מה זה PKI

מה זה PKI? המדריך המלא לתשתית מפתחות ציבוריים והזדהות מאובטחת

/ב /על ידי
דף הבית » מה זה PKI? המדריך המלא לתשתית מפתחות ציבוריים והזדהות מאובטחת

מאחורי כל אתר בנקאות, מערכת ממשלתית או חתימה דיגיטלית מאושרת פועלת תשתית טכנולוגית שמוודאת את זהות הצדדים ושומרת על שלמות המידע. התשתית נקראת PKI, והיא הפכה לבסיס של אבטחת המידע המודרנית, מאתרי מסחר אלקטרוני ועד מערכות לאומיות לחתימה דיגיטלית. בעוד שמשתמש הקצה רואה רק את סמל המנעול בדפדפן או את אישור החתימה במסמך, מאחורי הקלעים מתרחש תהליך מורכב של הצפנה, אימות ותעודות המוודאות שהכל אמיתי. במדריך זה נסביר מה זה PKI, מאילו רכיבים התשתית בנויה, איך היא עובדת בפועל ובאילו מערכות אנחנו פוגשים אותה ביום-יום.

מה זה PKI ולמה הוא הפך לתשתית האבטחה המרכזית של האינטרנט

PKI הוא קיצור של Public Key Infrastructure, ובעברית מקובל המונח "תשתית מפתחות ציבוריים". מדובר במסגרת שמשלבת חומרה, תוכנה, נהלים ותעודות דיגיטליות, ומטרתה לאפשר חילופי מידע מאובטחים בין צדדים שלא הכירו מראש. כשמישהו שולח מייל מוצפן, מתחבר לאתר בנק או חותם דיגיטלית על חוזה, התהליך נשען על העקרונות של התשתית הזו. השאלה מה זה PKI עולה לעיתים קרובות אצל מנהלי IT, אנשי אבטחת מידע ועורכי דין שעובדים עם חתימות דיגיטליות. המודל הזה התפתח משנות ה-70 של המאה הקודמת, עם הצגת הקריפטוגרפיה הא-סימטרית, והפך בהדרגה לסטנדרט הבינלאומי לאבטחת תקשורת דיגיטלית.

מה זה תשתית PKI ומאילו רכיבים היא בנויה

מי שמבקש להבין מה זה תשתית PKI צריך להכיר את חמשת הרכיבים המרכזיים. הראשון הוא הגורם המאשר (Certificate Authority, או CA), שמנפיק את התעודות הדיגיטליות וערב לזהות בעליהן. השני הוא רשות הרישום (Registration Authority, או RA), שמבצעת את הזיהוי בפועל לפני שהבקשה עוברת ל-CA להנפקה. השלישי הוא התעודה הדיגיטלית עצמה, שמכילה את המפתח הציבורי ופרטים מזהים של הבעלים. הרביעי הוא מאגר התעודות, שמאפשר לאמת תעודות ולבדוק שהן בתוקף. החמישי הוא רשימת הביטולים (CRL), ששומרת תעודות שבוטלו לפני תום תוקפן. כל הרכיבים פועלים יחד כדי לייצר רשת אמון שאפשר להישען עליה במגוון רחב של תרחישים.

איך עובד PKI בתהליך ההצפנה והחתימה הדיגיטלית

כדי להסביר איך עובד PKI, נתחיל מהקריפטוגרפיה הא-סימטרית שעומדת בבסיסו. כל משתמש מקבל זוג מפתחות מתמטיים: מפתח פרטי שנשמר בסוד, ומפתח ציבורי שמופץ בחופשיות. זוג המפתחות מאפשר ביצוע פעולות הצפנה, פענוח, חתימה ואימות באופן שבו רק בעל המפתח המתאים יכול להשלים את התהליך. כשמשתמש חותם על מסמך, התוכנה מייצרת תקציר מתמטי שלו (Hash) ומצפינה אותו עם המפתח הפרטי. כדי לאמת את החתימה, הצד המקבל משתמש במפתח הציבורי של החותם, מפענח את התקציר ומשווה אותו לתקציר שמחושב מהמסמך. אם הם זהים, החתימה נחשבת לאותנטית והמסמך לא שונה לאחר החתימה. לגבי הצפנה, כשרוצים לשלוח מידע סודי, מצפינים אותו עם המפתח הציבורי של הנמען, וכך רק מי שמחזיק במפתח הפרטי המתאים יוכל לקרוא אותו.

