في علم التعمية و التشفير البنية الاساسية للمفتاح العام (بالإنجليزية: Public Key Infrastructure PKI): هي الترتيبات التي يتم بها ربط المفتاح العام مع المستخدم بواسطة مصدر الشهادة (Certificate Authority CA) ، هوية المستخدم يجب ان تكون نادرة لكل مصدر شهادة يتم ذلك عن طريق برمجيات خاصة في مصدر الشهادة ، من الممكن ان تكون هذه البرمجيات تحت اشراف بشري، جنباً إلى جنب مع برمجيات مُنَسِقة في مواقع مختلفة و متباعدة.
كل مستخدم لديه هوية مستخدم ، مفتاح عام ، ربط المفتاح بمستخدم معين، إثبات صحة المفتاح و صفات اخرى هي ما تجعل شهادة ملكية فك تشفير المفتاح العام ( Public Key Certificate ) الصادرة عن مصدر الشهادة غير قابلة للتزوير.
مصطلح الطرف الثالث الموثوق به (Trusted Third Party TTP) يمكن ان يستخدم للاشارة إلى مصدر الشهادة(Certificate Authority).
مصطلح البنية الاساسية للمفتاح العام (PKI) يستخدم بشكل خاطئ للإشارة إلى خوارزمية المفتاح العام (Public key Algorithm) التي لا تتطلب استخدام مصدر الشهادة(CA).
فهرس |
وظيفة الـ (PKI) و الغرض منه
ترتيبات الـ PKI تمكن مسخدمي الحواسيب من استخدام معلومات المفتاح العام بشهادة فك تشفير المفتاح العام (Public Key Certificate) الخاص بهم لتشفير رسائل بعضهم البعض بدون اتصال مسبق فيما بينهم لكنهم يثقون ببعضهم.
بشكل عام البنية الاساسية للمفتاح العام ( PKI ) يتكون من برامج العملاء (Clients software) ، برامج الخوادم (Servers Software) ، و المكونات المادية الاخرى (مثل البطاقات الذكية) ، العقود و الضمانات القانونية ، و اجراءات تشغيلية.
شهادة فك تشفير المفتاح العام الخاصة بالمُوقَع (المُمضي) يمكن ان تستخدم كطرف ثالث للتحقق من التوقيع الرقمي(Digital Signature) لرسالة معينة تم انشاءها باستخدام المفتاح الخاص (Private Key) للمُوقع (للمُمضي)، بشكل عام الـ PKI تمكن الاطراف من الحصول على السرية و نزاهة الرسالة و توثيق المستخدم دون الحاجة لتبادل معلومات سرية مسبقاً، او حتى دون اجراء اي اتصال مسبق.
صحة البنية الاساسية للمفتاح العام بين الاطراف المتصلة محدودة بسبب المشاكل العملية مثل الغاء الشهادة (او توقيفها مؤقتاً)، شروط مصدر الشهادة (CA) لاصدار الشهادات و اعتمادها و تغيير في الانظمة و القوانين المتعلقة بالشهادات. هذه المشاكل قد تعتبر مهمة في البداية لكن مع تقدم الوقت و حدوث الاتصال (و استخدام قنوات اتصال مختلفة) تميل لتصبح قليلة الاهمية، و يكون لدى الاطراف الفرصة لتنمية الثقة في ما يختص بهوياتهم و مفاتيحهم.
الاستخدام الامثل للبنية الاساسية للمفتاح العام (PKI)
معظم الانظمة المستخدمة للـ (PKI) تكون بحجم الشركات الكبرى حيث تعتمد هذه الأنظمة على سلسلة شهادات لانشاء هويات للاطراف المختلفة، مثل هذه الشهادات يتم اصدارها من قبل حاسوب مصدر الشهادة الذي انشئ لمثل هذه الاغراض بواسطة شهادة تم اصدارها في مستوى عالي من مصدر الشهادة (أعلى من مصدر الشهادات الأخرى) ،هذا ينتج هرمية للشهادات مؤلفة من عدة حواسيب على الاقل، غالباً أكثر من منظمة واحدة، بالاضافة لحزم متنوعة من البرمجيات من عدة مصادر.
المقاييس (Standards) بالنسبة للبنية الاساسية للمفتاح العام هي مهمة جداً و حرجة، توحيد هذه المقاييس (Standardization) هو مهمة مجموعة العمل IETF PKIX .
