การออกใบรับรอง ของ ผู้ประกอบการรับรอง

CA ออกใบรับรองดิจิทัลที่ประกอบไปด้วยกุญแจสาธารณะ และกุญแจส่วนตัวที่มีเอกลักษณ์ของเจ้าของที่ตรงกันจะถูกนำมาเผยแพร่ แต่เก็บเป็นความลับโดยผู้สร้างกุญแจทั้งสอง ใบรับรองนี้ยังมีการยืนยันและตรวจสอบโดยผู้ออกใบรับรองที่มีกุญแจสาธารณะอยู่ในใบรับรองของ บุคคล, องค์กร, เซิร์ฟเวอร์ หรือหน่วยงานอื่น ๆ ที่ระบุไว้ในใบรับรอง หน้าที่ของผู้ออกใบรับรองในแผนดังกล่าวคือ การตรวจสอบข้อมูลประจำตัวของผู้สมัคร เพื่อให้ผู้ใช้และผู้อาศัยใบรับรองสามารถไว้วางใจใบรับรองของผู้ออกใบรับรองได้ โดยผู้ออกใบรับรองใช้หลายมาตรฐาน และหลายการตรวจสอบในการทำเช่นนั้น สาระสำคัญในใบรับรองเปรียบเป็นคำพูดของผู้รับชอบที่ว่า "ใช่ รับรองว่าบุคคลนี้ที่ติดต่อกับเขา"[10]

หากผู้ใช้ไว้วางใจผู้ออกใบรับรองและสามารถตรวจสอบลายเซ็นของผู้ออกใบรับรอง ดังนั้นเขาสามารถเชื่อได้ว่ากุญแจสาธารณะเป็นของใครก็ตามที่ระบุไว้ในใบรับรองนั้น[11]

ตัวอย่าง

การเข้ารหัสกุญแจสาธารณะสามารถนำมาใช้ในการเข้ารหัสข้อมูลที่สื่อสารกันระหว่าง 2 ฝ่าย ซึ่งจะเกิดขึ้นเมื่อเมื่อผู้ใช้เข้าสู่ทุกเว็บไซต์ที่ implement โพรโทคอลการรักษาความปลอดภัย HTTPS ในตัวอย่างนี้ให้เราคิดว่าผู้ใช้เข้าสู่ระบบ www.bank.example เพื่อทำธุรกรรมทางการเงิน เมื่อผู้ใช้เปิดหน้าแรก www.bank.example เขาจะได้รับกุญแจสาธารณะ พร้อมกับข้อมูลทั้งหมดที่แสดงบนหน้าเว็บเบราว์เซอร์ กุญแจสาธารณะสามารถนำมาใช้ในการเข้ารหัสข้อมูลจากผู้ใช้ไปยังเซิร์ฟเวอร์ แต่ขั้นตอนที่ปลอดภัยที่จะใช้ในโพรโทคอลที่กำหนดกุญแจที่สมมาตรกัน ข้อความในโพรโทคอลดังกล่าวเป็นรหัสลับพร้อมกับกุญแจสาธารณะ และมีเพียงเซิร์ฟเวอร์ของธนาคารเท่านั้นที่มีกุญแจสาธารณะในการอ่านข้อมูล การสื่อสารดำเนินการโดยใช้กุญแจที่สมมาตรกันใหม่ ดังนั้นเมื่อผู้ใช้ป้อนข้อมูลบางอย่างไปยังหน้าเพจของธนาคารและกด submit ส่งข้อมูลให้ธนาคารแล้ว ข้อมูลผู้ใช้จะถูกป้อนไปยังหน้าเพจซึ่งจะถูกเข้ารหัสโดยเว็บเบราว์เซอร์นั่นเอง ดังนั้นถึงแม้ว่าบางคนสามารถเข้าถึงข้อมูลที่ถูกสื่อสารจากผู้ใช้ไปยัง www.bank.example ดังนั้นคนดักจับข้อมูลจะไม่สามารถอ่านและถอดรหัสได้[12]

กลไกนี้จะมีความปลอดภัยในกรณีที่ผู้ใช้มั่นใจได้ว่ามันเป็นธนาคารที่เขาเห็นบนเว็บเบราว์เซอร์ของเขา หากผู้ใช้พิมพ์ใน www.bank.example แต่การสื่อสารของเขายังถูกดักจับระหว่างทางและปลอมเว็บไซต์ที่อ้างว่าเป็นของธนาคารส่งข้อมูลหน้าเพจกลับไปยัง เว็บเพจของผู้ใช้ เพจปลอมสามารถส่งกุญแจสาธารณะปลอมไปยังผู้ใช้ เพื่อที่จะให้เว็บไซต์ปลอมมีกุญแจส่วนตัวที่เข้ากับกุญแจสาธารณะปลอม ผู้ใช้จะกรอกแบบฟอร์มที่มีข้อมูลส่วนตัวของเขา และกด submit หน้าเพจ ซึ่งเว็บปลอมจะสามารถนำมาเข้าถึงข้อมูลของผู้ใช้ได้

