PKI begrippen en woorden verklaard

De PKI-omgeving binnen een organisatie is soms moeilijk te begrijpen vanwege de vele afkortingen, concepten en termen die typisch zijn voor PKI.
Daarom hebben we een lijst van deze items gemaakt met een uitleg om u te helpen de wereld van PKI beter te begrijpen.

Term Beschrijving
Geavanceerde encryptiestandaard (AES) is een specificatie voor de symmetrische encryptie van elektronische gegevens
Asymmetrische encryptie Het gebruik van twee verschillende, maar wiskundig verwante sleutels voor encryptie. Een publieke sleutel (die met iedereen gedeeld kan worden) om berichten te versleutelen en een privésleutel (die alleen de ontvanger mag kennen) om berichten te ontsleutelen.
Autoriteit Informatie Toegang (AIA) Geeft in een certificaat aan waar actuele bovenliggende certificaten van het certificaat te vinden zijn
Automatic Certificate Management Environment (ACME) is een communicatieprotocol voor het automatiseren van interacties tussen certificeringsinstanties en de servers van hun gebruikers, waardoor de geautomatiseerde implementatie van openbare sleutelinfrastructuur tegen zeer lage kosten mogelijk wordt.
Certificate and Key Management Solution (CKMS) / Certificaat- en sleutelbeheeroplossing (CKMS) Een set regels en processen, vaak gecombineerd in een softwareoplossing, die het mogelijk maakt om op PKI gebaseerde certificaten en bijbehorende privésleutels te creëren en veilig te beheren.
Certificate Authority (CA) Een bron en systeem voor het aanmaken van digitale certificaten en het beheren van het beleid, de werkwijzen en procedures voor het controleren van ontvangers en het uitgeven van de certificaten. Het is aan de eigenaren en beheerders van een CA om de controlemethoden voor certificaatontvangers, de soorten certificaten die zij uitgeven, de parameters in elk certificaat en de beveiligings- en operationele procedures te bepalen.
Certificate Chain Een certificaatketen die bestaat uit het abonneecertificaat, het uitgevende CA-certificaat, het/de tussenliggende CA-certificaat(en) en het root-CA-certificaat.
Certificate Lifecycle Management (CLM) Een reeks regels en processen, vaak gecombineerd in een softwareoplossing, die het beheer van PKI-gebaseerde certificaten mogelijk maakt.
Certificate Management Protocol (CMPv2) CMP is een door de IETF gestandaardiseerd internetprotocol dat wordt gebruikt voor het verkrijgen van digitale X.509-certificaten in een openbare sleutelinfrastructuur (PKI). CMP is een zeer veelzijdig en flexibel protocol dat alle soorten cryptografie ondersteunt. CMP-berichten zijn op zichzelf staand, wat het protocol, in tegenstelling tot EST, onafhankelijk maakt van het transportmechanisme en end-to-end
Certificate Path Een certificaatketen die bestaat uit het abonneecertificaat, het uitgevende CA-certificaat, het/de tussenliggende CA-certificaat(en) en het root-CA-certificaat.
Certificate Policy (CP) Een gespecialiseerde vorm van administratief beleid afgestemd op elektronische transacties die worden uitgevoerd tijdens certificaatbeheer. Een certificaatbeleid richt zich op alle aspecten die verband houden met het genereren, produceren, distribueren, administreren, herstellen van inbreuken en beheren van digitale certificaten. Indirect kan een certificaatbeleid ook de transacties beheren die worden uitgevoerd met behulp van een communicatiesysteem dat wordt beschermd door een certificaatgebaseerd beveiligingssysteem. Door kritieke certificaatuitbreidingen te beheren, kunnen dergelijke beleidsregels en de bijbehorende handhavingstechnologie de levering van de beveiligingsservices ondersteunen die door specifieke applicaties worden vereist.