أنظمة الـ (PKI ) للشركات غالباً ما ترتبط بدليل الشركات (Directory) الذي فيه سجل لكل موظف الذي يكون محفوظاً (و مدرجاً بالشهادة ) جنباً إلى جنب مع غيره من التفاصيل الشخصية (رقم الهاتف ، البريد الالكتروني ، العنوان ، موقع، القسم و غيرها ...) . في هذا الوقت التكنولوجيا الرائدة للدليل (Directory) هي LDAP ، النهج الأكثر شيوعاً هو( X.509 ) الذي يندرج من استعمال دليل (X.500) مما ادى إلى ظهور الـ LDAP .
البدائل
موقع موثوق به (Web of Trust ):
يوجد نهج بديل لحل مشكلة التصديق العام لمعلومات المفتاح العام هو المواقع ذات الثقة، و التي تستخدم شهادات ذاتية التوقيع و شهادة طرف ثالث موثوق به على هذه الشهادات .
الحديث عن مواقع ذات ثقة لا يعني وجود موقع ثقة واحد او نقطة ثقة مشتركة، و لكن اي عدد محتمل من مواقع الثقة غير المشتركة.
امثلة على تطبيق هذا النهج هو (Pretty Good Privacy PGP) و (openPGP) ، و المتطلبات الموحدة من PGP . لان الـ PGP و التطبيقات السابقة تسمح باستخدام البريد الالكتروني الموقع الكترونياً للنشر الذاتي لمعلومات المفتاح العام ، فهو من السهل نسبياً تطبيق مفهوم الموقع ذو الثقة لشخص معين.
احدى ايجابيات الموقع (ذو الثقة) الموثوق به ، على سبيل المثال في الـ PGP انه يستطيع ان يعمل مع ( (PKI CAو يكون موثوق من قِبل جميع الاطراف في المجال (تماماً مثل مصدر شهادة داخلية في شركة) و هو على استعداد لضمان الشهادات كمقدم موثوق به .
البنية البسيطة الأساسية للمفتاح العام (Simple Public Key Infrastructure SPKI): بديل آخر لنفس المشكلة، لا يتعامل مع التصديق العام لمعلومات المفتاح العام ، ظهرت هذه البنية المبسطة من ثلاث جهود مستقلة للتغلب على تعقيدات الـ X.509 و المواقع ذات الثقة مثل حزمة الـ PGP . هذه البنية لا تربط المستخدمين بمفاتيحهم، المفتاح هو الرئيس و الذي "يتكلم" ، SPKI لا تستخدم اي مفهوم للثقة لان التحقق من صحة المفتاح هو وظيفة المُصدر لهذا المفتاح، بمصطلحات الـ SPKI هذا يسمى (دوران السلطة Authority Loop) ، و هذه السلطة لا تتجزأ ابداً عن تصميمها.
بالإضافة إلى ذلك ، البنية الاساسية للمفتاح العام تدعم تشفير الرسائل و التواقيع الرقمية التي تعزز من امان المعاملات، في حين ان الخدمات الاساسية مثل تصديق الشهادات و الغاءها ، نسخ احتياطية من المفاتيح، تحديث متزامن لازواج من المفاتيح يقلل من العبأ الاداري لبنية الـ PKI بعض السمات مثل تاريخ تدقيق المفتاح ، وجود ختم الوقت يعزز من إدارة الامان و السيطرة عليه. البنية الأساسية للمفتاح العام تدعم شهادات (Cross-Certificates) هذا الامر يعد اساسياً لانشاء هوية من خلال تمكيين حدوث تكامل في الثقة بين الاطراف المتصلة.
البنية الاساسية للمفتاح العام توفر امان معزز ، كثير من التطوير و سهولة الادارة و المراقبة و السيطرة على البنية التحتية ، كنتيجة لذلك البنية الاساسية للمفتاح العام تُمَكن مجتمع أكبر من المستخدمين و المستهلكين و الشركات من الاتصال و التعامل بمرونة و ديناميكية بشكل آمن يمكن الوثوق به ، و فعالة من ناحية الكلفة ، هذه البنية هي الاختيار المثالي لبيئة الشبكات المفتوحة .
استخدامات البنية الاساسية للمفتاح العام
هذه البنية بأنواعها المختلفة لها عدة استخدامات : 1. التشفير و\او التصديق على الرسائل و المرسلين (Open PGP). 2. التصديق على التطبيقات. 3. بروتوكولات للاتصال الامن .