Введение
PKI (Public Key Infrastructure, инфраструктура открытых ключей) – это совокупность аппаратных и программных средств, политик, стандартов и процедур, которые позволяют создавать, управлять, выдавать, распределять, использовать, хранить и отзывать цифровые сертификаты на основе асимметричной криптографии. Главная задача PKI – дать ответ на вопрос: «Кому принадлежит этот открытый ключ?»
PKI используется повсюду, где требуется цифровая аутентификация: HTTPS-сайты, электронная подпись документов, корпоративные VPN, шифрование электронной почты S/MIME, аутентификация по смарт-картам, mTLS в микросервисах.
История и контекст
Концепция инфраструктуры открытых ключей сформировалась в 1990-х годах одновременно с распространением RSA и стандарта X.509 (ITU-T, 1988). Первые коммерческие CA (VeriSign, 1995) создали инфраструктуру доверия для веб-коммерции. В России система PKI регулируется Федеральным законом № 63-ФЗ «Об электронной подписи» (2011): аккредитованные Удостоверяющие центры выдают квалифицированные электронные подписи (КЭП), обязательные для юридически значимого электронного документооборота.
Как работает PKI
В основе PKI – иерархия доверия:
- Root CA (корневой удостоверяющий центр) – вершина иерархии, его самоподписанный сертификат предустановлен в операционных системах и браузерах. Root CA хранится офлайн для защиты от компрометации.
- Intermediate CA (промежуточный УЦ) – выдаёт сертификаты конечным пользователям и серверам. При компрометации отзывается, не затрагивая Root CA.
- End-entity certificate – сертификат сервера, пользователя или устройства, привязывающий открытый ключ к идентификатору.
Жизненный цикл сертификата: генерация ключевой пары → создание CSR (Certificate Signing Request) → верификация идентификатора в CA → подписание сертификата закрытым ключом CA → публикация → использование → отзыв при необходимости (CRL или OCSP). Проверка отзыва осуществляется через CRL (Certificate Revocation List) или онлайн-протокол OCSP.
Где применяется
- TLS/HTTPS – сертификаты серверов для шифрования веб-трафика.
- Электронная подпись (КЭП) – юридически значимая подпись документов по 63-ФЗ.
- Корпоративные смарт-карты и токены – аутентификация сотрудников в домене Windows.
- Шифрование email (S/MIME) – сквозное шифрование корпоративной почты.
- mTLS и Service Mesh – идентификация микросервисов.
- Государственные системы – СМЭВ, порталы госуслуг, ЕГРЮЛ.
Преимущества и ограничения
Преимущества: масштабируемая модель доверия без необходимости обмениваться ключами попарно, стандартизирована (X.509, RFC 5280), юридическая значимость КЭП. Ограничения: компрометация CA ставит под угрозу всю иерархию (инциденты DigiNotar 2011, Symantec 2017); управление жизненным циклом сертификатов трудоёмко без автоматизации; российские КЭП требуют аккредитованного УЦ и ГОСТ-алгоритмов.
Связь с другими понятиями
PKI является фундаментом для TLS, mTLS, СКЗИ и ГОСТ 34.10 (стандарта электронной подписи). КриптоПро – ведущий российский поставщик PKI-решений и СКЗИ для работы с КЭП. Аттестация информационных систем часто включает аудит PKI-инфраструктуры.
