8.6. Infrastruttura a chiave pubblica (PKI)

L'infrastruttura a chiave pubblica (PKI) è un'architettura di sicurezza introdotta per fornire un maggior livello di confidenza nello scambiarsi informazioni tramite una rete insicura. Fa uso del concetto di chiavi pubbliche e private per verificare l'identità del mittente (firma) e per assicurare la privacy (crittografia).

Nel prendere in considerazione una PKI ci si trova davanti a una serie di questioni:

Un'Autorità Certificatrice (CA) che possa creare e verificare certificati e che funzioni sotto una determinata gerarchia.
Una directory che contenga i certificati pubblici degli utenti.
Un database (?) per mantenere le Liste di Revoca dei Certificati (CRL).
Dispositivi che interoperino con la CA al fine di produrre smart card/memorie-USB/qualsiasi altra cosa in cui poter racchiudere i certificati con sicurezza.
Applicazioni che individuino i certificati, che possano usare quelle prodotte da una CA nell'ambito di una comunicazione cifrata e che controllino i certificati ricevuti rispetto ad una CRL (per l'autenticazione e le soluzioni Single Sign On).
Un'autorità che segni la data e quindi la scadenza, per la firma digitale dei documenti.
Una console dalla quale possa essere utilizzato tutto ciò (generazione dei certificati, controllo delle liste di revoca, etc...).

Debian GNU/Linux has software packages to help you with some of these PKI issues. They include OpenSSL (for certificate generation), OpenLDAP (as a directory to hold the certificates), gnupg and openswan (with X.509 standard support). However, as of the Woody release (Debian 3.0), Debian does not have any of the freely available Certificate Authorities such as pyCA, http://www.openca.org or the CA samples from OpenSSL. For more information read the http://ospkibook.sourceforge.net/.