Good

PKI (Public Key Infrastructure)

PKI (Public Key Infrastructure, інфраструктура відкритих ключів) — це набір ролей, політик, апаратних і програмних засобів для управління цифровими сертифікатами та криптографічними ключами.

Опис

PKI забезпечує технічну основу для перевірки ідентичності в цифровому середовищі. Замість того щоб довіряти просто IP-адресі чи імені хоста, PKI дозволяє перевірити справжність вузла через ланцюжок довіри — від кореневого центру сертифікації (Root CA) до кінцевого сертифіката.

Ключові компоненти інфраструктури:

Компонент Роль
Root CA Коренева точка довіри; видає сертифікати підлеглим CA
Intermediate CA Проміжний центр сертифікації; ізолює Root CA від щоденних операцій
End-entity certificate Сертифікат кінцевого суб'єкта: сервера, клієнта, пристрою
CRL / OCSP Списки відкликаних сертифікатів та онлайн-перевірка статусу

Кожен сертифікат підписується закритим ключем видавця. Довіра поширюється зверху вниз по ланцюжку: якщо ви довіряєте Root CA, ви автоматично довіряєте всьому, що він засвідчив.

З точки зору безпеки PKI вирішує три проблеми: автентифікацію (хто ти?), цілісність (дані не змінені?) та невідмовність (ти не можеш заперечити підпис). У військових тактичних мережах це критично: з'єднання між базовими станціями, BBU і системою управління повинні бути перевірені апаратно, не лише мережевою адресою.

Розгортання PKI вимагає чіткої операційної процедури: генерація Root CA в офлайн-середовищі, зберігання закритого ключа на апаратному носії (HSM або зашифрований USB), регулярне оновлення сертифікатів та процедура відкликання у разі компрометації вузла.

В контексті UMTC

У проекті UMTC PKI застосовується на кількох рівнях:

  • mTLS між сервісами — Caddy, FastAPI backend та Matrix Synapse використовують клієнтські сертифікати для взаємної автентифікації. Без дійсного сертифіката, підписаного внутрішнім CA, з'єднання відхиляється.
  • WireGuard peer identity — публічні ключі WireGuard фактично виконують роль сертифікатів; PKI надає формальну процедуру їх реєстрації та відкликання.
  • MAS OAuth — Matrix Authentication Service при видачі токенів спирається на TLS-сертифікати серверів, підписані довіреним CA.
  • Інфраструктурні вузли — eNB, BBU та сервери управління ідентифікуються через сертифікати, що дозволяє автоматизованим інструментам (Ansible) перевіряти справжність цілі перед застосуванням конфігурацій.
⚠️ Увага
Закритий ключ Root CA ніколи не повинен зберігатися на підключеному до мережі сервері. Компрометація Root CA вимагає перевипуску всіх сертифікатів інфраструктури.

Базові операції з OpenSSL

# Генерація Root CA (офлайн-середовище)
openssl req -x509 -newkey rsa:4096 \
  -keyout ca.key -out ca.crt \
  -days 3650 -nodes \
  -subj "/CN=UMTC Root CA/O=UMTC"

# Видача серверного сертифіката
openssl req -newkey rsa:2048 -keyout server.key -out server.csr -nodes \
  -subj "/CN=wiki.local/O=UMTC"
openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key \
  -CAcreateserial -out server.crt -days 365

Пов'язані терміни

  • x509 — стандарт формату сертифікатів, що використовується в PKI
  • mtls — mTLS використовує PKI для двосторонньої автентифікації
  • wireguard — VPN з власною моделлю управління ключами
  • ssh — SSH використовує пару ключів як спрощену альтернативу PKI

Посилання

Шлях: glossary/pki.md

UMTC Wiki © 2026 | Ukrainian Military Tactical Communications