Certificate Profile Gedetailleerde beschrijving van de structuur, componenten en de oorsprong van de gegevens in het certificaat
Certificate Revocation Lists (CRL) Een lijst met certificaten (of specifieker, een lijst met serienummers van certificaten) die zijn ingetrokken, en daarom zouden entiteiten die deze (ingetrokken) certificaten presenteren niet langer vertrouwd moeten worden
Certificate Signing Request (CSR) De CSR registreert identificerende informatie in een uniek formaat voor een persoon of apparaat dat over een privésleutel beschikt, evenals informatie over de bijbehorende openbare sleutel.
Certificate Trust List (CTL) De verzameling vertrouwde certificaten die door Vertrouwende Partijen worden gebruikt om andere certificaten te verifiëren.
Certification Practice Statement (CPS) Een verklaring van de werkwijzen die een CA hanteert bij het uitgeven, opschorten, intrekken en verlengen van certificaten en het verlenen van toegang daartoe, in overeenstemming met specifieke vereisten (d.w.z. vereisten die in dit certificaatbeleid zijn gespecificeerd of vereisten die in een contract voor diensten zijn gespecificeerd).
CRL Distribution Point (CDP) De locatie waar u de nieuwste CRL kunt downloaden.
Digital Signature is een manier om authenticiteit te verifiëren met behulp van een unieke digitale identificatiecode. Digitale handtekeningen zijn gebaseerd op asymmetrische encryptie, omdat de eigenaar van een privésleutel die sleutel kan gebruiken om een ​​bericht digitaal te ondertekenen. Derden kunnen vervolgens de bijbehorende publieke sleutel gebruiken om de handtekening te verifiëren en te bevestigen dat het bericht tijdens de overdracht niet is gewijzigd, waardoor de verificatie zou mislukken. Digitale handtekeningen bieden ook onweerlegbaarheid, omdat ondertekenaars hun handtekening niet kunnen ontkennen.
Elliptic-curve cryptography (ECC) Is een encryptiebenadering van openbare-sleutelcryptografie gebaseerd op de algebraïsche structuur van elliptische krommen over eindige velden. ECC staat kleinere sleutels toe in vergelijking met niet-EC-cryptografie, zoals RSA, om gelijkwaardige beveiliging te bieden.
Encryption Certificate Een certificaat met een openbare sleutel en bijbehorend sleutelgebruik dat wordt gebruikt om elektronische berichten, bestanden, documenten of gegevensoverdrachten te versleutelen of om een ​​sessiesleutel voor deze doeleinden vast te stellen of uit te wisselen.
End-Entity Certificate Een certificaat dat zich onderaan de CA-hiërarchie bevindt en niet kan worden gebruikt om andere certificaten te ondertekenen. De meeste eindgebruikers-, apparaat- en servercertificaten zijn eindentiteitscertificaten.
Enrollment over Secure Transport (EST) is een cryptografisch protocol dat een X.509-certificaatbeheerprotocol beschrijft dat gericht is op PKI-clients (Public Key Infrastructure) die clientcertificaten en bijbehorende CA-certificaten moeten verkrijgen. EST wordt beschreven in RFC 7030. EST is voorgesteld als vervanging voor SCEP en is eenvoudiger te implementeren op apparaten die al een HTTPS-stack hebben. EST gebruikt HTTPS als transport en maakt voor veel van zijn beveiligingskenmerken gebruik van TLS.
Extended Key Usage (EKU) Definieert de geavanceerde eigenschappen van waarvoor een certificaat zal worden gebruikt.
Hardware Security Module (HSM) Een hardwarebeveiligingsmodule is een fysiek computerapparaat dat digitale sleutels beveiligt en beheert voor sterke authenticatie en dat cryptografische bewerkingen verwerkt.
Hash Een digitale vingerafdruk die vaak wordt gebruikt in digitale handtekeningen om te garanderen dat er niet met gegevens is geknoeid. Het is een eenrichtingsalgoritme dat wordt gebruikt om de ene waarde naar de andere om te zetten en zo informatie te maskeren via een wiskundige uitvoer.
Intermediate Certification Authority (Intermediate) Een CA die ondergeschikt is aan een andere CA, en die een CA heeft die ondergeschikt is aan zichzelf.
Issuing Certification Authority Een ondergeschikte CA die certificaten uitgeeft aan eindgebruikers en computers (certificaatonderwerpen).