PKI authentication איך זה עובד בהזדהות מול שרתים ויישומים

הזדהות באמצעות תעודה דיגיטלית היא אחד השימושים הנפוצים בתשתית, וכשאנחנו שואלים PKI authentication איך זה עובד, אנחנו מתייחסים לתהליך שבו השרת מוודא שהמשתמש הוא אכן מי שהוא טוען להיות. בניגוד לסיסמה, שאפשר לגנוב או לנחש, הזדהות באמצעות תעודה מבוססת על הוכחה מתמטית. השרת שולח מחרוזת אקראית, המשתמש חותם עליה עם המפתח הפרטי שמאוחסן בכרטיס חכם או בטוקן, והשרת מאמת את החתימה באמצעות המפתח הציבורי שבתעודה. כך השרת יודע ברמת ביטחון גבוהה שהמשתמש מחזיק במפתח הפרטי, בלי שהמפתח עצמו עזב את הכרטיס. PKI authentication איך זה עובד היא שאלה מרכזית במערכות ממשלתיות בישראל, שבהן הזדהות באמצעות כרטיס חכם של גורם מאשר נדרשת לעבודה במערכות כמו שע"מ, מרכב"ה וביטוח לאומי.

מה זה תשתית PKI ציבורית מול תשתית פרטית בארגון

תשתיות PKI מתחלקות בגדול לשני סוגים, וההבחנה ביניהם משמעותית בבחירת פתרון. תשתית ציבורית נשענת על גורמים מאשרים שמוכרים בעולם, וכל תעודה שהם מנפיקים מוכרת אוטומטית בדפדפנים, במערכות הפעלה ובאפליקציות גדולות. כשאנחנו שואלים מה זה תשתית PKI ציבורית, התשובה היא אקוסיסטם בינלאומי של רשויות אמון מוכרות, שביניהן Comsign בישראל. תשתית פרטית, לעומת זאת, מוקמת בתוך ארגון לשימוש פנימי, עם CA ארגוני שמנפיק תעודות לעובדים, לציוד ולשירותים בתוך החברה. גם כאן, מה זה תשתית PKI נשאר זהה ברמת העיקרון, אבל תחום האמון מצומצם לארגון עצמו. ארגונים גדולים בוחרים לעיתים בשילוב של שני הסוגים: PKI פרטי לתשתית הפנימית, ותעודות מ-CA ציבורי לתקשורת עם ספקים ולקוחות חיצוניים.

איך עובד PKI יחד עם תעודות SSL וחתימה דיגיטלית מאושרת

השימוש המוכר ביותר של PKI הוא בתעודות SSL/TLS שמגנות על אתרי האינטרנט. כשמשתמש מתחבר לאתר עם https, מתבצע תהליך שנקרא TLS Handshake שבו הדפדפן מקבל את התעודה של האתר, מאמת אותה מול ה-CA שהנפיק אותה ומקים ערוץ מוצפן. ההסבר איך עובד PKI במקרה הזה מתחיל מכך שהדפדפן בודק שהתעודה חתומה על ידי CA מוכר, שהיא בתוקף ושייכת לדומיין הנכון. בחתימה דיגיטלית מאושרת התהליך דומה אבל המטרה שונה: במקום להגן על תקשורת, התעודה מאשרת את זהות החותם על המסמך. בישראל, חתימה דיגיטלית מאושרת לפי חוק חתימה אלקטרונית התשס"א-2001 נשענת על תעודה מגורם מאשר שעבר רגולציה של משרד המשפטים. כשמסבירים איך עובד PKI בהקשר של חתימה דיגיטלית, מדגישים שלושה רכיבים שמלווים אותה: זהות החותם, חותמת זמן וקישור מתמטי שמונע שינוי במסמך לאחר החתימה.

