الأمان ++: تنفيذ البنية التحتية للمفاتيح العامة

الأمان ++: تنفيذ البنية التحتية للمفتاح العام
البنية التحتية للمفتاح العام (PKI) هي أداة إدارة حيوية للتشفير غير المتماثل والشهادات الرقمية. إنه مفهوم مهم يجب فهمه لأي شخص يعمل في مجال التشفير والتشفير. ولهذا السبب يتم تناوله في اختبار +Security+ من CompTIA.
هناك 28 هدفاً عبر مجالات اختبار +Security+، والهدف 1.4 هو “شرح أهمية استخدام حلول التشفير المناسبة”، والتي تتضمن PKI. يتضمن PKI مكونات ومفاهيم PKI وأنواع الشهادات وتنسيقات الشهادات.
ستتناول الأقسام التالية هذه المفاهيم بمزيد من التفصيل. للمزيد من المعلومات حول اختبار + Security+، قم بتنزيل كتابنا الإلكتروني المجاني Security+ أو تعرف على المعسكر التدريبي على اختبار + Security+ الذي تقدمه شركة SPOTO.
كن محلل مركز العمليات الأمنية: احصل على شهادة +Security+!
ستكون هناك حاجة إلى أكثر من 47,000 محلل جديد لمركز العمليات الأمنية بحلول عام 2030. احصل على شهادة +ComTIA Security+ لتقفز إلى هذا المجال سريع النمو – مدعومًا بضمان النجاح في الاختبار.
كن محلل مركز العمليات الأمنية: احصل على شهادة +SOC: احصل على شهادة +Security!
ستكون هناك حاجة إلى أكثر من 47,000 محلل جديد في مركز العمليات الأمنية بحلول عام 2030. احصل على شهادة CompTIA Security+ لتقفز إلى هذا المجال سريع النمو – مدعومًا بضمان النجاح في الاختبار.
ما هي مكونات PKI الأساسية؟
سلطة التصديق (CA) هي جهة خارجية موثوق بها تصدر شهادات رقمية للتحقق من الكيانات على الإنترنت. ومن أمثلة الجهات المصدقة اليوم سيمانتك وفيريساين وجيو تراست وكومودو وديجيسرت. يمكن أن يكون المرجع المصدق (CA) إما مرجعاً مصدقاً خارجياً للشركة، مثل المرجع المصدق التجاري الذي يتقاضى رسوماً مقابل خدمته، أو مرجعاً مصدقاً داخلياً للشركة، وهو المرجع الذي يسهل الخدمة للقوى العاملة لديها.
وبوجه عام، يكون المرجع المصدق المعتمد مسؤولاً عن المهام التالية:
توليد شهادات المفتاح العام وإصدارها وتوزيعها
توزيع شهادات المرجع المصدق (CA)
إنشاء معلومات حالة الشهادة ونشرها
السماح للمشتركين بطلب الإبطال
امتلاك القدرة على إبطال شهادات المفتاح العام
الحفاظ على توافر واستمرارية وأمان وظائف توقيع إصدار الشهادات ووظائف توقيع الشهادات
يتم وصف بعض المكونات المتعلقة بالمراجع المصدقة (CAs) أدناه:
المرجع المصدق المصدق الوسيط هو مرجع مصدق فرعي صادر عن الجذر الموثوق به لتوقيع المفاتيح الرقمية. تساعد المراجع المصدقة الوسيطة المرجع المصدق (CA) الوسيطة المرجع المصدق الجذر في توزيع عبء العمل الخاص بإصدار الشهادات والتحقق منها.
قائمة إبطال الشهادات (CRL) هي قائمة بالأرقام التسلسلية للشهادات الرقمية التي تم إبطال حالتها الحالية. تحتفظ العديد من المراجع المصدقة بقائمة إبطال الشهادات (CRL) عبر الإنترنت والتي يمكن الاستعلام عنها بإدخال الرقم التسلسلي للشهادة. بالإضافة إلى ذلك، يحتفظ الكمبيوتر المحلي بـ CRL محلي ويتلقى تحديثات حول حالة الشهادات.
يمكن أيضاً استخدام بروتوكول حالة الشهادة عبر الإنترنت (OCSP) لتحديد ما إذا كان قد تم إبطال شهادة ما. ونظراً لأن سجلات سجلات CRLs تحتوي على قائمة كبيرة من الأرقام التسلسلية للشهادات الرقمية، فليس من الملائم دائماً البحث عن الشهادات التي تم إبطالها. بدلاً من ذلك، قد يكون من المناسب استخدام OCSP للبحث عن حالة الشهادة المحددة في الوقت الحقيقي. من خلال استخدام حل OCSP، يقوم المرجع المصدق (CA) بإرسال سجلات التحقق من الشهادات (CRLs) بشكل متكرر إلى كل كمبيوتر طالب، وتكون الاستعلامات حديثة وفورية ومباشرة.
