IT A - Z

Home

IT A - Z
Knowledge Developer Database Internet Resource Forum
 

สารบัญตามตัวอักษร

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z #
 
 

public key infrastructure

ที่มา SearchSecurity.com

PKI (public key infrastructure) ทำให้ผู้ใช้ในเครือข่ายสาธารณะที่ไม่ปลอดภัย เช่น อินเตอร์เน็ตให้สามารถแลกเปลี่ยนข้อมูลและเงินอย่างปลอดภัยและอย่างเป็นส่วนบุคคล ผ่านการใช้ public และ private key เข้ารหัสแบบ cryptographic ที่ได้มาและแบ่งปันผ่านการมีอำนาจเชื่อถือได้ โครงสร้างพื้นฐาน public key ให้การรับรองดิจิตอล (digital certificate) ที่สามารถตรวจสอบเอกลักษณ์ส่วนบุคคลหรือองค์กรและการบริการไดเรคทอรีที่สามารถจัดเก็บ และถอนการรับรองเมื่อจำเป็น ถึงแม้ว่าส่วนประกอบของ PKI เป็นที่เข้าใจทั่วไป แต่ผู้ค้าต่างกันจำนวนหนึ่งมีวิธีการและบริการกำลังปรากฏขึ้นมา ขณะที่ มาตรฐาน PKI สำหรับอินเตอร์เน็ตกำลังทำกันอยู่

โครงสร้างพื้นฐาน public key ใช้ public key cryptography ซึ่งเป็นวิธีการทั่วไปบนอินเตอร์เน็ตสำหรับการรับรองผู้ส่งข่าวสารหรือเข้ารหัส (encrypt) ข่าวสาร cryptography ตามแบบแผนเกี่ยวกับการสร้างและแบ่งปัน secret key สำหรับการเข้ารหัสและถอดรหัสข่าวสาร ระบบ secret key หรือ private key นี้มีข้อบกพร่องสำคัญ ถ้าคีย์ถูกค้นพบหรือถูกตัดตอนโดยบางคน ข่าวสารสามารถถูกถอดรหัสได้ง่าย ด้วยเหตุผลนี้ public key cryptography และโครงสร้างพื้นฐาน public key เป็นวิธีการพึงพอใจมากกว่าบนอินเตอร์เน็ต (บางครั้ง ระบบ private key เรียกว่า symmetric cryptography และระบบ public key เรียกว่า asymmetric cryptography)

โครงสร้างพื้นฐาน public key ประกอบด้วย

- certificate authority (CA) ที่เสนอและตรวจสอบการรับรองดิจิตอล การรับรองรวม public key หรือสารสนเทศเกี่ยวกับ public key
- registration authority (RA) ที่กระทำเป็นผู้ตรวจสอบผู้มีอำนาจรับรอง (certificate authority) ก่อนการเป็นดิจิตอล

Cryptography ของ Public และ Private Key ทำงานอย่างไร

ใน cryptography ของ public key มีการสร้าง public และ private key อย่างพร้อมเพรียงกันด้วยการอัลกอริทึมเดียวกัน (ที่นิยมมากคือ RSA) โดยผู้มีอำนาจรับรอง (certificate authority หรือ CA) การให้ private key เฉพาะตามคำขอของผู้เกี่ยวข้องและ public key มีให้อย่างสาธารณะ (เป็นส่วนหนึ่งการรับรองดิจิตอล) ในไดเรคทอรีที่ผู้เกี่ยวข้องทั้งหมดสามารถเข้าถึงได้ private key ไม่มีการแบ่งปันกับบุคคลหรือส่งบนอินเตอร์เน็ต คุณใช้ private key ถอดรหัสข้อความแบบ decrypt ที่ได้รับการเข้ารหัสแบบ encrypt ด้วย public key ของคุณโดยบางคน (ผู้สามารถหา public key ของคุณจากไดเรคทอรีสาธารณะ) ดังนั้น ถ้าผมส่งข้อความให้คุณ ผมสามารถหา public key ของคุณ (แต่ไม่ใช่ private key ของคุณ) จากผู้บริหารระบบกลางและเข้ารหัสข้อความให้คุณด้วย public key ของคุณ เมื่อคุณได้รับข้อความนั้นแล้ว คุณถอดรหัสด้วย private key ของคุณ นอกจากนี้ ข้อความเข้ารหัส (ซึ่งมีความเป็นส่วนบุคคล) คุณสามารถรับรองตัวคุณเองให้กับผม (ดังนั้น ผมรู้ว่านั่นคือคุณจริงๆ ที่ส่งข้อความนั้น) โดยการใช้ private key ของคุณเพื่อเข้ารหัสการรับรองดิจิตอล เมื่อผมได้รับ ผมสามารถใช้ public key ของคุณเพื่อถอดรหัสได้ นี่เป็นตารางสรุปขั้นตอน

