PKI

Tämä artikkeli käsittelee tietotekniikkaa. PKI voi tarkoittaa myös Indonesian kommunistista puoluetta (Partai Komunis Indonesia).

Public key infrastructure (PKI) (julkisen avaimen järjestelmä, julkisen avaimen infrastruktuuri, kuvaavammin julkisten avainten hallintajärjestelmä) on järjestely, joka vastaa julkisen avaimen salausjärjestelmien yhteen perushaasteeseen: miten luottaa vapaasti levitetyn julkisen avaimen aitouteen. PKI on terminä peräisin X.509-standardista (RFC 5280). PKI-järjestelmissä luotettu taho ("varmentaja", "takaaja") takaa digitaalisesti allekirjoittamalla julkisen avaimen oikeellisuuden tunnistetietoineen jolloin siitä tulee varmenne (certificate, sertifikaatti). Varmenteen julkista avainta voidaan käyttää luotettavasti esimerkiksi tunnistamiseen, salaukseen tai allekirjoittamiseen.

Käsitteitä

Varmennetta (engl. Certificate) verrataan usein henkilötodistukseen koska molemmat todistavat kohteen identiteettiä. Varmenne sisältää kuvaamansa kohteen (engl. Subject) julkisen avaimen ja sen varmentajan (engl. Certificate Authority, CA) allekirjoituksen kyseisestä kohteen julkisesta avaimesta. Varmenteessa ei ole mitään salaista, niiden kopioita säilytetään tietokoneen varmennevarastossa (engl. Certificate storage) tai esimerkiksi varmennehakemistossa josta niitä voi ladata niiden käytön yhteydessä. Varmenteen takauksella on voimassaoloaika alkamis- ja loppumispäivinä. Tyypillisesti varmenne voi olla voimassa jopa kymmenen vuotta tai vaikka vain muutaman kuukauden. Sen takauksen tarkastaminen voidaan suorittaa varmentajan julkisella avaimella (engl. CA Certificate).

Varmentaja (engl. Certificate Authority, CA) on taho, joka varmentamalla myöntää varmenteita. Varmentajan tehtävä on selvittää, onko varmenteen hakija todella se, joka väittää olevansa. Suomen valtion kansalaisvarmennehierarkian varmentajana toimii Digi- ja väestötietovirasto. Virasto on delegoinut varmenteita hakevien käyttäjien henkilöllisyyden todentamisen poliisille. Jos Suomessa asuva anoo henkilökorttia, hänen täytyy todentaa henkilöllisyytensä poliisiasemalla kortin noutovaiheessa. Valtiollisten varmentajien lisäksi maailmassa on useita kaupallisia varmentajia. Kaikkien käytettyjen varmentajien juuri- ja välivarmenteet on yleensä tallennettu tietokoneiden käyttöjärjestelmän varmennevarastoihin.

Varmennevarastossa säilytetään varmenteiden kopioita. Yleensä varmenteen pelkkä olemassaolo varmennevarastossa osoittaa luottamusta varmenteeseen, mutta joissakin varastoissa luottamuksen tason voi erikseen asettaa varmennekohtaisesti. Osa varmennekorttien ja niiden kortinlukijoiden tukiohjelmistoista (engl. Middleware) näyttävät korttien varmenteet varmennevarastossa. Riippuen käyttöjärjestelmästä, varmennevarasto voi olla käyttöjärjestelmä-, käyttäjä- tai ohjelmakohtainen. Käytetty ohjelma määrää, haetaanko varmentajan juuri- ja välivarmenteita näistä kaikista tai pelkästään yhdestä varastosta. Esimerkiksi web-selaimissa on aina oma varmentajien varmennevarasto ja ne eivät yleensä käytä muita varastoja, kun taas sähköpostiohjelma saattaa käyttää ainoastaan käyttöjärjestelmän ja verkon LDAP-hakemiston varastoja varmenteineen.

Sulkulista sisältää varmentajan allekirjoittaman listan hylätyistä varmenteista. Palvelun tuottajan tulisi päivittää kopiotaan sulkulistasta säännöllisesti ja tunnistuksen yhteydessä tarkistaa onko palvelun käyttäjä asetettu sulkulistalle ja tarvittaessa hylätä tunnistus.

Allekirjoitus tai "sähköinen allekirjoitus" on kryptograafinen allekirjoitus, jossa käsiteltävästä sisällöstä lasketaan tiiviste käyttäen avainparin salaista avainta. Allekirjoitus voidaan validoimalla yhdistää tiettyyn varmenteeseen, varmistua allekirjoituksen tekijästä ja ettei sisältöä ole muutettu.

PKI Suomessa

Suomen valtion PKI-varmennehierarkiaan liittyy LDAP-hakemisto josta varmenteen voi automaattisesti ladata sähköpostiohjelmaan ja salata viestin ennen lähetystä jos on käyttöoikeus hakemistoon. Hakemistossa on kaikkien henkilökorttien varmenteet, mukaan lukien sote-, organisaatio- ja kansalaisten henkilökorttien varmenteet.

Hakemisto oli ennen avoin kaikille koska kyse on julkisen avaimen hierarkiasta jossa julkisia avaimia on tarkoitus levittää mahdollisimman laajalle. Digi- ja väestötietovirasto sulki hakemiston 30.4.2025 vähäisellä käytöllä perustellen^[1]. Eri henkilöiden julkista avainta tarvitsee käytännössä vain kyseiselle henkilölle lähetettävän viestin salaamiseen. Valtion tekemät ohjelmat eivät osaa salata joten sen ainoa käyttötarkoitus oli sähköposti. Sähköpostiohjelmien käytön taas esti kansalaisvarmenteiden vaadittava sähköpostiosoite-hakukriteerin puute (mail-attribuutti) joka oli tarkoituksella rikottu hakemistosta sen 25 vuoden avoinna olon aikana.

Katso myös

eIDAS-asetus määrittelee PKI-järjestelmän oikeudellisen aseman EU-alueella
ElGamal
PGP on julkisen avaimen tekniikkaa ilman takaushierarkiaa
RSA

Lähteet

↑ dvv.fi - Varmennehakemisto Kansalaisvarmenteita ei enää julkaista varmennehakemistossa: Kansalaisvarmenteet poistetaan varmennehakemistosta 30.4.2025 lähtien. Jatkossa uusia kansalaisvarmenteita ei julkaista hakemistossa. Muutoksella ei ole vaikutusta DVV:n myöntämien varmenteiden toimivuuteen. Viitattu: 2025-05-02

Aiheesta muualla

Everything you Never Wanted to Know about PKI but were Forced to Find Out (PDF) (englanniksi)
PKI Considered Harmful (englanniksi)

[digivirasto-sulkuilmoitus-1] vv.fi - Varmennehakemisto Kansalaisvarmenteita ei enää julkaista varmennehakemistossa: Kansalaisvarmenteet poistetaan varmennehakemistosta 30.4.2025 lähtien. Jatkossa uusia kansalaisvarmenteita ei julkaista hakemistossa. Muutoksella ei ole vaikutusta DVV:n myöntämien varmenteiden toimivuuteen. Viitattu: 2025-05-02

[1]