Key Attestation is het technische vermogen om aan een externe partij te bewijzen dat een encryptie-privésleutel is gegenereerd binnen een hardwarecryptografische module, zoals een Trusted Platform Module (TPM) of Hardware Security Module (HSM), en dat deze sleutel wordt beheerd binnen een hardwarecryptografische module, en niet kan worden geëxporteerd vanuit een hardwarecryptografische module.
Key Usage (KU) Definieert de basiseigenschappen waarvoor een certificaat zal worden gebruikt.
Lightweight Directory Access Protocol (LDAP) is een open, leveranciersonafhankelijk, industriestandaard toepassingsprotocol voor toegang tot en onderhoud van gedistribueerde directory-informatiediensten via een Internet Protocol (IP)-netwerk. Directory-diensten spelen een belangrijke rol bij de ontwikkeling van intranet- en internettoepassingen door het delen van informatie over gebruikers, systemen, netwerken, diensten en applicaties binnen het netwerk mogelijk te maken. Een LDAP wordt vaak gebruikt om S/MIME-certificaatgegevens van een gebruikersaccount op te slaan.
Multipurpose Internet Mail Extensions (MIME) is een internetstandaard waarmee de opmaak van e-mailberichten wordt uitgebreid met de ondersteuning van tekst in andere tekensets dan ASCII, en van bijlagen met audio, video, afbeeldingen en toepassingsprogramma’s.
Object Identifier (OID) Een wereldwijd unieke waarde die aan een object is gekoppeld om het ondubbelzinnig te identificeren, gebruikt in Abstract Syntax Notation (ASN.1)
Online Certificate Status Protocol (OCSP) Een onlineprotocol dat wordt gebruikt om de status van een openbaar sleutelcertificaat te bepalen.
Public Key Cryptography Standards (PKCS) Een reeks standaarden die het gebruik van standaard cryptografische technieken binnen PKI-programma’s beschrijven. Deze standaarden worden gedefinieerd en gepubliceerd door RSA Security LLC en omvatten technieken zoals PKCS 7, PKCS 10, PKCS 11 en PCKS 12, die onder andere de syntaxis en opmaak van berichten voor digitale certificaten en de opslag van privésleutels behandelen.
Public Key Infrastructure (PKI) Een set rollen, beleidsregels, hardware, software en procedures die nodig zijn om digitale certificaten te creëren, beheren, distribueren, gebruiken, opslaan en intrekken, en om encryptie met openbare sleutels te beheren. Het doel van een PKI is om de veilige elektronische overdracht van informatie te faciliteren voor diverse netwerkactiviteiten, zoals e-commerce, internetbankieren en vertrouwelijke e-mail. Het is vereist voor activiteiten waarbij eenvoudige wachtwoorden een ontoereikende authenticatiemethode zijn en er strengere bewijsstukken nodig zijn om de identiteit van de bij de communicatie betrokken partijen te bevestigen en de overgedragen informatie te valideren.
Registration Authority (RA) Een vertrouwde entiteit die de identiteit van een abonnee bij een CA vaststelt en hiervoor instaat. De RA kan een integraal onderdeel van een CA zijn, of onafhankelijk van een CA, maar heeft wel een relatie met de CA.
Rekeying Het wijzigen van de waarde van een cryptografische sleutel die wordt gebruikt in een cryptografische systeemtoepassing. Dit houdt normaal gesproken in dat er een nieuw certificaat voor de nieuwe openbare sleutel wordt uitgegeven.
Renewal De handeling of het proces van het verlengen van de geldigheid van de databinding die wordt bevestigd door een openbaar sleutelcertificaat, door een nieuw certificaat uit te geven.
Request for Comments (RFC) is een publicatie in een reeks van de belangrijkste technische ontwikkelings- en standaardisatie-instanties voor het internet, met name de Internet Engineering Task Force (IETF). Een RFC wordt opgesteld door individuen of groepen ingenieurs en computerwetenschappers in de vorm van een memorandum waarin methoden, gedragingen, onderzoek of innovaties worden beschreven die van toepassing zijn op de werking van het internet en met het internet verbonden systemen. PKI-gerelateerde RFC’s zijn 8399 en 5280.
