PKI (Public Key Infrastructure)
PKI spravuje digitální klíče a certifikáty pro bezpečnou komunikaci. Poznejte, jak stojí za DKIM, S/MIME a TLS při ověřování e-mailů.
Co je PKI (Public Key Infrastructure)?
Infrastruktura veřejných klíčů (PKI) je framework, který spravuje digitální klíče a certifikáty a umožňuje tak bezpečnou komunikaci přes internet. Poskytuje základ důvěry, který umožňuje uživatelům, zařízením a aplikacím vzájemně ověřit své identity a soukromě si vyměňovat data. PKI je technologie, která stojí za šifrováním HTTPS, digitálními podpisy a mnoha protokoly pro ověřování e-mailů.
PKI ve své podstatě používá dva matematicky propojené klíče: veřejný klíč a soukromý klíč. Veřejný klíč lze sdílet otevřeně, zatímco soukromý klíč musí zůstat důvěrný. Společně umožňují procesy šifrování, dešifrování a ověřování, které prokazují legitimitu odesílatele nebo systému.
Jak PKI funguje
PKI funguje prostřednictvím sítě důvěryhodných subjektů známých jako certifikační autority (CA), které vydávají a spravují digitální certifikáty. Tyto certifikáty vážou veřejný klíč k subjektu (jako je osoba, organizace nebo doména) a potvrzují, že klíč tomuto subjektu patří.
Mezi hlavní součásti systému PKI patří:
- Certifikační autorita (CA) – vydává a odvolává digitální certifikáty
- Registrační autorita (RA) – ověřuje identitu před vydáním certifikátů
- Úložiště certifikátů – ukládá a distribuuje platné certifikáty
- Seznam odvolaných certifikátů (CRL) – uvádí odvolané nebo neplatné certifikáty
- Veřejné a soukromé klíče – slouží k šifrování, podepisování a ověřování
Když se navazuje zabezpečená relace, odesílatel předloží certifikát podepsaný důvěryhodnou CA. Příjemce tento certifikát ověří vůči známým autoritám a potvrdí, že nebyl pozměněn ani odvolán. Po ověření lze veřejný klíč použít k šifrování zpráv nebo ověření digitálních podpisů.
Proč je PKI klíčové pro ověřování e-mailů
PKI hraje ústřední roli při zabezpečení protokolů pro ověřování e-mailů, jako jsou DKIM a S/MIME. U DKIM například vlastník domény zveřejní veřejný klíč v DNS, zatímco odesílající server použije odpovídající soukromý klíč k podepsání odchozích zpráv. Příjemci pošty pomocí veřejného klíče ověří, že zpráva nebyla při přenosu pozměněna a skutečně pochází z uvedené domény.
Kromě DKIM podporuje PKI také šifrovací systémy, které chrání důvěrnost zpráv a zajišťují integritu napříč různými komunikačními kanály. Bez PKI by neexistoval standardizovaný způsob, jak důvěřovat tomu, že je e-mailový podpis nebo certifikát platný nebo že zašifrovaná data nebyla zachycena či pozměněna.
- DKIM používá PKI ke zveřejnění a ověření podpisů na úrovni domény
- S/MIME používá certifikáty PKI pro koncové šifrování e-mailů
- Certifikáty TLS se spoléhají na PKI pro zabezpečená spojení poštovních serverů
Propojením digitálních identit s kryptografickou zárukou zajišťuje PKI, že si lidé i automatizované systémy mohou navzájem důvěřovat v každém kroku doručení zprávy.
PKI a DMARCeye
DMARCeye využívá data ověřování založená na PKI k rozšíření viditelnosti do toho, jak jsou zprávy validovány napříč kontrolami SPF, DKIM a DMARC. Analýzou veřejných klíčů zveřejněných v DNS a jejich korelací s výsledky ověřování pomáhá DMARCeye organizacím odhalit chybná nastavení, vypršené klíče nebo nedůvěryhodné zdroje certifikátů.
Platforma poskytuje jasný přehled o používání klíčů napříč vašimi odesílajícími doménami a subdoménami a zajišťuje, že konfigurace DKIM a TLS zůstávají platné a bezpečné. Toto průběžné ověřování posiluje důvěru v doménu a udržuje vaši infrastrukturu pro ověřování e-mailů v souladu s předpisy a odolnou vůči spoofingu a manipulaci.
Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.
Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.