البنية الأساسية للمفتاح العام
في فهم التعمية والتشفير البنية الأساسية للمفتاح العام بالإنگليزية: Public Key Infrastructure PKI: هي الترتيبات التي يتم بها ربط المفتاح العام مع المستخدم بواسطة مصدر الشهادة (Certificate Authority CA)، هوية المستخدم يجب حتى تكون نادرة لكل مصدر شهادة يتم ذلك عن طريق برمجيات خاصة في مصدر الشهادة، من الممكن ان تكون هذه البرمجيات تحت اشراف بشري، جنباً إلى جنب مع برمجيات مُنَسِقة في مواقع مختلفة ومتباعدة.
كل مستخدم لديه هوية مستخدم، مفتاح عام، ربط المفتاح بمستخدم معين، إثبات صحة المفتاح وصفات أخرى هي ما تجعل شهادة ملكية فك تشفير المفتاح العام (Public Key Certificate) الصادرة عن مصدر الشهادة غير قابلة للتزوير.
مصطلح الطرف الثالث الموثوق به يمكن حتى يستخدم للإشارة إلى مصدر الشهادة.
مصطلح البنية الأساسية للمفتاح العام (PKI) يستخدم بشكل خاطئ للإشارة إلى خوارزمية المفتاح العام (Public key Algorithm) التي لا تتطلب استخدام مصدر الشهادة(CA).
وظيفة الـ (PKI) والغرض منه
ترتيبات الـ PKI تمكن مسخدمي الحواسيب من استخدام معلومات المفتاح العام بشهادة فك تشفير المفتاح العام (Public Key Certificate) الخاص بهم لتشفير رسائل بعضهم البعض بدون اتصال مسبق فيما بينهم لكنهم يثقون ببعضهم.
بشكل عام البنية الأساسية للمفتاح العام (PKI) يتكون من برامج العملاء (Clients software)، برامج الخوادم (Servers Software)، والمكونات المادية الأخرى (مثل البطاقات الذكية)، العقود والضمانات القانونية، واجراءات تشغيلية.
شهادة فك تشفير المفتاح العام الخاصة بالمُوقَع (المُمضي) يمكن حتى تستخدم كطرف ثالث للتحقق من التوقيع الرقمي(Digital Signature) لرسالة معينة تم إنشاءها باستخدام المفتاح الخاص (Private Key) للمُسقط (للمُمضي)، بشكل عام الـ PKI تمكن الاطراف من الحصول على السرية ونزاهة الرسالة وتوثيق المستخدم دون الحاجة لتبادل معلومات سرية مسبقاً، أوحتى دون اجراء أي اتصال مسبق.
صحة البنية الأساسية للمفتاح العام بين الاطراف المتصلة محدودة بسبب المشاكل العملية مثل الغاء الشهادة (أوتوقيفها مؤقتاً)، شروط مصدر الشهادة (CA) لإصدار الشهادات واعتمادها وتغيير في الأنظمة والقوانين المتعلقة بالشهادات. هذه المشاكل قد تعتبر مهمة في البداية لكن مع تقدم الوقت وحدوث الاتصال (واستخدام قنوات اتصال مختلفة) تميل لتصبح قليلة الاهمية، ويكون لدى الاطراف الفرصة الثقة في ما يختص بهوياتهم ومفاتيحهم.
الاستخدام الأمثل للبنية الأساسية للمفتاح العام (PKI)
معظم الأنظمة المستخدمة للـ (PKI) تكون بحجم الشركات الكبرى حيث تعتمد هذه الأنظمة على سلسلة شهادات لإنشاء هويات للاطراف المتنوعة، مثل هذه الشهادات يتم إصدارها من قبل حاسوب مصدر الشهادة الذي انشئ لمثل هذه الأغراض بواسطة شهادة تم إصدارها في مستوى عالي من مصدر الشهادة (أعلى من مصدر الشهادات الأخرى) ،هذا ينتج هرمية للشهادات مؤلفة من عدة حواسيب على الأقل، غالباً أكثر من منظمة واحدة، بالإضافة لحزم متنوعة من البرمجيات من عدة مصادر.
المقاييس (Standards) بالنسبة للبنية الأساسية للمفتاح العام هي مهمة جداً وحرجة، توحيد هذه المقاييس (Standardization) هومهمة مجموعة العمل IETF PKIX.
