Concetti e parole della PKI spiegati
L’ambiente PKI all’interno di un’organizzazione è a volte difficile da comprendere a causa delle numerose abbreviazioni, concetti e parole tipiche della PKI.
Per questo abbiamo stilato un elenco di questi elementi con una spiegazione per aiutarti a capire meglio il mondo della PKI.
| Termine | Descrizione |
| Lo standard di crittografia avanzata (AES) | è una specifica per la crittografia simmetrica dei dati elettronici. |
| Crittografia asimmetrica | L’atto di utilizzare due chiavi diverse ma matematicamente correlate allo scopo di crittografare. Una chiave pubblica (che può essere condivisa con chiunque) per criptare i messaggi e una chiave privata (che deve essere conosciuta solo dal destinatario) per decriptare i messaggi. |
| Accesso alle informazioni dell’autorità (AIA) | Specifica in un certificato dove trovare i certificati padre aggiornati del certificato stesso. |
| Automatic Certificate Management Environment (ACME) | è un protocollo di comunicazione per automatizzare le interazioni tra le autorità di certificazione e i server dei loro utenti, consentendo la distribuzione automatizzata dell’infrastruttura a chiave pubblica a costi molto bassi. |
| Soluzione di gestione di certificati e chiavi (CKMS) | Un insieme di regole e processi, spesso combinati in una soluzione software, che consente la creazione e la gestione sicura di certificati basati su PKI e delle corrispondenti chiavi private. |
| Autorità di certificazione (CA) | Una risorsa e un sistema per creare certificati digitali e possedere le politiche, le pratiche e le procedure per la verifica dei destinatari e l’emissione dei certificati. Spetta ai proprietari e agli operatori di una CA stabilire i metodi di selezione dei destinatari dei certificati, i tipi di certificati da emettere, i parametri contenuti in ogni certificato e le procedure di sicurezza e operative. |
| Catena di certificati | Una catena di certificati composta da certificato del sottoscrittore, certificato della CA emittente, certificato/i della CA intermedia e certificato della CA radice. |
| Gestione del ciclo di vita dei certificati (CLM) | Un insieme di regole e processi, spesso combinati in una soluzione software, che consentono la gestione dei certificati basati su PKI. |
| Protocollo di gestione dei certificati (CMPv2) | è un protocollo Internet standardizzato dall’IETF utilizzato per ottenere certificati digitali X.509 in un’infrastruttura a chiave pubblica (PKI). Il CMP è un protocollo molto ricco di funzionalità e flessibile, che supporta qualsiasi tipo di crittografia. I messaggi di CMP sono autocontenuti e questo, a differenza di EST, rende il protocollo indipendente dal meccanismo di trasporto e garantisce la sicurezza end-to-end. |
| Percorso del certificato | Una catena di certificati composta da certificato del sottoscrittore, certificato della CA emittente, certificato/i della CA intermedia e certificato della CA radice. |
| Politica di certificazione (CP) | Una forma specializzata di politica amministrativa che si adatta alle transazioni elettroniche eseguite durante la gestione dei certificati. Una politica sui certificati si occupa di tutti gli aspetti associati alla generazione, alla produzione, alla distribuzione, alla contabilizzazione, al recupero dei compromessi e all’amministrazione dei certificati digitali. Indirettamente, una politica sui certificati può anche governare le transazioni condotte utilizzando un sistema di comunicazione protetto da un sistema di sicurezza basato sui certificati. Controllando le estensioni critiche dei certificati, tali politiche e la relativa tecnologia di applicazione possono supportare la fornitura dei servizi di sicurezza richiesti da particolari applicazioni. |
| Profilo del certificato | Descrizione dettagliata della struttura, dei componenti e dell’origine dei dati del certificato. |
| Elenchi di revoca dei certificati (CRL) | Un elenco di certificati (o più specificamente, un elenco di numeri di serie per i certificati) che sono stati revocati e quindi le entità che presentano tali certificati (revocati) non dovrebbero più essere attendibili. |
| Richiesta di firma del certificato (CSR) | La CSR registra le informazioni di identificazione in un formato unico per una persona o un dispositivo che possiede una chiave privata e le informazioni sulla chiave pubblica corrispondente. |
| Elenco di fiducia dei certificati (CTL) | L’insieme dei certificati affidabili utilizzati dalle Relying Party per autenticare altri certificati. |
| Dichiarazione sulle pratiche di certificazione (CPS) | Una dichiarazione delle pratiche che una CA impiega per emettere, sospendere, revocare e rinnovare i certificati e per fornire l’accesso agli stessi, in conformità con i requisiti specifici (ad esempio, i requisiti specificati nella presente Certificate Policy o i requisiti specificati in un contratto di servizi). |
| Punto di distribuzione CRL (CDP) | Il luogo in cui è possibile scaricare l’ultima CRL. |
