為什么PKI仍然在安全方面發揮關鍵作用

公鑰基礎設施 的起源可以追溯到 1970 年代和英國情報機構 GCHQ 的研究，盡管它直到 1990 年代才從秘密世界中脫穎而出并在商業上起飛。

PKI 仍然是大量現代密碼學的基礎，因此我們與Keyfactor的高級產品營銷經理 Ryan Sanders 進行了交談，以了解有關它的更多信息以及為什么它不會很快消失。

BN:什么是公鑰基礎設施，它的用途是什么。

RS:PKI 管理用于保護敏感數據的數字證書的頒發，為用戶，設備和應用程序提供唯一的數字身份，并提供安全的端到端通信。

組織依靠 PKI 通過數據加密來管理安全性今天使用的最常見的加密形式涉及公鑰任何人都可以使用它來加密消息和私鑰，只有一個人應該能夠使用它來解密消息密鑰可供人，設備和應用程序使用

PKI 在 1990 年代開始用于通過數字證書的頒發和管理來幫助管理加密密鑰證書驗證私鑰的所有者以幫助維護安全性，本質上充當駕照或護照的電子等效物它們包含有關個人或實體的信息，由受信任的第三方發行，防篡改，包含可以證明其真實性的信息，可以追溯到發行人，有有效期，并提交給某人進行驗證

當今 PKI 安全性的一個常見示例是網站上的安全套接字層 證書，它使網站訪問者能夠知道他們正在向目標收件人發送信息其他示例包括現代環境中越來越多的物聯網 設備的數字簽名和身份驗證

BN:傳統的 PKI 和去中心化的 PKI 有什么區別。

RS:每個數字證書的背后都有一個證書頒發機構 Microsoft Active Directory 證書服務 ，通常稱為 Microsoft CA，長期以來一直是許多組織的首選 CA它與 Microsoft 基礎架構很好地集成，并支持標準用例，例如用戶和設備身份驗證

可是，向云的遷移帶來了新的挑戰例如，大多數本地 PKI 部署并非旨在處理當今證書使用的數量和速度還有一個問題是缺乏與非微軟基礎設施的開箱即用集成，以及可能導致安全風險的通常被忽視的錯誤配置

許多組織已經超越了傳統的 PKI，因此需要重建或重新設計以支持這一新現實PKI 不再僅由數據中心內的一兩個 CA 組成當今的混合和多云環境涉及各種公共，私有，開源和基于云的 CA，每個 CA 由不同的團隊實施以滿足特定的用例

組織需要的是一個分散的 PKI 模型，它充當跨本地和云環境的信任網絡。

BN:哪些因素推動了去中心化 PKI。

RS:許多因素正在推動向去中心化 PKI的轉變一是混合信任許多組織依賴受信任的第三方 CA 和內部私有 CA 的組合來滿足組織內部和外部的信任模型他們使用多種云服務，例如 AWS，Azure 和 Google Cloud Platform，每一種都有自己的內置證書頒發功能

另一個是可用性正常運行時間對業務至關重要，分散式 PKI 基礎設施部署在集群，異地冗余或高可用性架構中，以避免單點故障并確保證書撤銷和頒發的正常運行時間

推動這一趨勢的還有專門的用例例如，與可能利用一年或兩年證書的傳統 Web 服務器和設備相比，持續集成/持續交付 工具鏈和容器化環境需要短期 SSL/TLS 證書

分散的團隊是另一個因素由于成本，要求，證書類型，保證級別等，整個組織的不同團隊和部門更喜歡不同的 CA缺乏集成也可能推動分散的 PKIADCS 非常適合 Microsoft 基礎架構，但它不提供對其他應用程序的本機支持這給團隊開發本土腳本和跟蹤機制帶來了沉重的負擔

最后是業務增長高增長公司的并購導致混合 CA 環境，通常具有相互沖突的規則和安全策略

BN:實施現代 PKI 的最佳實踐是什么。

RS:在確定如何最好地部署和使用分散式 PKI 時，組織需要考慮幾個關鍵因素一是信任要求組織需要根據具體情況確定最適合公共和私有證書的位置，以避免模糊信任邊界然后，他們必須考慮支持這種信任模型所需的 PKI 基礎設施，以及如何跨不同孤島委派和管理信任

另一個是保證水平公司應考慮圍繞其根和頒發 CA 的物理和數字保護措施出于測試目的，從低保證 PKI 頒發證書可能是可以接受的，而生產證書需要更高級別的保證

還有一個因素是需要專業知識組織是否擁有適當的專業知識，帶寬，硬件和安全控制來實施安全的內部 PKI 并在 10 到 20 年的生命周期內對其進行維護

組織還需要識別跨基礎架構，安全，網絡和應用程序團隊的用例他們必須確定這些團隊支持其特定用例所需的證書類型，模板，發行量，協議，集成以及許多其他因素和功能

最重要的是，他們需要具備高水平的加密敏捷性，以便為最終遷移到新的密鑰大小和算法做準備大規模撤銷和重新頒發證書的能力對于成功至關重要

BN:安全團隊需要跟蹤的最重要的 PKI 指標是什么。

RS:對于 PKI，可見性非常重要如果一個組織不知道其密碼學的狀態，PKI 操作就會變得異常困難在可見性方面，有 10 個重要指標需要跟蹤

其中包括到期狀態，密鑰大小和強度，簽名算法，CA 頒發，證書請求者和所有者，自簽名證書，通配符證書，自動與手動證書，證書吊銷列出健康狀況，

雖然有更多 PKI 指標需要跟蹤，但這些指標共同提供了大量可見性，可以幫助團隊實現 PKI 成功。