PKI authentication איך זה עובד בארגונים גדולים ובמערכות ממשלתיות

בארגונים גדולים, השאלה PKI authentication איך זה עובד נוגעת לאתגרים של הזדהות בקנה מידה רחב. עובדים, ספקים ושותפים זקוקים לגישה למערכות שונות, ולעיתים גם המכשירים עצמם (לפטופים, סלולריים, שרתים) צריכים להזדהות מול שירותי הארגון. במצב כזה, ה-PKI הופך לעמוד התווך של מדיניות הזהויות. הגורם המאשר הארגוני מנפיק תעודות לכל ישות, ומערכת ניהול כמו CCMS מאפשרת לנהל את מחזור החיים של התעודות: הנפקה, חידוש, ביטול ודיווח. כשבוחנים PKI authentication איך זה עובד בקנה מידה ממשלתי, רואים שהמדינה השקיעה בכך שמערכות כמו ממשל זמין, שע"מ, מרכב"ה ושער עולמי יזהו אזרחים ועסקים באמצעות תעודה מגורם מאשר מורשה. רמת הביטחון הזו מאפשרת ביצוע פעולות כספיות ומשפטיות מקוונות, מהגשת דוחות שנתיים ועד בקשות תמיכה ממשלתיות.

PKI כעמוד התווך של אבטחה דיגיטלית

PKI היא תשתית טכנולוגית ורגולטורית שמשלבת מפתחות הצפנה, תעודות דיגיטליות וגורמי אמון, ויוצרת סביבה שבה אפשר לזהות צדדים, לחתום על מסמכים ולהצפין מידע ברמת אבטחה גבוהה. ב-Comsign, שנמנית עם הגורמים המאשרים המובילים בישראל, פועלת תשתית PKI שמאפשרת ללקוחות לקבל תעודות אישיות, תעודות SSL לאתרים ופתרונות ארגוניים מקיפים. מוזמנים לפנות לבירור פרטים ולקבל ייעוץ אישי לגבי הפתרון שמתאים לכם.

שאלות נפוצות

מה זה PKI ולמה אנחנו פוגשים אותו כל יום?

PKI היא תשתית טכנולוגית שמאפשרת הזדהות, הצפנה וחתימה דיגיטלית באמצעות מפתחות ציבוריים ופרטיים. אנחנו פוגשים אותה כשמתחברים לאתר עם https, שולחים מייל חתום או מזדהים במערכת ממשלתית. בלי תשתית כזו היה קשה לקיים מסחר אלקטרוני ותקשורת דיגיטלית מאובטחת בקנה מידה רחב.

איך עובד PKI כשמדובר באתרי בנקאות מקוונים?

כשנכנסים לאתר בנק, הדפדפן מקבל מהשרת תעודה דיגיטלית חתומה על ידי גורם מאשר מוכר. הדפדפן מאמת שהתעודה בתוקף, שייכת לבנק האמיתי וחתומה על ידי CA אמין. לאחר האימות, מוקם ערוץ מוצפן שמאפשר העברה בטוחה של פרטי התחברות ופעולות פיננסיות. כל זה מתרחש בשניות בודדות, בלי שהמשתמש יראה את התהליך הטכני.

PKI authentication איך זה עובד מול מערכות ממשלתיות בישראל?

ההזדהות מול מערכות ממשלתיות מתבצעת לרוב באמצעות כרטיס חכם או טוקן שמכיל תעודה מגורם מאשר מאושר. המשתמש מחבר את הכרטיס למחשב, מקליד סיסמת PIN, והמערכת מאמתת את החתימה מול המפתח הציבורי שבתעודה. כך מתאפשרת גישה למערכות כמו שע"מ, מרכב"ה ושער עולמי בלי צורך בסיסמאות חוזרות לכל מערכת בנפרד.

מה זה תשתית PKI בהקשר של חתימה דיגיטלית מאושרת?

בהקשר של חתימה דיגיטלית מאושרת לפי חוק חתימה אלקטרונית, תשתית PKI היא הבסיס שמאפשר לגורם מאשר להנפיק תעודה ייחודית לחותם. התעודה מקשרת בין זהות החותם למפתח הפרטי שלו, ועל בסיסה נוצרת חתימה שמכילה גם חותמת זמן ומנגנון הגנה מפני שינויים. החתימה הזו נחשבת לבעלת קבילות משפטית גבוהה בהליכים שונים.

האם תשתית PKI מתאימה גם לעסקים קטנים ועצמאיים?

בהחלט. בעלי מקצוע חופשי כמו עורכי דין, רואי חשבון, יועצי מס, רופאים ואדריכלים נעזרים בתעודות מ-PKI ציבורי כדי לחתום על מסמכים מקצועיים, להגיש דוחות ולעבוד מול מערכות ממשלתיות. גורמים מאשרים כמו Comsign מציעים פתרונות שמותאמים גם ליחידים ועצמאיים, ולא רק לתאגידים גדולים.