البنية التحتية للمفتاح العام (PKI) هي إطار عمل شامل لتعيين هوية المستخدم وتحديدها والتحقق منها من خلال الشهادات الرقمية المستخدمة لتفعيل الاتصالات الرقمية الموثوقة والآمنة.
عند دمجها مع التشفير بالمفتاح العام ، تعمل الشهادات الرقمية كجوازات سفر افتراضية—للتحقق من هوية وأذونات المستخدمين والكيانات المختلفة عند إنشاء اتصال آمن من طرف إلى طرف عبر الشبكات العامة أو الخاصة.
تشمل بنية PKI عناصر البرمجيات والأجهزة والسياسات والإجراءات، وتضفي الطابع الرسمي على عملية إنشاء الشهادات الرقمية وتوزيعها وإدارتها وإلغائها.
النشرة الإخبارية الخاصة بالمجال
ابقَ على اطلاع دومًا بأهم—اتجاهات المجال وأكثرها إثارة للفضول—بشأن الذكاء الاصطناعي والأتمتة والبيانات وغيرها الكثير مع نشرة Think الإخبارية. راجع بيان الخصوصية لشركة IBM.
سيتم تسليم اشتراكك باللغة الإنجليزية. ستجد رابط إلغاء الاشتراك في كل رسالة إخبارية. يمكنك إدارة اشتراكاتك أو إلغاء اشتراكك هنا. راجع بيان خصوصية IBM لمزيد من المعلومات.
توفر البنية التحتية للمفتاح العام (PKI) بروتوكولات للتحقق من صحة ومصداقية الشهادات الرقمية التي تؤكد الثقة في أنظمة تشفير المفاتيح العامة. يعد التشفير ركيزة الأمن السيبراني؛ حيث يوفر السرية والسلامة وعدم الإنكار والمصداقية. تضيف بنية PKI صلاحية لأنظمة التشفير من خلال ربط الشهادات الرقمية بشكل مشفر بمستخدمين ومؤسسات وكيانات وجهات خارجية معينة.
فيما يلي العناصر الرئيسية للبنية التحتية للمفتاح العام.
جهة موثوقة مسؤولة عن إصدار الشهادات الرقمية وتخزينها وتوقيعها. تستخدم سلطات CA مفتاحها الخاص لتوقيع الشهادات الرقمية التي يمكن التحقق منها من خلال مفتاح عام قابل للطلب.
يمكن أن يعمل الكيان نفسه كسلطة إصدار شهادات وسلطة تسجيل، أو يمكن أن تكون سلطة RA جهة خارجية أخرى. في الحالتين، تكون سلطة RA مسؤولة عن التحقق من هوية المستخدم أو الجهاز الذي يطلب الشهادة الرقمية.
قاعدة بيانات يمكن الوصول إليها لتخزين الشهادات الرقمية الخاصة، بما في ذلك البيانات الوصفية، مثل الفترة الزمنية التي تكون فيها الشهادة صالحة.
موقع آمن يستخدم لتخزين وفهرسة المفاتيح التشفيرية.
مجموعة من البروتوكولات لإدارة الشهادات الرقمية بشكل منهجي، بما في ذلك الوصول، والإنشاء، والتخزين، والتوزيع، والأهم من ذلك، الإلغاء.
سياسة متاحة لعامة الناس توضح بالتفصيل إجراءات ومعايير بنية PKI. يمكن أن تستخدم الجهات الخارجية سياسة الشهادة لتقييم مصداقية بنية PKI.
تتيح إمكانية إنشاء نقل آمن للمعلومات بين المستخدمين والكيانات والأجهزة لمنصات التجارة الإلكترونية والخدمات المصرفية جمع المعلومات المالية، وتسمح لأجهزة إنترنت الأشياء (IOT) المتصلة بإنشاء خطوط اتصال سرية لخوادم الويب الآمنة للبريد الإلكتروني.
لإرسال واستقبال المعلومات الآمنة عبر شبكات معرضة للخطر وغير آمنة، يعتمد متخصصو الأمن السيبراني على تشفير البيانات لتشفير (خلط) وفك تشفير (ترتيب) البيانات الحساسة بشكل آمن.
النوعان الرئيسيان من التشفير هما التشفير بالمفتاح العام والتشفير بالمفتاح الخاص.
يستخدم التشفير بالمفتاح العام، المعروف أيضًا باسم التشفير بالمفتاح غير المتماثل، زوجًا من المفاتيح: مفتاح عام مشترك ومفتاح خاص فريد لكل طرف. يُستخدم المفتاح العام للتشفير بينما يُستخدم المفتاح الخاص لفك التشفير. نظرًا لأن كل مستخدم لديه مفتاحه الخاص، فإن لكل مستخدم زوج فريد من المفاتيح، بينما تتم مشاركة المفتاح العام بين جميع المستخدمين.