طلب توقيع الشهادة (CSR) عبارة عن رسالة مشفرة تقوم بالتحقق من صحة المعلومات المطلوبة من قبل المرجع المصدق (CA) لإصدار الشهادة. وبمجرد أن يتحقق المرجع المصدق (CA) من صحة الشهادة، يقوم CSR بإدراج المفتاح العام الذي تم إنشاؤه في الشهادة، والتي يتم توقيعها رقمياً بعد ذلك بالمفتاح الخاص لـ CA.
الشهادة الرقمية هي مرفق برسالة إلكترونية تتيح تبادل المعلومات عبر الإنترنت باستخدام PKI.
يتكون زوج المفاتيح العامة وزوج المفاتيح الخاصة من مفتاحين مشفرين مرتبطين بشكل فريد يتكونان عادةً من أرقام طويلة يتم إنشاؤها عشوائيًا. على الرغم من ارتباط المفتاحين، إلا أنه لا يمكنك اشتقاق المفتاح الخاص من المفتاح العام. تتم مشاركة المفتاح العمومي علناً أو بشكل علني مع الجميع ويقوم بتشفير الرسالة. وعلى العكس من ذلك، يتم الاحتفاظ بالمفتاح الخاص بشكل خاص لمالكه الخاص ويتم استخدامه لفك تشفير الرسالة المشفرة باستخدام المفتاح العام.
معرّف الكائن (OID) هو عبارة عن سلسلة من الأرقام العشرية المستخدمة لتعريف الكائنات بشكل فريد (التراكيب وعناصر البيانات وأجزاء أخرى من التطبيقات الموزعة). عادةً ما توجد معرّفات OIDs في SNMP وأدلة X.500 وتطبيقات OSI حيث يكون التفرد أمراً بالغ الأهمية.
ما هي مفاهيم PKI التي أحتاج إلى معرفتها؟
فيما يلي بعض المفاهيم التي يجب أن تعرفها لفهم PKI بشكل أفضل:
تدبيس OCSP هو شكل مختلف من أشكال OCSP ويستخدم لتحديد ما إذا كان قد تم إبطال شهادة ما. يعمل تدبيس OCSP على نقل العبء من العميل إلى خادم الويب، الذي يرسل استعلامات إلى خادم مستجيب OCSP على فترات منتظمة للتحقق من حالة ما إذا كان قد تم إبطال الشهادة أم لا.
التثبيت هو ميزة أمان حيث يتم ربط خادم ويب معين بمفتاح عام لتقليل مخاطر الشهادات المزورة.
ضمان المفاتيح هو عملية تخزين يتولى بموجبها طرف ثالث مسؤولية تخزين المفاتيح الخاصة في ضمان، وهو نظام إدارة مركزي. في حالة وقوع كارثة، أو عند فقدان المفتاح، أو حدوث هجوم إلكتروني، يمكن استعادة المفتاح الخاص بأمان من الضمان. لا مفر من نظام ضمان المفاتيح عندما يتعلق الأمر بمعلومات حساسة للغاية، مثل أسرار الدولة أو الأسرار العسكرية.
نموذج الثقة
كما يوحي الاسم، الثقة هي الثقة أو الاعتماد على شخص آخر. يشير نموذج الثقة إلى العلاقة القائمة بين الأفراد أو الكيانات. على سبيل المثال، يجب على بوب أن يثق في أن المفتاح العام في شهادة أليس الرقمية يخصها. فيما يلي، سوف تتعلم أربعة أنواع من نماذج الثقة:
نموذج الثقة المباشرة: يشير هذا النموذج إلى وجود علاقة بين شخصين لأنهما يعرفان بعضهما البعض. تشير الثقة في العلاقة إلى أنهما يثقان في الشهادات الرقمية لبعضهما البعض.
نموذج ثقة الطرف الثالث: في هذا النموذج، يثق فردان في الشهادات الرقمية لبعضهما البعض لأنهما يثقان بشكل متبادل في طرف ثالث. في الاتصالات عبر الإنترنت، عادةً ما يكون الطرف الثالث هو سلطة التصديق. على سبيل المثال، في جلسة استماع في قاعة المحكمة، قد لا يثق المدعي العام والمدعى عليه في بعضهما البعض، ولكن يمكن أن يثق كل منهما في القاضي (طرف ثالث) بسبب حياده.
نموذج الثقة الهرمي: في هذا النموذج، يتم تعيين تسلسل هرمي واحد لـ CA رئيسي واحد، يسمى الجذر. يقوم الجذر بتوقيع جميع المراجع المصدقة الرقمية باستخدام مفتاح واحد.
نموذج الثقة الموزعة: على عكس نموذج الثقة الهرمي، يتضمن نموذج الثقة الموزعة العديد من المراجع المصدقة (CAs) التي توقع على الشهادات الرقمية.
ما هي أنواع الشهادات الموجودة؟
يتم التحقق من الشهادات الرقمية من خلال عملية تُعرف باسم سلسلة الموثوقية، وهي علاقة الثقة بين المراجع المصدقة (CAs) – أي المرجع المصدق الجذر والمراجع المصدقة الوسيطة التي تصدر الشهادات الرقمية. الشهادة المتسلسلة هي قائمة تعرض جميع الشهادات التي تم توقيعها على مستويات هرمية مختلفة من قبل المرجع المصدق الجذر والمراجع المصدق الوسيطة.