أنظمة الـ (PKI) للشركات غالباً ما ترتبط بدليل الشركات (Directory) الذي فيه سجل لكل موظف الذيقد يكون محفوظاً (ومدرجاً بالشهادة) جنباً إلى جنب مع غيره من التفاصيل الشخصية (رقم الهاتف، البريد الإلكتروني، العنوان، مسقط، القسم وغيرها...). في هذا الوقت التكنولوجيا الرائدة للدليل (Directory) هي LDAP، النهج الأكثر شيوعاً هو(X.509) الذي يندرج من استعمال مرشد (X.500) مما أدى إلى ظهور الـ LDAP.
البدائل
مسقط موثوق به (Web of Trust):
يوجد نهج بديل لحل معضلة التصديق العام لمعلومات المفتاح العام هوالمواقع ذات الثقة، والتي تستخدم شهادات ذاتية التوقيع وشهادة طرف ثالث موثوق به على هذه الشهادات.
الحديث عن مواقع ذات ثقة لا يعني وجود مسقط ثقة واحد أونقطة ثقة مشهجرة، ولكن أي عدد محتمل من مواقع الثقة غير المشهجرة.
امثلة على تطبيق هذا النهج هو(Pretty Good Privacy PGP) و(openPGP)، والمتطلبات الموحدة من PGP. لان الـ PGP والتطبيقات السابقة تسمح باستخدام البريد الإلكتروني المسقط إلكترونياً للنشر الذاتي لمعلومات المفتاح العام، فهومن السهل نسبياً تطبيق مفهوم المسقط ذوالثقة لشخص معين.
إحدى ايجابيات المسقط (ذوالثقة) الموثوق به، على سبيل المثال في الـ PGP انه يستطيع حتى يعمل مع ((PKI CAوقد يكون موثوق من قِبل جميع الاطراف في المجال (تماماً مثل مصدر شهادة داخلية في شركة) وهوعلى استعداد لضمان الشهادات كمقدم موثوق به.
البنية البسيطة الأساسية للمفتاح العام (Simple Public Key Infrastructure SPKI): بديل آخر لنفس المشكلة، لا يتعامل مع التصديق العام لمعلومات المفتاح العام، ظهرت هذه البنية المبسطة من ثلاث جهود مستقلة للتغلب على تعقيدات الـ X.509 والمواقع ذات الثقة مثل حزمة الـ PGP. هذه البنية لا تربط المستخدمين بمفاتيحهم، المفتاح هوالرئيس والذي "يتحدث"، SPKI لا تستخدم أي مفهوم للثقة لان التحقق من صحة المفتاح هووظيفة المُصدر لهذا المفتاح، بمصطلحات الـ SPKI هذا يسمى (دوران السلطة Authority Loop)، وهذه السلطة لا تتجزأ ابداً عن تصميمها.
بالإضافة إلى ذلك، البنية الأساسية للمفتاح العام تدعم تشفير الرسائل والتواقيع الرقمية التي تعزز من امان المعاملات، في حين ان الخدمات الأساسية مثل تصديق الشهادات والغاءها، نسخ احتياطية من المفاتيح، تحديث متزامن لازواج من المفاتيح يقلل من العبأ الإداري لبنية الـ PKI بعض السمات مثل تاريخ تدقيق المفتاح، وجود ختم الوقت يؤيد من إدارة الامان والسيطرة عليه. البنية الأساسية للمفتاح العام تدعم شهادات (Cross-Certificates) هذا الأمر يعد أساسياً لإنشاء هوية من خلال تمكيين حدوث تكامل في الثقة بين الاطراف المتصلة.
البنية الأساسية للمفتاح العام توفر امان معزز، كثير من التطوير وسهولة الإدارة والمراقبة والسيطرة على البنية التحتية، كنتيجة لذلك البنية الأساسية للمفتاح العام تُمَكن مجتمع أكبر من المستخدمين والمستهلكين والشركات من الاتصال والتعامل بمرونة وديناميكية بشكل آمن يمكن الوثوق به، وفعالة من ناحية الكلفة، هذه البنية هي الاختيار المثالي لبيئة الشبكات المفتوحة.
استخدامات البنية الأساسية للمفتاح العام
هذه البنية بأنواعها المتنوعة لها عدة استخدامات :
- التشفير أوالتصديق على الرسائل والمرسلين (Open PGP).
- التصديق على التطبيقات.
- بروتوكولات للاتصال الامن.