Revocation De geldigheidsduur van een certificaat op een bepaalde datum en tijd voortijdig beëindigen.
Rivest–Shamir–Adleman cryptography (RSA) Is een cryptosysteem met openbare sleutel, een van de oudste, dat veel wordt gebruikt voor veilige gegevensoverdracht. De beveiliging van RSA berust op de praktische moeilijkheid om het product van twee grote priemgetallen te ontbinden.
Root Certificate Authority (Root) De CA bovenaan een PKI-hiërarchie die expliciet wordt vertrouwd door alle abonnees en vertrouwende partijen en waarvan de openbare sleutel dient als het meest vertrouwde gegeven (d.w.z. het begin van vertrouwenspaden) voor een beveiligingsdomein.
Secure Socket Layer (SSL) Een verouderd protocol dat dateert van vóór de TLS-standaard. Omdat door certificeringsinstanties uitgegeven eindpuntcertificaten vereist zijn om zowel SSL als TLS mogelijk te maken, worden X.509-certificaten vaak SSL-certificaten genoemd.
Secure/Multipurpose Internet Mail Extensions (S/MIME) is een standaard voor encryptie met openbare sleutels en ondertekening van MIME-gegevens. S/MIME volgt een IETF-standaardisatietraject en is gedefinieerd in een aantal documenten, met name RFC 8551.
Self-signed Certificate Een certificaat dat 1: zijn publieke sleutel gebruikt om zijn eigen handtekening te verifiëren; 2: de naam van het onderwerp identiek is aan de naam van de uitgever. In tegenstelling tot wat vaak wordt gedacht, zijn zelfondertekende certificaten niet voorbehouden aan private CA’s, maar zijn ze ook aanwezig bij publieke CA’s (d.w.z. de root).
Signing Certificate Een openbaar sleutelcertificaat dat een openbare sleutel bevat die bedoeld is voor het verifiëren van digitale handtekeningen in plaats van het versleutelen van gegevens of het uitvoeren van andere cryptografische functies.
Simple Certificate Enrollment Protocol (SCEP) is een protocol voor digitale certificaten dat ondersteuning biedt voor de distributie van openbare sleutels van certificeringsinstanties (CA) en registratie-instanties (RA), certificaatinschrijving, certificaatintrekking, certificaatquery’s en query’s naar certificaatintrekkingslijsten (CRL’s).
Subordinate Certification Authority Een CA waarvan de certificaathandtekeningsleutel is gecertificeerd door een andere CA en waarvan de activiteiten worden beperkt door die andere CA.
Symmetric Encryption Het gebruik van wiskundige permutaties om een ​​platte tekstbericht te versleutelen. Dezelfde sleutel wordt gebruikt om deze berichten te versleutelen en te ontsleutelen.
Transport Layer Security (TLS) is een cryptografisch protocol dat is ontworpen om de communicatie via een computernetwerk te beveiligen. TLS heeft het SSL-protocol vervangen.
Trusted Platform Module (TPM ) is een internationale standaard voor een veilige cryptoprocessor, een speciale microcontroller die is ontworpen om hardware te beveiligen via geïntegreerde cryptografische sleutels. TPM versie 2.0 is de huidige standaard, waardoor versie 1.0 overbodig is geworden.
X.509 is een standaard die het formaat van openbare sleutelcertificaten definieert. X.509-certificaten worden gebruikt in veel internetprotocollen, waaronder TLS/SSL, de basis voor HTTPS, het beveiligde protocol voor internetten. Ze worden ook gebruikt in offline toepassingen, zoals elektronische handtekeningen.

Although we were one of the first customers to choose the combined S/MIME Management and Automation Service from GlobalSign & KeyTalk and we had to overcome some initial hurdles, we got fantastic support from the KeyTalk team and the service is working perfectly now. I would absolutely recommend their S/MIME Management and Automation Service to any company that needs easy-to-use end-to-end secure email communication. — Matteo Snidero, Head of IT @ Finance in Motion