فيما يلي، سوف تتعرف على أنواع الشهادات التي يمكن تغطيتها في اختبار + Security+ Security.
أحرف البدل وشبكة SAN: أحرف البدل هي شهادة مفتاح عام يمكن تطبيقها على نطاقات فرعية متعددة لنطاق رئيسي. أحد الاستخدامات الرئيسية لأحرف البدل هو تأمين مواقع الويب باستخدام HTTPS. من ناحية أخرى، شهادة الاسم البديل للموضوع (SAN) هي شهادة خادم ويب قادرة على دعم أسماء نطاقات متعددة في شهادة واحدة.
توقيع الكود والتوقيع الذاتي: توقيع التعليمات البرمجية هو عملية توقيع رقمي للنصوص البرمجية والملفات التنفيذية لتأكيد مطور البرنامج والتأكد من أن التعليمات البرمجية لم يتم إتلافها أو تعديلها أو تغييرها منذ توقيعها. من ناحية أخرى، يتم توقيع الشهادة الموقعة ذاتياً من قبل نفس الكيان (فرد أو مؤسسة) الذي أنشأها بدلاً من توقيع مرجع مصدق موثوق به.
البريد الإلكتروني والمستخدم: شهادة البريد الإلكتروني، والمعروفة أيضًا باسم شهادة SMIME، هي شهادة رقمية يتم استخدامها لتوقيع رسائل البريد الإلكتروني وتشفيرها بحيث يمكن ضمان نقلها الآمن عبر الإنترنت. لا يمكن قراءة رسالة البريد الإلكتروني الموقعة بشهادة البريد الإلكتروني إلا من قبل المستلم المقصود. شهادة المستخدم هي نوع آخر من الشهادات الرقمية التي يتم استخدامها لأغراض مصادقة المستخدم. وتشمل الأمثلة الشائعة البطاقات الذكية أو البطاقات المثقوبة.
الجذر: الشهادة الجذر هي الشهادة العامة التي تحدد المرجع المصدق الجذر. وهي فعالة للغاية وموقعة ذاتياً وتضع أسس مرفق المفاتيح العمومية المستند إلى X.509.
التحقق من صحة المجال (DV): DV هي شهادة يمكن تعيينها لخادم ويب لتشفير SSL. يؤكد المرجع المصدق (CA) أن الشخص الذي يتلقى DV لديه السيطرة على المجال المرتبط ب SSL.
المصادقة الموسعة (EV): شهادة EV هي الشهادة المستخدمة لتوفير مستوى عالٍ من المصادقة والأمان لمواقع الويب HTTPS والبرامج التي تثبت الكيان القانوني الذي يتحكم في الموقع الإلكتروني.
ما هي تنسيقات الشهادات؟
أخيراً، من المهم أن نفهم أن هناك تنسيقات شهادات مختلفة:
قواعد الترميز المميزة (DER): إن DER هو تنسيق ثنائي مصمم لنقل بناء الجملة لهياكل البيانات. وغالباً ما يرتبط بشهادات Java.
تنسيق البريد المحسّن للخصوصية (PEM): يعد تنسيق PEM تنسيقاً شائعاً يتم توفيره بشكل عام من قبل المراجع المصدقة (CAs). وهو يتألف من أرقام وحروف وهو مدعوم عبر منصات مختلفة.
P12 أو PKCS 12 (معايير تشفير المفتاح العام رقم 12): P12 هو تنسيق ثنائي يُستخدم لتخزين شهادة الخادم والشهادة الوسيطة والمفتاح الخاص في ملف واحد يمكن تشفيره وله تنسيق PFX بامتداد الملف .pfx و .p12. تُستخدم ملفات P12 عادةً على نظام التشغيل Windows لاستيراد وتصدير المفاتيح والشهادات الخاصة.
P7B أو PKCS 7 (معايير تشفير المفتاح العام رقم 7): P7B هو معيار بناء جملة الرسائل المشفرة المرتبط بملف .p7b. على عكس P12، لا يتم تضمين المفاتيح الخاصة في ملف .p7b.
الخلاصة البنية التحتية للمفاتيح العامة والأمان+
يعد فهم البنية التحتية للمفاتيح العامة (PKI) أمرًا ضروريًا لأي شخص يشارك في التشفير والأمن الرقمي. وتلعب مكونات ومفاهيم البنية التحتية للمفاتيح العامة (PKI) دورًا حاسمًا في ضمان الاتصال الآمن وحماية البيانات، مما يجعلها جانبًا أساسيًا من ممارسات الأمن السيبراني الحديثة.
يعد فهم أساسيات PKI والشهادات والتشفير أمراً بالغ الأهمية لاجتياز اختبار + Security+.
لمعرفة المزيد عن شهادة + Security+، راجع مركز شهادة + Security+.