تستخدم أنظمة التشفير بالمفتاح الخاص، المعروفة أيضًا باسم التشفير بالمفتاح المتماثل أو التشفير بالمفتاح السري، مفتاحًا واحدًا فقط لكل للتشفير وفك التشفير. لكي تعمل هذه الأنواع من الأنظمة، يجب أن يكون لكل مستخدم إمكانية الوصول إلى نفس المفتاح السري. قد تتم مشاركة المفاتيح الخاصة إما من خلال قناة اتصال موثوق بها أُنشأت مسبقًا (مثل ناقل خاص أو خط آمن) أو، بشكل أكثر عملية، طريقة تبادل المفتاح الآمن (مثل اتفاقية مفتاح Diffie-Hellman). تعد إدارة المفاتيح الآمنة والفعالة هي الاستخدام الأساسي لبنية PKI والتي لا يمكن التقليل من قيمتها.
يعد إنشاء اتصالات آمنة عبر الإنترنت أحد أكثر تطبيقات التشفير شيوعًا. تستخدم تقنية أمان طبقة النقل (TLS) وسابقتها، طبقة المقابس الآمنة (SSL)، خوارزميات تشفير لإنشاء اتصالات محمية بين متصفحات الويب والخوادم باستخدام شهادات SSL/TLS لتأكيد هويات المستخدم والخادم. من خلال إنشاء قنوات آمنة، تضمن هذه البروتوكولات أن البيانات المشتركة بين متصفح المستخدم وخادم موقع الويب تظل خاصة، ولا يمكن أن تترصد لها الجهات الضارة.
يُستخدم التشفير أيضًا في تطبيقات المراسلة الشائعة، مثل البريد الإلكتروني وWhatsApp؛ لتوفير التشفير من طرف إلى طرف (E2EE) والحفاظ على خصوصية محادثات المستخدمين. مع E2EE، يستطيع المرسل والمستلم المقصود فقط فك تشفير رسائلهما وقراءتها، ما يجعل من المستحيل تقريبًا على الغير—بما في ذلك مزودي الخدمة للمستخدمين—الوصول إلى المحتوى.
في حين أن التشفير المتماثل أسرع ، يكون التشفير غير المتماثل في أغلب الأحيان أكثر عملية وأمانًا. من الناحية العملية، يُستخدم كلا النوعين من أنظمة التشفير معًا في أغلب الأحيان. على سبيل المثال، قد يختار المستخدم تشفير رسالة طويلة باستخدام نظام متماثل، ثم استخدام نظام غير متماثل ليشارك المفتاح الخاص. في حين أن النظام غير المتماثل سيكون أبطأ، فمن المحتمل أن يكون المفتاح المتماثل أقصر وأسرع في فك التشفير من الرسالة الكاملة.
ومع ذلك، فإن كلا النوعين من الأنظمة قد يكون عرضة لما يسمى هجوم الوسيط (MitM)، ويمكن أن يعترض فيه المتنصت الخبيث البيانات الآمنة أثناء النقل.
في مثل هذا الهجوم، قد يعترض المخترق أو الجهة الفاعلة الضارة مفتاحًا عامًا، وينشئ مفتاحًا خاصًا، ثم يستبدل المفتاح العام الأصلي بمفتاح مُخترق. قد يترصد المخترق بعد ذلك للرسائل المشفرة المرسلة بين الأطراف عبر النظام غير المتماثل المخترَق، ويفك تشفير الرسالة، ويقرأ محتوياتها، ويشفرها مرة أخرى، ويعيد توجيه الرسالة المخترقة الآن. بالنسبة للمستخدمين، سيكون التأثير هو نفسه، وسيكون الهجوم الفعال غير قابل للكشف.
ولمنع هذه الأنواع من الهجمات، تستخدم البنية التحتية للمفتاح العام (PKI) شهادات رقمية (تُعرف أيضًا بشهادات PKI، وشهادات المفاتيح العامة، وشهادات X.509) لتأكيد هوية الأشخاص و/أو الأجهزة و/أو التطبيقات التي تمتلك المفاتيح الخاصة والعامة المقابلة. توفر بنية PKI إطار العمل لتعيين الملكية الموثقة لمفاتيح التشفير بشكل فعال—ما يضمن أنه عند إرسال المعلومات عبر نظام تشفير غير متماثل، لن يتمكن من فك تشفيرها إلا المستلم الموثق والمقصود.
تستخدم الشهادة الرقمية لإنشاء هوية يمكن التحقق منها، وتحتوي على معلومات محددة، من ضمنها ما يلي:
على الرغم من أن جميع الشهادات الرقمية ليست متشابهة، يجب أن تكون جميع الشهادات الرقمية الصالحة:
إن إمكانية الوثوق في صلاحية الشهادة الرقمية أمرٌ بالغ الأهمية لتأسيس بنية موثوق بها، وهذا هو السبب في أهمية وجود سلطة إصدار شهادات (CA) موثوق بها من جهة خارجية.
