Co je Public Key Infrastructure (PKI) a proč je důležitá pro online bezpečnost?

PKI je rámec politik, postupů a technologií, který spravuje digitální certifikáty a šifrování pomocí veřejných klíčů. Vytváří důvěru mezi stranami online ověřováním identit prostřednictvím certifikačních autorit (CA). PKI tvoří základ HTTPS, VPN sítí, šifrování e-mailů a digitálních podpisů, čímž umožňuje bezpečnou internetovou komunikaci ve velkém měřítku.

Jak PKI funguje v rámci VPN připojení?

Když se připojíte k VPN, PKI autentizuje server i klienta pomocí digitálních certifikátů vydaných důvěryhodnou certifikační autoritou. VPN software tyto certifikáty ověří a zajistí, že se připojujete k legitimnímu serveru, a nikoli k záškodnickému podvodníkovi. To brání útokům man-in-the-middle a pomocí asymetrické výměny klíčů vytváří šifrovaný tunel, než přejde na rychlejší symetrické šifrování pro přenos dat.

Co je certifikační autorita (CA) a jak souvisí s PKI?

Certifikační autorita je důvěryhodná organizace v ekosystému PKI, která vydává, podepisuje a odvolává digitální certifikáty. CA fungují jako „kotva důvěry" a ručí za identitu webových stránek, serverů nebo uživatelů. Když váš prohlížeč důvěřuje určité CA, automaticky důvěřuje všem certifikátům, které tato CA podepsala, čímž vzniká hierarchický řetězec důvěry, jenž je základem fungování PKI.

Co se stane, když PKI certifikát vyprší nebo je kompromitován?

Vypršelé nebo kompromitované certifikáty musí být okamžitě odvolány pomocí mechanismů, jako jsou seznamy odvolaných certifikátů (CRL) nebo protokol Online Certificate Status Protocol (OCSP). Prohlížeče a VPN klienti tyto seznamy odvolání před udělením důvěry certifikátům kontrolují. Kompromitace CA může být katastrofální — potenciálně zneplatní tisíce certifikátů najednou a vyžaduje jejich naléhavé odebrání z úložišť důvěryhodných kořenových certifikátů napříč všemi hlavními platformami.

Public Key Infrastructure (PKI)

Public Key Infrastructure (PKI): Systém důvěry za bezpečnými připojeními

Když se připojíte k webové stránce, odešlete šifrovaný e-mail nebo vytvoříte VPN tunel, něco neviditelného pracuje na pozadí, aby potvrdilo, že komunikujete s tím, s kým si myslíte. Tím systémem je Public Key Infrastructure — zkráceně PKI. Jde o jeden z nejdůležitějších rámců v oblasti kybernetické bezpečnosti, přesto většina lidí jeho název nikdy neslyší.

Co je PKI?

PKI je strukturovaný systém, který spravuje vytváření, distribuci, ukládání a odvolávání digitálních certifikátů a kryptografických klíčů. Představte si ho jako globální řetězec důvěry. Stejně jako vláda vydává pasy, které ostatní země souhlasí uznávat, PKI se spoléhá na důvěryhodné autority, které vydávají digitální přihlašovací údaje respektované softwarem a systémy po celém světě.

Ve svém jádru PKI umožňuje dvě věci: šifrování (zachování soukromí dat) a autentizaci (prokázání identity). Bez něj by internet, jak ho známe — s online bankovnictvím, bezpečným přihlašováním a soukromou komunikací — jednoduše nemohl fungovat bezpečně.

Jak PKI funguje

PKI je postaveno na asymetrické kryptografii, která využívá matematicky provázaný pár klíčů:

Veřejný klíč: Volně sdílený s kýmkoliv. Používá se k šifrování dat nebo ověření digitálního podpisu.
Soukromý klíč: Uchovávaný v tajnosti vlastníkem. Používá se k dešifrování dat nebo vytvoření digitálního podpisu.

Zde je zjednodušený průběh: Když se váš prohlížeč připojí k zabezpečené webové stránce, server předloží digitální certifikát — dokument, který spojuje veřejný klíč s ověřenou identitou. Váš prohlížeč zkontroluje tento certifikát oproti certifikační autoritě (CA), důvěryhodné organizaci jako DigiCert nebo Let's Encrypt. Pokud CA certifikát potvrdí, váš prohlížeč připojení důvěřuje a šifrování začne.

Řetězec důvěry obvykle vypadá takto:

Kořenová CA — Konečná kotva důvěry, uložená ve vašem operačním systému nebo prohlížeči.
Zprostředkující CA — Nachází se mezi kořenovou autoritou a koncovými entitami a přidává další vrstvu zabezpečení.
Certifikát koncové entity — Vydán konkrétní webové stránce, zařízení nebo uživateli.

PKI rovněž zajišťuje odvolávání certifikátů — proces zneplatnění certifikátu před jeho vypršením, pokud dojde ke kompromitaci soukromého klíče nebo vydání certifikátu omylem. Toto je spravováno prostřednictvím seznamů odvolaných certifikátů (CRL) nebo protokolu Online Certificate Status Protocol (OCSP).

Proč PKI záleží uživatelům VPN

VPN sítě se na PKI silně spoléhají, zejména protokoly jako OpenVPN a IKEv2/IPSec. Když se váš VPN klient připojí k serveru, certifikáty PKI se používají k:

Autentizaci VPN serveru — Potvrzuje, že se připojujete k legitimnímu serveru, nikoli k útočníkovi provozujícímu podvodný koncový bod.
Autentizaci klienta — Některé podnikové VPN sítě používají klientské certifikáty k ověření, že se mohou připojit pouze autorizovaná zařízení.
Navázání šifrovaných relací — PKI usnadňuje proces výměny klíčů, který vytváří šifrovaný tunel, přičemž často spolupracuje s výměnou klíčů Diffie-Hellman.

Pokud je certifikátová infrastruktura poskytovatele VPN slabá — vypršelé certifikáty, kompromitovaná CA nebo nesprávné odvolávání — jsou uživatelé vystaveni útokům man-in-the-middle, při nichž útočník zachytí provoz předložením podvodného certifikátu.

Praktické příklady

HTTPS webové stránky: Každá ikona zámku ve vašem prohlížeči představuje PKI certifikát v akci.
Firemní VPN sítě: Společnosti vydávají interní certifikáty pro zařízení zaměstnanců a zajišťují tak, že k síti mají přístup pouze spravované stroje.
Podepisování e-mailů (S/MIME): PKI umožňuje uživatelům digitálně podepisovat e-maily a prokazovat jejich pravost.
Podepisování kódu: Vývojáři softwaru podepisují své aplikace certifikáty, aby váš operační systém mohl ověřit, že kód nebyl pozměněn.
Zařízení IoT: Chytrá zařízení stále více využívají PKI k bezpečné autentizaci se servery i mezi sebou navzájem.

Závěr

PKI je neviditelný rámec důvěry, který umožňuje bezpečnou, autentizovanou komunikaci. Pro uživatele VPN znamená pochopení PKI pochopení toho, proč je — nebo není — vaše připojení skutečně bezpečné. VPN je jen tak důvěryhodná, jako je certifikátová infrastruktura, která ji podporuje. Volba poskytovatele, který používá řádně udržované PKI postupy odpovídající oborovým standardům, je smysluplnou součástí ochrany online.

Public Key Infrastructure (PKI)Expert