Infrastruttura a chiave pubblica

In crittografia una infrastruttura a chiave pubblica, in inglese public key infrastructure (PKI), è un insieme di processi e mezzi tecnologici che consentono a terze parti fidate di verificare e/o farsi garanti dell'identità di un utente, oltre che di associare una chiave pubblica a un utente, normalmente per mezzo di software distribuito in modo coordinato su diversi sistemi. Le chiavi pubbliche tipicamente assumono la forma di certificati digitali.

Il termine PKI viene usato per indicare sia l' autorità di certificazione (Certification Authority, CA) e i relativi accordi, sia, in senso più esteso, l'uso di algoritmi crittografici a chiave pubblica nelle comunicazioni elettroniche. L'uso del termine nell'ultimo senso è errato in quanto una PKI non necessariamente richiede l'uso di algoritmi a chiave pubblica. La struttura della PKI non riguarda solo la CA, ma anche:

  • la Registration Authority, attraverso la quale gli utenti si rivolgono per richiedere la certificazione delle chiavi, identificandosi e fornendo almeno la chiave pubblica e l'indirizzo e-mail.
  • il Certificate Server ovvero un servizio di directory accessibile mediante un “operational protocol”, tipicamente LDAP; esso è principalmente una lista di pubblicazione dei certificati e delle liste di certificati revocati e sospesi.

Scopo e funzione

Gli accordi alla base di una PKI consentono agli utenti di essere mutuamente autenticati e identificati e di utilizzare le informazioni contenute nei rispettivi certificati per cifrare e decifrare i messaggi in transito. In generale una PKI consiste di software client, software server (es. un'autorità di certificazione), hardware (es. smart card) e procedure operative. Un utente potrebbe firmare i propri messaggi con la sua chiave privata, e un altro utente controllare questa firma usando la chiave pubblica contenuta nel certificato del mittente, fornito dall'autorità di certificazione facente parte della PKI. Questo consente a due (o più) parti desiderose di comunicare di verificare la confidenzialità, l' integrità dei messaggi e l'autenticazione degli utenti senza il bisogno di un precedente scambio di informazioni segrete.

En otros idiomas