تؤكد سلطات CA هوية حاملي الشهادات. تتحمل مسؤولية إنشاء وإصدار الشهادات الرقمية، والسياسات، والممارسات، والإجراءات المرتبطة بالتحقق من المستلمين.
على وجه التحديد، ستحدد سلطة CA ما يلي:
تعمل سلطة CA حسنة السمعة على توثيق هذه السياسات ونشرها بشكل رسمي؛ للسماح للمستخدمين والمؤسسات بفرصة تقييم التدابير الأمنية والمصداقية. بمجرد التشغيل، تتبع سلطة CA ترتيبًا محددًا للعمليات لإنشاء شهادات رقمية جديدة باستخدام التشفير غير المتماثل.
توضح الخطوات التالية عملية إنشاء شهادة رقمية جديدة:
من خلال التأكد ممن يملك المفتاح الخاص المستخدم لتوقيع الشهادة الرقمية، يمكن استخدام الشهادة ليس للتحقق من هوية صاحب الشهادة فحسب، بل من هوية (وسمعة) سلطة CA، وبالتالي من مصداقية الشهادة نفسها.
لإرساء الثقة بشكل أقوى، تستخدم سلطات CA مفاتيحها العامة والخاصة، وتصدر شهادات لأنفسها (شهادات موقعة ذاتيًا) وبعضها بعضًا. تتطلب هذه الممارسة تسلسلاً هرميًا لسلطة CA، حيث تعمل سلطة CA موثوق بها للغاية كسلطة إصدار شهادات جذرية موثوق بها للتوقيع الذاتي على شهاداتها الخاصة، بالإضافة إلى شهادات سلطات CA الأخرى.
في حالة اختراق مفاتيح سلطة CA، قد يصدر المخترق شهادات مزيفة ويحدث اختراقًا أمنيًا هائلاً. على هذا النحو، تعمل سلطات إصدار الشهادات الجذرية في الغالب بدون اتصال بالإنترنت، وبموجب أكثر بروتوكولات الأمان صرامة. في حالة تعرض سلطة CA جذرية أو سلطة CA فرعية للاختراق، فإنها تكون ملزمة بنشر تفاصيل هذا الاختراق علنًا وتوفير قوائم إلغاء الشهادات لأي من حاملي الشهادات أو المستلمين المحتملين.
كل هذا يجعل أمان المفاتيح الخاصة أكثر أهمية بالنسبة لسلطات CA. يعد وقوع المفتاح الخاص في الأيدي الخطأ أمرًا ضارًا على أي حال، ولكنه أمر كارثي لسلطات CA؛ لأنه يمكن لأي شخص إصدار شهادات عن طريق الاحتيال.
تصبح ضوابط الأمان وتأثير الفقدان أكثر حدة كلما تقدمت في التسلسل الهرمي لسلطة CA؛ نظرًا لعدم وجود طريقة لإلغاء الشهادة الجذر. في حالة اختراق سلطة CA الجذرية، تحتاج المؤسسة إلى جعل اختراق الأمن علنيًا. ونتيجة لذلك، تفرض سلطات CA الجذرية تدابير أمنية صارمة.
لاستيفاء أعلى معايير الأمان، يجب ألا تكون سلطات CA الجذرية متصلة بالإنترنت نهائيًا. وأفضل الممارسات هو أن تخزن سلطات CA الجذرية مفاتيحها الخاصة في خزائن على مستوى وكالة الأمن القومي (NSA) داخل مراكز بيانات متطورة مع أمان على مدار الساعة طوال أيام الأسبوع عبر الكاميرات والحراس الفعليين. قد تبدو كل هذه التدابير صارمة، لكنها ضرورية لحماية مصداقية الشهادة الجذر.
على الرغم من أن سلطة CA الجذرية يجب أن تكون غير متصلة بالإنترنت بنسبة 99.9٪ من الوقت، إلا أن هناك حالات معينة تحتاج فيها إلى الاتصال بالإنترنت. على وجه التحديد، تحتاج سلطات CA الجذرية إلى الاتصال بالإنترنت لإنشاء المفاتيح العامة والمفاتيح الخاصة والشهادات الجديدة، وكذلك للتأكد من أن المواد الرئيسية الخاصة بها لا تزال مشروعة ولم تتعرض للتلف أو الاختراق بأي شكل من الأشكال. والأفضل أنه يجب على سلطات CA الجذرية إجراء هذه الاختبارات حوالي مرتين إلى أربع مرات في السنة.
أخيرًا، تجدر الإشارة إلى أن شهادات الجذر تنتهي صلاحيتها. وتستمر صلاحية شهادات الجذر عادةً لمدة 15-20 عامًا (مقارنة بحوالي 7 سنوات للشهادات الصادرة من سلطات فرعية). ليس من السهل تقديم سلطة إصدار شهادات جذرية جديدة وبناء الثقة فيها، ولكن من المهم أن تنتهي صلاحية هذه الشهادات؛ لأنه كلما طالت مدة عملها، أصبحت أكثر عرضة للمخاطر الأمنية.