ผู้ออกใบรับรองเป็นองค์กรที่เก็บกุญแจสาธารณะและเป็นเจ้าของ ทุกกลุ่มในการสื่อสารไว้วางใจองค์กรนี้และรู้จักกุญแจสาธารณะของผู้ออกใบรับรอง เมื่อเว็บเบราว์เซอร์ของผู้ใช้ได้รับกุญแจสาธารณะจาก www.bank.example และยังได้รับลายเซ็นดิจิทัลของกุญแจด้วย เบราว์เซอร์ครอบครองกุญแจสาธารณะของผู้ออกใบรับรองอยู่แล้วจึงสามารถตรวจสอบลายเซ็น ไว้วางใจใบรับรองและกุญแจสาธารณะได้ เมื่อ www.bank.example ใช้กุญแจสาธารณะซึ่งผู้ออกใบรับรองได้รับรอง www.bank.example ปลอม จะสามารถใช้ได้แค่กุญแจสาธารณะที่เหมือนกันเท่านั้น เมื่อ www.bank.example ปลอมไม่รู้จักกุญแจส่วนตัวที่เกี่ยวข้องแล้ว ก็ไม่สามารถออกลายเซ็นที่จำเป็นในการตรวจสอบความถูกต้อง[13]

การรักษาความปลอดภัย

ปัญหาของการรับประกันความถูกต้องระหว่างข้อมูลและเอกลักษณ์ เมื่อข้อมูลถูกนำเสนอให้แก่ผู้ออกใบรับรองซึ่งอาจจะผ่านเครือข่ายอิเล็กทรอนิกส์ และเมื่อข้อมูลประจำตัวบุคคล บริษัท หรือโปรแกรมร้องขอใบรับรองถูกนำเสนอในทำนองเดียวกัน ทำให้เป็นเรื่องยาก นี่คือเหตุผลที่ผู้ออกใบรับรองมักจะใช้การผสมผสานของการวิเคราะห์พฤติกรรมที่กำหนดเอง และเทคนิคการทำให้น่าเชื่อถือประกอบไปด้วยการใช้ประโยชน์จากรัฐ โครงสร้างค่าใช้จ่าย ฐานข้อมูลของบุคคลที่สามและการบริการในบางระบบองค์กร รูปแบบทั่วไปของการตรวจสอบ เช่น Kerberos สามารถใช้ในการขอใบรับรองซึ่งสามารถถูกนำกลับมาใช้โดยบุคคลภายนอก ในบางกรณีพนักงานทะเบียนจำเป็นที่จะต้องรู้จักกลุ่มซึ่งลายเซ็นถูกรับรอง ซึ่งเป็นมาตรฐานที่สูงกว่าที่ได้รับโดยผู้ออกใบรับรอง ตามข้อแนะนำที่ออกโดยเนติบัณฑิตยสภาสหรัฐในการจัดการธุรกรรมออนไลน์[14] ระบุว่า

  1. ลายเซ็น สัญญา หรือบันทึกอื่น ๆ ที่เกี่ยวกับธุรกรรมอาจจะได้รับการปฏิเสธความมีผลทางกฎหมาย ความถูกต้องหรือการบังคับใช้ เพราะมันอยู่ในรูปแบบอิเล็กทรอนิกส์ และ
  2. สัญญาที่เกี่ยวข้องกับการทำธุรกรรมดังกล่าวอาจได้รับการปฏิเสธความมีผลทางกฎหมาย ความถูกต้องหรือการบังคับใช้เพราะลายเซ็นอิเล็กทรอนิกส์ และบันทึกทางอิเล็กทรอนิกส์ถูกใช้ในการสร้างสัญญา

แม้จะมีมาตรการรักษาความปลอดภัยรับรองการตรวจสอบความถูกต้องของบุคคลและบริษัท ยังมีความเสี่ยงของผู้ออกใบรับรองรายองค์กร ในการออกใบรับรองปลอมเพื่อหลอกลวง นอกจากนี้ยังเป็นไปได้ที่จะจดทะเบียนนิติบุคคลและบริษัทด้วยชื่อที่เหมือนหรือคล้ายกันมาก ๆ จนทำให้เกิดความสับสน เพื่อลดความอันตรายนี้ จึงมีการเสนอการตรวจสอบทุกใบรับรองใน public unforgeable log ซึ่งสามารถช่วยปัองกันการ phishing[15][16]

ในการใช้งานขนาดใหญ่ Alice อาจไม่คุ้นเคยกับใบรับรองของ Bob เพราะอาจมีผู้ออกใบรับรองที่แตกต่างกัน ดังนั้นใบรับรองของ Bob ยังอาจรวมกุญแจสาธารณะของผู้ออกใบรับรองที่ลงนามโดย CA ที่ต่างกัน ซึ่ง Alice น่าจะรู้จัก กระบวนการนี้นำไปสู่การรับรองเป็นลำดับชั้น หรือโครงข่ายผู้ออกใบรับรองหรือ "ใบรับรองผู้ออกใบรับรอง"

รายการเพิกถอนสิทธิ

รายการเพิกถอนสิทธิ (ARL) เป็นรูปแบบของ CRL ที่มีใบรับรองออกไปยังผู้ออกใบรับรอง ตรงกันข้ามกับ CRLs ที่มีใบรับรองเพิกถอนบุคคล

ใกล้เคียง

แหล่งที่มา

WikiPedia: ผู้ประกอบการรับรอง https://www.eff.org/deeplinks/2011/10/how-secure-h... https://www.mozilla.org/projects/security/certs/in... https://web.archive.org/web/20130804123413/http://... http://conferences.sigcomm.org/imc/2013/papers/imc... http://archive.wikiwix.com/cache/20131222062343/ht... http://www.webtrust.org/ https://web.archive.org/web/20130818182356/http://... https://casecurity.org/wp-content/uploads/2013/04/... https://web.archive.org/web/20160304074157/https:/... https://letsencrypt.org/2014/11/18/announcing-lets...