Public Key Infrastructure

Fra Wikipedia, den frie encyklopedi
Gå til: navigasjon, søk

PKI (Public Key Infrastructure) er et rammeverk for utstedelse, administrasjon og bruk av digitale sertifikater over datanettverk.

Anvendelsesområder for PKI er kryptering, autentisering (etablering av tillit til en person, organisasjon eller gjenstands identitet) og signering av dokumenter eller programvare. Signering har to hovedfunksjoner: Verifisering av dataintegritet og ikke-avviselighet (non-repudiation). I det siste ligger at man ikke kan benekte at man har signert. Merk at autorisering (tildeling av rettigheter til IT-systemer) er et avledet bruksområde: Når en brukers identitet er brakt på det rene og er autentisert, kan man autorisere brukeren.

To typer[rediger | rediger kilde]

Det fins publikumsrettede ("personlige") og virksomhetsrettede PKIer.

En publikumsrettet PKI er som regel beregnet på personer, og har som mål å få flest mulig brukere. Eksempler på publikumsrettede PKIer i Norge er BankID (i regi av de norske bankene), Commfides og Buypass (i regi av Posten). BankID er ikke noen PKI i vanlig forstand, i og med at bruker ikke selv har kontroll over den private nøkkelen, og at den offentlige nøkkelen heller ikke er tilgjengelig. Derimot brukes PKI-baserte nøkkelpar internt i løsningen.

I Norge brukes PKI blant annet til sikring av kommunikasjon i helsevesenet (eResept, elektronisk sykmelding). PKI brukes her både til å knytte en melding til ett spesifikt individ (signatur med personlig sertifikat utstedt til lege) og til å sikre konfidensialitet (kryptering av forsendelse med eksempelvis NAVs virksomhetssertifikat).

Difi utvikler og drifter en felles infrastruktur for innlogging til offentlige nettjenester, ID-porten.[1] Gjennom ID-porten tilbys innlogging med tre forskjellige elektroniske ID-er: MinID, Buypass ID og Commfides e-ID.

Med elektronisk ID på høyeste sikkerhetsnivå fra Buypass og Commfides tilrettelegger Difi for utvikling av flere og mer avanserte nettjenester i offentlig sektor. Sikrere elektroniske ID-er gir deg som innbygger tilgang til tjenester du ikke fant på nett tidligere.[2]

Virksomhetsrettede PKIer er som regel en del av sikkerhetsløsningen i virksomheter med høye sikkerhetskrav. Norske eksempler på bruk av virksomhetsintern PKI er sikring av gasstransaksjoner i Nordsjøen (i regi av GassCo/Norsk Hydro).

Asymmetrisk kryptering[rediger | rediger kilde]

PKI er basert på såkalt asymmetrisk kryptering (i motsetning til symmetrisk). Dette betyr at man genererer to nøkler som hører sammen - en offentlig nøkkel (Public key) og en privat nøkkel (Private key). Nøklene er realiteten svært store primtall, som har den egenskapen at det som krypteres med den ene nøkkelen kan dekrypteres med den andre. Forutsetningen for at dette skal gi sikkerhet er at det kun er én bruker som skal kunne anvende den private nøkkelen. Brukeren kan gi den offentlige nøkkelen til hvem som helst, og de kan kryptere meldinger med brukerens offentlige nøkkel. Nå er det kun brukeren som kan lese meldingen (ved hjelp av hans private nøkkel). Tilsvarende kan brukeren lage en signatur på en melding, og legge denne ved meldingen (meldingen er i klartekst). Signaturen er kryptert med brukerens private nøkkel, og kan dekrypteres ved hjelp av hans offentlige nøkkel. Det inngår et ledd til i signering: det som signeres, er ikke meldingen, men et tall som er beregnet matematisk fra meldingen – en hash-verdi. Endres meldingen, endres hash-verdien. Mottakeren beregner så hash-verdien på den mottatte meldingen, for å videre dekryptere den opprinnelige hashen, og sammenligne disse. Er de like, er alt i orden, og meldingen er uendret siden den ble signert av brukeren, som man vet ble signert av riktig bruker. Er verdiene ulike, vil signaturen bli brutt.


Den private nøkkelen kan brukeren oppbevare på sin PC, på SIM-kortet i mobilen, på et smart-kort (tippekortet gjør det slik), eller i banken (BankID; banken oppbevarer ditt nøkkelpar). Nøkkelen er igjen bakt inn i et digitalt sertifikat som knytter nøkkel og brukerens navn sammen, og er beskyttet av en PIN-kode slik at ikke andre får tilgang. Mister brukeren kortet og koden, kan han svarteliste sertifikatet i en såkalt revokeringliste (Certificate Revocation List) – altså en liste over tilbakekalte sertifikater.

Sist men ikke minst – brukeren må få sitt digitale sertifikat fra en tiltrodd virksomhet (CA – Certificate Authority) som i sin tur signerer sertifikatet. I Norge er Buypass, eid av EVRY, Norsk Tipping, Commfides og Nets store aktører.

Referanser[rediger | rediger kilde]

  1. ^ "Difi – Elektronisk ID", Direktoratet for forvaltning og IKT.
  2. ^ "Difi – Virksomheter som benytter ID-porten"