L’infrastruttura a chiave pubblica, comunemente abbreviata come PKI (Public Key Infrastructure), è un sistema che consente agli utenti di una rete pubblica intrinsecamente non sicura, come Internet, di scambiare dati e denaro in modo sicuro e privato. Questo è reso possibile attraverso l’uso di una coppia di chiavi crittografiche: una chiave pubblica e una chiave privata, ottenute e condivise tramite un’autorità di fiducia.
Componenti della PKI
- Chiavi crittografiche:
- Chiave pubblica: può essere distribuita liberamente e serve per cifrare i dati o verificare le firme digitali.
- Chiave privata: deve essere mantenuta segreta dal proprietario e serve per decifrare i dati cifrati con la chiave pubblica o per creare firme digitali.
- Certificati digitali:
- Un certificato digitale è un documento elettronico che associa una chiave pubblica a un’entità, come una persona o un’organizzazione, tramite la firma digitale di un’autorità di certificazione (CA).
- I certificati contengono informazioni sull’entità identificata, la chiave pubblica dell’entità, la firma digitale dell’autorità di certificazione e la validità temporale del certificato.
- Autorità di Certificazione (CA):
- Le CA sono entità fidate che emettono, rinnovano e revocano certificati digitali. La loro funzione principale è quella di garantire che la chiave pubblica presente nel certificato appartenga effettivamente all’entità identificata.
- Autorità di Registrazione (RA):
- Le RA sono responsabili della verifica dell’identità delle entità che richiedono un certificato prima che la CA possa emetterlo.
- Directory dei certificati:
- Le directory sono archivi pubblici dove i certificati digitali possono essere memorizzati e consultati. Questi archivi facilitano la distribuzione delle chiavi pubbliche e la verifica dei certificati.
- Lista di Revoca dei Certificati (CRL):
- La CRL è un elenco mantenuto dalla CA che contiene i certificati revocati prima della loro data di scadenza. Questo consente agli utenti di sapere quali certificati non sono più validi.
Funzionamento della PKI
- Emissione del Certificato:
- Un individuo o un’organizzazione richiede un certificato digitale a una CA. La richiesta viene verificata da una RA, che autentica l’identità del richiedente.
- Una volta verificata l’identità, la CA emette un certificato digitale contenente la chiave pubblica del richiedente e altre informazioni rilevanti.
- Distribuzione del Certificato:
- Il certificato digitale viene distribuito al richiedente, che può ora utilizzarlo per comunicare in modo sicuro.
- La chiave pubblica può essere distribuita liberamente, mentre la chiave privata deve essere mantenuta segreta.
- Verifica del Certificato:
- Quando si riceve un certificato digitale, è possibile verificarne l’autenticità controllando la firma digitale dell’autorità di certificazione.
- Se il certificato è valido, la chiave pubblica può essere utilizzata per cifrare i dati destinati al proprietario del certificato o per verificare le firme digitali create dal proprietario.
- Revoca del Certificato:
- Se un certificato deve essere revocato (ad esempio, perché la chiave privata è stata compromessa), la CA lo aggiunge alla lista di revoca dei certificati (CRL).
- Gli utenti possono consultare la CRL per verificare che il certificato non sia stato revocato prima di utilizzarlo.
L’infrastruttura a chiave pubblica è fondamentale per garantire la sicurezza delle comunicazioni su reti non sicure, come Internet, offrendo un meccanismo robusto per l’autenticazione, la riservatezza e l’integrità dei dati.