| Firma digitale | è un modo per verificare l’autenticità attraverso l’uso di un identificatore digitale unico. La firma digitale si basa sulla crittografia asimmetrica: il proprietario di una chiave privata può utilizzarla per firmare digitalmente un messaggio. I terzi possono poi utilizzare la chiave pubblica corrispondente per verificare la firma e confermare che il messaggio non è stato modificato durante il trasporto, cosa che farebbe fallire la verifica. La firma digitale offre anche il non ripudio, in quanto i firmatari non possono negare la propria firma. |
| Crittografia a curva ellittica (ECC) | È un approccio alla crittografia a chiave pubblica basato sulla struttura algebrica delle curve ellittiche su campi finiti. L’ECC consente di utilizzare chiavi più piccole rispetto alla crittografia non CE, come l’RSA, per garantire una sicurezza equivalente. |
| Certificato di crittografia | Un certificato contenente una chiave pubblica e la corrispondente chiave d’uso che viene utilizzata per criptare messaggi elettronici, file, documenti o trasmissioni di dati, oppure per stabilire o scambiare una chiave di sessione per questi stessi scopi. |
| Certificato di Fine Entità | Un certificato che si trova in fondo alla gerarchia delle CA e non può essere utilizzato per firmare altri certificati. La maggior parte dei certificati di utenti finali, dispositivi e server sono certificati di entità finale. |
| Iscrizione tramite trasporto sicuro (EST) | è un protocollo crittografico che descrive un protocollo di gestione dei certificati X.509 rivolto ai client dell’infrastruttura a chiave pubblica (PKI) che devono acquisire i certificati dei client e i certificati delle autorità di certificazione (CA) associate. EST è descritto nella RFC 7030. EST è stato proposto come sostituto di SCEP, in quanto più facile da implementare sui dispositivi che dispongono già di uno stack HTTPS. EST utilizza HTTPS come trasporto e sfrutta TLS per molti dei suoi attributi di sicurezza. |
| Utilizzo esteso della chiave (EKU) | Definisce le proprietà avanzate per cui un certificato verrà utilizzato. |
| Modulo di sicurezza hardware (HSM) | Un modulo di sicurezza hardware è un dispositivo informatico fisico che protegge e gestisce le chiavi digitali per un’autenticazione forte e fornisce l’elaborazione di operazioni crittografiche. |
| Hash | Un’impronta digitale comunemente utilizzata nelle firme digitali, per garantire che i dati non siano stati manomessi. Nello specifico, si tratta di un algoritmo unidirezionale utilizzato per convertire un valore in un altro per mascherare le informazioni attraverso un output matematico. |
| Autorità di certificazione intermedia (Intermediate) | Una CA che è subordinata a un’altra CA e ha una CA subordinata a se stessa. |
| Autorità di certificazione emittente | Una CA subordinata che rilascia i certificati agli utenti finali e ai computer (soggetti del certificato). |
| Attestazione della chiave | è la capacità tecnica di dimostrare a una parte remota che una chiave privata crittografica è stata generata all’interno di un modulo crittografico hardware, come un modulo di piattaforma fidata (TPM) o un modulo di sicurezza hardware (HSM), ed è gestita all’interno di quest’ultimo e non è esportabile. |
| Utilizzo della chiave (KU) | Definisce le proprietà di base per cui un certificato verrà utilizzato. |
| Protocollo di accesso alle directory leggere (LDAP) | è un protocollo applicativo aperto, neutrale e standard del settore per l’accesso e la gestione di servizi di directory distribuiti su una rete Internet Protocol (IP). I servizi di directory svolgono un ruolo importante nello sviluppo di applicazioni intranet e Internet consentendo la condivisione di informazioni su utenti, sistemi, reti, servizi e applicazioni in tutta la rete. Un LDAP è spesso utilizzato per memorizzare i dati dei certificati S/MIME di un account utente. |
| Le Estensioni Multipurpose della Posta Internet (MIME) | è uno standard Internet che estende il formato dei messaggi di posta elettronica per supportare testi in set di caratteri diversi da ASCII, nonché allegati di audio, video, immagini e programmi applicativi. |
| Identificatore di oggetto (OID) | Un valore univoco a livello globale associato a un oggetto per identificarlo in modo univoco, utilizzato nella Abstract Syntax Notation (ASN.1). |
| Protocollo di stato del certificato online (OCSP) | Un protocollo online utilizzato per determinare lo stato di un certificato a chiave pubblica. |
| Standard di crittografia a chiave pubblica (PKCS) | Un insieme di standard per descrivere l’uso di tecniche di crittografia standard all’interno dei programmi PKI. Questi standard sono definiti e pubblicati da RSA Security LLC e comprendono tecniche come PKCS 7, PKCS 10, PKCS 11 e PCKS 12, che riguardano aspetti come la sintassi e la formattazione dei messaggi per i certificati digitali e le modalità di archiviazione delle chiavi private. |
