så garanterar Transportstyrelsen att han på bilden verkligen är Bob. På samma sätt ska en PKI garantera att den som visat upp ett certifikat verkligen är den han utger sig för att vara..
Ex: Alice jobbar på posten och Bob ska hämta ut ett paket. Bob visare sitt körkort med en bild på sig själv. Hur vet då Alice att det verkligen är Bob:s körkort? Jo, hon vet detta då hon litar på Transportstyrelsen som gett ut körkortet och därmed garanterat att det är Bob som finns på bilden och är innehavaren av körkortet.

Vad är då skillnaden på en PKI och en Ca-lösning? En PKI är att jämföra med Transportstyrelsen som garanterat någons identitet. Detta är styrt av regelverk, policys och riktlinjer som ska accepteras innan man litar på utfärdaren.
En Ca-lösning är något lindrigare, den kräver inte lika mycket policy och riktlinjer. Men den är fortfarande en garant för utfärdandet av certifikat, men används oftast internt på företag som inte behöver ha någon som litar utomstående som litar på certifikaten.
Så krasst sett kan man säga: En PKI är en CA-lösning med mycket rigorösare regelverk och policys. Båda garanterat identiteten av användare/tjänster men på olika nivåer av tillförlitlighet. En CA-lösning består i mina ögon av 80% teknik och 20% dokumentation medan en PKI beståer av 80% dokumentation/regler och riktlinjer och 20% teknik!
 
Nyfiken? Kontakta din närmsta Atea-säljare eller mig direkt så utgår vi därifrån! Jag är ganska säker på att de flesta företag/organisationer behöver en CA-lösning, men på Atea kan vi även prata PKI!