Infrastruktur Kunci Umum
Kriptografi kunci publik (juga disebut kriptografi kunci asimetris) menggunakan pasangan kunci untuk mengenkripsi dan mendekripsi konten. Pasangan kunci terdiri dari satu kunci publik dan satu kunci privat yang terkait secara matematis. Seseorang yang berniat untuk berkomunikasi dengan aman dengan orang lain dapat mendistribusikan kunci umum tetapi harus menjaga rahasia kunci privat . Konten yang dienkripsi dengan menggunakan salah satu kunci dapat didekripsi dengan menggunakan yang lain. Misalnya, Bob ingin mengirim pesan email aman ke Alice. Ini dapat dicapai dengan cara berikut:
- Baik Bob dan Alice memiliki pasangan kunci mereka sendiri. Mereka telah menyimpan kunci pribadi mereka dengan aman ke diri mereka sendiri dan telah mengirim kunci publik mereka langsung satu sama lain.
- Bob menggunakan kunci umum Alice untuk mengenkripsi pesan dan mengirimkannya kepadanya.
- Alice menggunakan kunci pribadinya untuk mendekripsi pesan.
Contoh yang disederhanakan ini menyoroti setidaknya satu kekhawatiran yang jelas yang harus dimiliki Bob tentang kunci umum yang digunakannya untuk mengenkripsi pesan. Artinya, dia tidak bisa tahu dengan pasti bahwa kunci yang dia gunakan untuk enkripsi sebenarnya milik Alice. Ada kemungkinan bahwa pihak lain yang memantau saluran komunikasi antara Bob dan Alice menggantikan kunci yang berbeda.
Konsep infrastruktur kunci publik telah berevolusi untuk membantu mengatasi masalah ini dan lainnya. Infrastruktur kunci publik (PKI) terdiri dari elemen perangkat lunak dan perangkat keras yang dapat digunakan pihak ketiga tepercaya untuk menetapkan integritas dan kepemilikan kunci publik. Pihak tepercaya, yang disebut otoritas sertifikasi (CA), biasanya menyelesaikan ini dengan mengeluarkan sertifikat biner yang ditandatangani (terenkripsi) yang menandaskan identitas subjek sertifikat dan mengikat identitas tersebut ke kunci publik yang terkandung dalam sertifikat. CA menandatangani sertifikat dengan menggunakan kunci privatnya. Ini mengeluarkan kunci umum yang sesuai untuk semua pihak yang berkeminat dalam sertifikat CA yang ditandatangani sendiri. Saat CA digunakan, contoh sebelumnya dapat dimodifikasi dengan cara berikut:
- Asumsikan bahwa CA telah mengeluarkan sertifikat digital yang ditandatangani yang berisi kunci umumnya. CA menandatangani sendiri sertifikat ini dengan menggunakan kunci privat yang sesuai dengan kunci umum dalam sertifikat.
- Alice dan Bob setuju untuk menggunakan CA untuk memverifikasi identitas mereka.
- Alice meminta sertifikat kunci publik dari CA.
- CA memverifikasi identitasnya, menghitung hash konten yang akan membentuk sertifikatnya, menandatangani hash dengan menggunakan kunci privat yang sesuai dengan kunci umum dalam sertifikat CA yang diterbitkan, membuat sertifikat baru dengan menggabungkan konten sertifikat dan hash yang ditandatangani, dan membuat sertifikat baru tersedia untuk umum.
- Bob mengambil sertifikat, mendekripsi hash yang ditandatangani dengan menggunakan kunci umum CA, menghitung hash baru dari konten sertifikat, dan membandingkan dua hash. Jika hash cocok, tanda tangan diverifikasi dan Bob dapat mengasumsikan bahwa kunci umum dalam sertifikat memang milik Alice.
- Bob menggunakan kunci publik terverifikasi Alice untuk mengenkripsi pesan kepadanya.
- Alice menggunakan kunci pribadinya untuk mendekripsi pesan dari Bob.
Singkatnya, proses penandatanganan sertifikat memungkinkan Bob untuk memverifikasi bahwa kunci umum tidak diubah atau rusak selama transit. Sebelum menerbitkan sertifikat, CA hash konten, menandatangani (mengenkripsi) hash dengan menggunakan kunci privatnya sendiri, dan menyertakan hash terenkripsi dalam sertifikat yang diterbitkan. Bob memverifikasi konten sertifikat dengan mendekripsi hash dengan kunci umum CA, melakukan hash terpisah dari konten sertifikat, dan membandingkan dua hash. Jika cocok, Bob dapat cukup yakin bahwa sertifikat dan kunci publik yang dikandungnya belum diubah.
PKI khas terdiri dari elemen-elemen berikut.
| Elemen | Deskripsi |
|---|---|
| Otoritas Sertifikasi |
Bertindak sebagai akar kepercayaan dalam infrastruktur kunci publik dan menyediakan layanan yang mengautentikasi identitas individu, komputer, dan entitas lain dalam jaringan. |
| Otoritas Pendaftaran |
Disertifikasi oleh OS akar untuk menerbitkan sertifikat untuk penggunaan tertentu yang diizinkan oleh akar. Dalam Microsoft PKI, otoritas pendaftaran (RA) biasanya disebut OS subordinat. |
| Database Sertifikat |
Menyimpan permintaan sertifikat dan sertifikat yang diterbitkan dan dicabut serta permintaan sertifikat pada CA atau RA. |
| Penyimpanan Sertifikat |
Menyimpan sertifikat yang dikeluarkan dan permintaan sertifikat yang tertunda atau ditolak di komputer lokal. |
| Server Arsip Kunci |
Menyimpan kunci privat terenkripsi dalam database sertifikat untuk pemulihan setelah kehilangan. |
API Pendaftaran Sertifikat memungkinkan Anda mengirimkan sertifikat dan permintaan pengarsipan kunci ke otoritas sertifikasi dan pendaftaran dan menginstal sertifikat yang dikeluarkan di komputer lokal. Ini tidak memungkinkan Anda untuk langsung memanipulasi database sertifikat atau penyimpanan sertifikat.
Topik berikut membahas infrastruktur kunci publik Microsoft secara lebih rinci:
Topik terkait
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk