传统的PKI和去中心化的PKI有什么区别

公钥基础设施 的起源可以追溯到 1970 年代和英国情报机构 GCHQ 的研究，尽管它直到 1990 年代才从秘密世界中脱颖而出并在商业上起飞。

PKI 仍然是大量现代密码学的基础，因此我们与Keyfactor的高级产品营销经理 Ryan Sanders 进行了交谈，以了解有关它的更多信息以及为什么它不会很快消失。

BN:什么是公钥基础设施，它的用途是什么。

RS:PKI 管理用于保护敏感数据的数字证书的颁发，为用户，设备和应用程序提供唯一的数字身份，并提供安全的端到端通信。

组织依靠 PKI 通过数据加密来管理安全性今天使用的最常见的加密形式涉及公钥任何人都可以使用它来加密消息和私钥，只有一个人应该能够使用它来解密消息密钥可供人，设备和应用程序使用

PKI 在 1990 年代开始用于通过数字证书的颁发和管理来帮助管理加密密钥证书验证私钥的所有者以帮助维护安全性，本质上充当驾照或护照的电子等效物它们包含有关个人或实体的信息，由受信任的第三方发行，防篡改，包含可以证明其真实性的信息，可以追溯到发行人，有有效期，并提交给某人进行验证

当今 PKI 安全性的一个常见示例是网站上的安全套接字层 证书，它使网站访问者能够知道他们正在向目标收件人发送信息其他示例包括现代环境中越来越多的物联网 设备的数字签名和身份验证

BN:传统的 PKI 和去中心化的 PKI 有什么区别。

RS:每个数字证书的背后都有一个证书颁发机构 Microsoft Active Directory 证书服务 ，通常称为 Microsoft CA，长期以来一直是许多组织的首选 CA它与 Microsoft 基础架构很好地集成，并支持标准用例，例如用户和设备身份验证

可是，向云的迁移带来了新的挑战例如，大多数本地 PKI 部署并非旨在处理当今证书使用的数量和速度还有一个问题是缺乏与非微软基础设施的开箱即用集成，以及可能导致安全风险的通常被忽视的错误配置

许多组织已经超越了传统的 PKI，因此需要重建或重新设计以支持这一新现实PKI 不再仅由数据中心内的一两个 CA 组成当今的混合和多云环境涉及各种公共，私有，开源和基于云的 CA，每个 CA 由不同的团队实施以满足特定的用例

组织需要的是一个分散的 PKI 模型，它充当跨本地和云环境的信任网络。

BN:哪些因素推动了去中心化 PKI。

RS:许多因素正在推动向去中心化 PKI的转变一是混合信任许多组织依赖受信任的第三方 CA 和内部私有 CA 的组合来满足组织内部和外部的信任模型他们使用多种云服务，例如 AWS，Azure 和 Google Cloud Platform，每一种都有自己的内置证书颁发功能

另一个是可用性正常运行时间对业务至关重要，分散式 PKI 基础设施部署在集群，异地冗余或高可用性架构中，以避免单点故障并确保证书撤销和颁发的正常运行时间

推动这一趋势的还有专门的用例例如，与可能利用一年或两年证书的传统 Web 服务器和设备相比，持续集成/持续交付 工具链和容器化环境需要短期 SSL/TLS 证书

分散的团队是另一个因素由于成本，要求，证书类型，保证级别等，整个组织的不同团队和部门更喜欢不同的 CA缺乏集成也可能推动分散的 PKIADCS 非常适合 Microsoft 基础架构，但它不提供对其他应用程序的本机支持这给团队开发本土脚本和跟踪机制带来了沉重的负担

最后是业务增长高增长公司的并购导致混合 CA 环境，通常具有相互冲突的规则和安全策略

BN:实施现代 PKI 的最佳实践是什么。

RS:在确定如何最好地部署和使用分散式 PKI 时，组织需要考虑几个关键因素一是信任要求组织需要根据具体情况确定最适合公共和私有证书的位置，以避免模糊信任边界然后，他们必须考虑支持这种信任模型所需的 PKI 基础设施，以及如何跨不同孤岛委派和管理信任

另一个是保证水平公司应考虑围绕其根和颁发 CA 的物理和数字保护措施出于测试目的，从低保证 PKI 颁发证书可能是可以接受的，而生产证书需要更高级别的保证

还有一个因素是需要专业知识组织是否拥有适当的专业知识，带宽，硬件和安全控制来实施安全的内部 PKI 并在 10 到 20 年的生命周期内对其进行维护

组织还需要识别跨基础架构，安全，网络和应用程序团队的用例他们必须确定这些团队支持其特定用例所需的证书类型，模板，发行量，协议，集成以及许多其他因素和功能

最重要的是，他们需要具备高水平的加密敏捷性，以便为最终迁移到新的密钥大小和算法做准备大规模撤销和重新颁发证书的能力对于成功至关重要

BN:安全团队需要跟踪的最重要的 PKI 指标是什么。

RS:对于 PKI，可见性非常重要如果一个组织不知道其密码学的状态，PKI 操作就会变得异常困难在可见性方面，有 10 个重要指标需要跟踪

其中包括到期状态，密钥大小和强度，签名算法，CA 颁发，证书请求者和所有者，自签名证书，通配符证书，自动与手动证书，证书吊销列出健康状况，

虽然有更多 PKI 指标需要跟踪，但这些指标共同提供了大量可见性，可以帮助团队实现 PKI 成功。

。

郑重声明：此文内容为本网站转载企业宣传资讯，目的在于传播更多信息，与本站立场无关。仅供读者参考，并请自行核实相关内容。