Offentlig nøkkelkryptering og -infrastruktur

Owned by Andreas Martin Saxegaard (Unlicensed)
Last updated: Apr 16, 2024 by Øyvind Bech
2 min read

Offentlig nøkkelkryptering (Public Key Cryptography - PKC)

Public Key kryptografi er en mekanisme som både kan brukes til autentisering og kryptering. Konseptet bygger på opprettelsen av et nøkkelpar som består av en privat nøkkel og en offentlig nøkkel. Den offentlige nøkkelen er kjent, og kan brukes av alle som har tilgang til den. Den private nøkkelen er hemmelig, og skal kun være kjent av den som eier den.

Public Key kryptografi kalles også gjerne assymetrisk kryptografi. Begrepet assymetrisk kryptografi peker på at det eksisterer to krypteringsnøkler i motsetning til tradisjonell symmetrisk kryptografi hvor krypteringsnøkkelen både må være kjent av mottaker og avsender.

I Public Key kryptografi skiller vi mellom to bruksscenarioer:

1. Autentisering (digitale signaturer)

En melding signeres med avsenders private nøkkel, hvorpå mottaker kan validere signaturen med avsenders offentlige nøkkel. Innholdet i signerte meldinger kan leses av alle, men det er mulig å autentisere avsenderens identitet dersom man har avsenders offentlige nøkkel.

Digitale signaturer sikrer også meldingens integritet. Med det mener vi at man kan være sikre på at meldingens innhold ikke er endret etter at avsender sendte den. Signaturen er nemlig bundet til innholdet.

2. Kryptering og dekryptering

Kryptering av meldinger foregår ved at avsender bruker mottakers offentlige nøkkel for å kryptere innholdet. Meldingen kan kun dekrypteres ved å bruke den private nøkkelen i nøkkel-paret.

Asymmetriske krypteringsalgoritmer

Public Key kryptografi kan i praksis utføres med flere forskjellige teknikker. De mest kjente er RSA og Elliptic Curve (ECC). Disse teknikkene er implementert i krypto-bibliotek som er tilgjengelige for de fleste plattformer.

Offentlig nøkkelinfrastruktur (Public Key Infrastructure - PKI)

Offentlig nøkkelinfrastruktur (PKI) er et rammeverk for en sikker metode for å knytte personlige eller andre identiteter til offentlige krypteringsnøkler ved at de lagres hos en tiltrodd tredjepart i digitale sertifikater.

I PKI er administrasjon, utsendelse og bruk av digitale sertifikater strengt regulert, og dermed kan slike sertifikater brukes til å identifisere en person for å få adgang til beskyttet informasjon, samt for å signere digitale dokumenter.

PKI betraktes ofte som en forutsetning for sikre digitale signaturer og digital identitet. Et typisk system basert på PKI fordrer at sertifikatet som brukes ligger i et eget smartkort eller mobilapplikasjon (noe brukeren har), som igjen beskyttes av innloggingsopplysninger (noe brukeren vet).

HelseID tilbyr ikke en egen PKI-løsning, men integrerer med de kommersielle identitetstilbyderene BankID, Buypass og Commfides, som alle tilbyr brukerautentisering på høyeste sikkerhetsnivå basert på PKI.

Digitale Sertifikater

Et digitalt sertifikat består av en offentlig del og en privat del. Den offentlige delen av sertifikatet er en fil som vanligvis består av meta-informasjon, samt den offentlige nøkkelen av et nøkkelpar.

Et sertifikat er som regel signert av utsteder (CA). Signaturen gjør at man kan validere selve sertifikatet og dets innhold ved å bruke utsteders offentlige nøkkel.

Sertifikater formateres på forskjellige måter. Noen sertifikatformat  inneholder også en kryptert versjon av den private nøkkelen.

CA (Certificate Authority)

Digitale sertifikater utstedes av en CA, men en CA kan også tilhøre et hierarki av CAer hvor man øverst i hierarkiet har en CA med det som kalles et rot-sertifikat. Rot-sertifikatet er ikke signert av noen andre.

Når du skal validere signaturen i en melding kan du velge å stole på et sertifikat høyt oppe i kjeden.

Sertifikater har en gyldighetsdato, men kan også revokeres av en CA. Utstederen kan publisere lister med revokerte sertifikater som er trukket tilbake, men den kan også tilby et tjenestegrensesnitt hvor mottakere av signerte eller krypterte meldinger kan gjøre spørringer for å sjekke sertifikatets gyldighet.