ขั้นตอน

ใช้ของใคร

ประเภทของคีย์

ส่งข้อความเข้ารหัสแบบ encrypt ใช้ของผู้รับ Public key
ส่งลายเซ็นเข้ารหัสแบบ encrypt ใช้ของผู้ส่ง Private key
ถอดรหัสข้อความที่เข้ารหัสแบบ encrypt ใช้ของผู้รับ Private key
ถอดรหัสลายเซ็นเข้ารหัสแบบ encrypt (และการรับรองผู้ส่ง) ใช้ของผู้ส่ง Public key

 

ใครให้โครงสร้างพื้นฐาน

ผลิตภัณฑ์จำนวนหนึ่งเสนอให้บริษัทหรือกลุ่มบริษัทสามารถใช้ PKI ความเร่งของ e-commerce และการค้าแบบ ธุรกิจกับธุรกิจ (business-to-business) บนอินเตอร์เน็ตได้เริ่มความต้องการโซลูชัน PKI ความคิดเกี่ยวข้องคือ virtual private network (VPN) และมาตรฐาน IP Security (IPsec) ผู้นำด้าน PKI คือ

• RSA เป็นผู้พัฒนาอัลกอริทึมที่ใช้โดยผู้ค้า PKI
• Verisign กระทำตัวเป็นผู้รับรองดิจิตอลและขายซอฟต์แวร์ที่อนุญาตให้บริษัทสร้างการรับรองของตัวเอง
• GTE CyberTrust เป็นผู้ให้วิธีการใช้ PKI และให้บริการคำปรึกษาในการวางแผนจำนวนไปยังบริษัทอิ่นด้วยราคาตายตัว
• Xcert มีผลิตภัณฑ์ Web Sentry ที่ตรวจสอบสถานการณ์เพิกถอนของการรับรองบนแม่ข่าย ด้วยการใช้ Online Certificate Status Protocol (OCSP)
• Netscape มีผลิตภัณฑ์ Directory Server ที่กล่าวกันว่าสนับสนุน 50 ล้านอ๊อบเจคและประมวลผลได้ 5,000 คิวรี่ต่อวินาที Secure E-Commerce ยอมให้บริษัทหรือผู้จัดการ extranet จัดการการรับรองดิจิตอลและ Meta-Directory ซึ่งสามารถเชื่อมต่อกับไดเรคทอรีของบริษัททั้งหมดเข้าเป็นไดเรคทอรีเดียวสำหรับการจัดการความปลอดภัย

Pretty Good Privacy

สำหรับอีเมล์ ผลิตภัณฑ์ Pretty Good Privacy (PGP) ให้คุณเข้ารหัสข้อมูลที่ส่งไปให้บุคคลที่มี public key คุณเข้ารหัสข้อความด้วย public keyของพวกเขาและพวกเขาถอดรหัสด้วย private key ของพวกเขา ผู้ใช้ PGP แบ่งปันไดเรคทอรี public key ที่เรียกว่า key ring (ถ้าคุณกำลังส่งข้อความไปให้บางคนที่ไม่สามารถเข้าถึง key ring คุณไม่สามารถส่งด้วยข้อความเข้ารหัส

PGP มีอีกตัวเลือกให้คุณ “ลงชื่อ” บนบันทึกด้วยลายเซ็นดิจิตอลด้วยการใช้ private key ของคุณ ผู้รับสามารถรับ public key ของคุณ (ถ้าพวกเขาเข้าถึง key ring) และถอดรหัสลายเซ็นของคุณ เพื่อดูว่านี่เป็นคุณจริงหรือเปล่าเป็นผู้ส่งข้อความ

 
 

ศัพท์เกี่ยวข้อง

public key, digital certificate, cryptography, secret key, encryption, CA, RA, algorithm, RSA, e-commerce, VPN, extranet, PGP, digital signature

ดูเพิ่มเติม

-

update: 14 ตุลาคม 2549