公开金钥基础建设,又称公开金钥基础设施、公开金钥基础架构,简称公钥基础建设、公钥基础设施、公钥基础架构或PKI。 密码学上,公开金钥基础建设借着凭证管理中心(CA)将使用者的个人身分跟公开金钥链结在一起。对每个凭证中心使用者的身分必须是唯一的,可能在人为监督下,合并使用分散于各地的其他协同软件。对每个使用者,凭证中心发行的公开金钥凭证含有不可伪造的个人身分、公钥、有效条件与其他资料等。 可信赖的第三者(Trusted third party,TTP)也长被用来指凭证中心。PKI有时被错误地拿来代表公开金钥密码学或公开金钥算法。
信任网络 信任网络(Web of trust)是处理公钥如何跨越时间、空间提供公众认证的另类的方式,它使用自我签署的凭证和第三者证词。论及信任网络,并非暗指单一信任网络或共同信任点的存在,而可能是多个不同互连的信任网络。这类实作如PGP和GnuPG。因为PGP和其实作允许电子邮件数位签章使用于自我发行的公钥,这相对更容易实现个人的信任网络。 信任网络的其中一个优点是它可与被某群体完全信赖的公钥基础建设凭证中心协同。
简易公开金钥基础建设 另一个未处理公钥认证资讯的方案是简易公开金钥基础建设(Simple public key infrastructure,SPKI),它发展出三个独立的功用以免去X.509和PGP信任网络的复杂。简易公开金钥基础建设并不链结个人与金钥,正因金钥才是真正“说话”的角色。SPKI未使用任何信任的概念,正如验证方同时也是发行者。这被称为‘授权环’(authorization loop)。
历史
1976年Whitfield Diffie、Martin Hellman|Hellman、Ron Rivest、Adi Shamir和Leonard Adleman等人相继公布了安全金钥交换与非对称金钥算法后,整个通讯方式为之改变。随着高速电子数位通讯的发展,使用者对安全通讯的需求越来越强。 密码协定在这种诉求下逐渐发展,造就新的密码原型。全球因特网发明与扩散后,认证与安全通讯的需求也更加严苛。光商务理由便足以解释一切。时在网景(Netscape Communications Corporation )工作的Taher ElGamal等人发展出传输安全层(Transport Layer Security,SSL)协定,包含了金钥建立、服务器认证等。公开金钥基础建设的架构因此浮现。 厂商和企业家察觉了其后的广大市场,开始设立新公司并启动法律认知与保护。美国律师协会(American Bar Association)计划发行了一份对公开金钥基础建设操作的可预见法律观点的详尽分析,随后,多个美国州政府与其他国家的司法单位开始制定相关法规。消费者团体等则提出对隐私、存取、可靠性的质疑,也被列入司法的考虑中。 被制定的法规实有不同,将公开金钥基础建设的机制转换成商务操作有实际上的问题,远比许多先驱者所想的缓慢。 廿一世纪的前几年才慢慢发觉,密码工程没那么容易被设计与实践,某些存在的标准某方面甚至是不合宜的。 公开金钥基础建设的厂商发现了一个市场,但并非九零年代中期所预想的那个市场,这个市场发展得缓慢而且以不同的方式前进。公开金钥基础建设并未解决所期待的问题,某些厂商甚至退出市场。公开金钥基础建设最成功的地方是在政府部门,目前最大的公开金钥基础建设是美国防卫资讯系统局 (Defense Information Systems Agency,DISA)的共同存取卡(Common access Cards)方案。