| Infrastruttura a chiave pubblica (PKI) | È un insieme di ruoli, politiche, hardware, software e procedure necessarie per creare, gestire, distribuire, utilizzare, conservare e revocare i certificati digitali e gestire la crittografia a chiave pubblica. Lo scopo di una PKI è quello di facilitare il trasferimento elettronico sicuro delle informazioni per una serie di attività di rete come l’e-commerce, l’internet banking e le e-mail riservate. È necessaria per le attività in cui le semplici password sono un metodo di autenticazione inadeguato e sono necessarie prove più rigorose per confermare l’identità delle parti coinvolte nella comunicazione e per convalidare le informazioni trasferite. |
| Autorità di registrazione (RA) | Un’entità fidata che stabilisce e garantisce l’identità di un Sottoscrittore a una CA. La RA può essere parte integrante di una CA, oppure può essere indipendente da una CA, ma ha una relazione con quest’ultima. |
| Rekeying | Modifica del valore di una chiave crittografica utilizzata in un’applicazione del sistema crittografico; di solito questo comporta l’emissione di un nuovo certificato sulla nuova chiave pubblica. |
| Rinnovo | L’atto o il processo di estensione della validità del vincolo di dati affermato da un certificato a chiave pubblica mediante l’emissione di un nuovo certificato. |
| Richiesta di commenti (RFC) | è una pubblicazione di una serie di organismi di sviluppo tecnico e di definizione degli standard di Internet, in particolare la Internet Engineering Task Force (IETF). Le RFC sono redatte da individui o gruppi di ingegneri e informatici sotto forma di memorandum che descrivono metodi, comportamenti, ricerche o innovazioni applicabili al funzionamento di Internet e dei sistemi connessi a Internet. Le RFC relative alla PKI sono la 8399 e la 5280. |
| Revoca | Termina prematuramente il periodo operativo di un certificato a partire da una data e un’ora specifiche. |
| Crittografia Rivest-Shamir-Adleman (RSA) | È un crittosistema a chiave pubblica, uno dei più antichi, ampiamente utilizzato per la trasmissione sicura dei dati. La sicurezza della RSA si basa sulla difficoltà pratica di fattorizzare il prodotto di due grandi numeri primi |
| Autorità di certificazione radice (Root) | La CA al vertice di una gerarchia PKI che gode di fiducia esplicita da parte di tutti i sottoscrittori e le parti facenti affidamento, la cui chiave pubblica funge da dato più affidabile (cioè l’inizio del percorso di fiducia) per un dominio di sicurezza. |
| Secure Socket Layer (SSL) | Protocollo deprecato che precede lo standard TLS. Poiché i certificati emessi da un’autorità di certificazione sono necessari per rendere possibili sia SSL che TLS, i certificati X.509 sono spesso indicati come certificati SSL. |
| Estensioni di posta elettronica sicura/multipla (S/MIME) | è uno standard per la crittografia e la firma a chiave pubblica dei dati MIME. S/MIME fa parte di un circuito di standard IETF ed è definito in diversi documenti, tra cui il più importante è l’RFC 8551. |
| Certificato autofirmato | Un certificato che 1: utilizza la propria chiave pubblica per verificare la propria firma; 2: il nome dell’oggetto è identico al nome dell’emittente. Contrariamente a quanto si crede, i certificati autofirmati non sono riservati alle CA private, ma sono presenti anche nelle CA pubbliche (ad esempio la sua Root). |
| Certificato di firma | Un certificato a chiave pubblica che contiene una chiave pubblica destinata alla verifica delle firme digitali piuttosto che alla crittografia dei dati o all’esecuzione di altre funzioni crittografiche. |
| Il Simple Certificate Enrollment Protocol (SCEP) | è un protocollo per i certificati digitali che supporta la distribuzione delle chiavi pubbliche delle autorità di certificazione (CA) e di registrazione (RA), l’iscrizione dei certificati, la revoca dei certificati, le interrogazioni dei certificati e le interrogazioni della lista di revoca dei certificati (CRL). |
| Autorità di certificazione subordinata | Una CA la cui chiave di firma del certificato è certificata da un’altra CA e le cui attività sono limitate da quest’ultima. |
| Crittografia simmetrica | L’atto di utilizzare permutazioni matematiche per criptare un messaggio in chiaro. La stessa chiave viene utilizzata sia per criptare che per decriptare questi messaggi. |
| Sicurezza del livello di trasporto (TLS) | è un protocollo crittografico progettato per garantire la sicurezza delle comunicazioni su una rete di computer. TLS ha sostituito il protocollo SSL |
| Trusted Platform Module (TPM ) | è uno standard internazionale per un crittoprocessore sicuro, un microcontrollore dedicato progettato per proteggere l’hardware attraverso chiavi crittografiche integrate. TPM versione 2.0 è lo standard attuale, che rende obsoleta la versione 1.0. |
| X.509 | è uno standard che definisce il formato dei certificati a chiave pubblica. I certificati X.509 sono utilizzati in molti protocolli Internet, tra cui TLS/SSL, che è la base di HTTPS, il protocollo sicuro per navigare sul web. Vengono utilizzati anche in applicazioni offline, come le firme elettroniche. |
