Meteen naar de inhoud

webinar: Meld je aan voor ons aankomende webinar.

Aanmelden

  1. Blogs
    2. Case Study

Hoe Encryption Consulting de SPDM-vereiste van een Fortune 100-organisatie oploste met PKI-gebaseerde authenticatie

Posted byAditi Doel 08 Minuten
pki-implementatie
Inhoudsopgave

Bedrijfsoverzicht

We hebben onlangs een van de meest uitgebreide en technisch intensieve projecten afgerond Publieke Sleutel Infrastructuur (PKI) implementaties voor een wereldwijde Fortune 100 Hardware IoT Enterprise. Deze organisatie, met meer dan 25 jaar ervaring in de branche, is een pionier op het gebied van hardware-innovatie, productie en veilig apparaatbeheer. Hun productportfolio omvat een breed scala aan geavanceerde technologieën, waaronder ocSSD (on-chip Solid-State Drives), hoge prestaties RAM-modules, CoRIM (Concise Reference Integrity Manifest) oplossingen, en SBOM Integratie van softwarestuklijsten (Software Bill of Materials) voor geavanceerde traceerbaarheid en naleving van producten.

In de loop der jaren zijn ze uitgegroeid tot een echte vertrouwde naam in de hardwarebranche, bekend om hun betrouwbaarheid, innovatie en kwaliteit. En zoals u zich kunt voorstellen, brengt zo'n sterke reputatie de behoefte met zich mee aan een krachtige, veilige en toekomstbestendige PKI-configuratie.

Het bedrijf nam contact met ons op omdat we op zoek waren naar een op maat gemaakte, on-premises PKI-implementatie die niet zomaar kant-en-klaar was, maar zorgvuldig was ontworpen om te voldoen aan hun unieke technische vereisten. Hierbij vielen we onder andere op de SPDM-specificaties die zijn ontwikkeld door de DMTF (Distributed Management Task Force). Deze definieert protocollen en datamodellen voor veilige communicatie en attestatie tussen hardware- en softwarecomponenten voor apparaatbeheer en ondersteunt hun kortetermijn- en langetermijndoelen.

Voorwaarden

  1. Certificaten die nooit verlopen:
    De organisatie had een apparaat nodig certificaten zonder vervaldatum, aangezien ze permanent in hardwarecomponenten zouden worden geïntegreerd. De certificaten zijn ontworpen met een geldigheidsduur tot 31-12-9999, passend bij de lange operationele levensduur van de apparaten. Om naleving te garanderen, hebben we de implementatie afgestemd op de OCP-, DICE X.509- en IEEE 802.1AR-normen voor gefabriceerde apparaten met een onbeperkte levensduur.
  2. Post-kwantum gereedheid:
    Met de NIST De overgang naar post-kwantumcryptografie (PQC) wordt rond 2030 verwacht, de organisatie heeft hun PKI-infrastructuur toekomstbestendig te zijn. Vanaf het begin wilden ze een systeem dat post-kwantumalgoritmen kon ondersteunen en zo cryptografische veerkracht op lange termijn kon garanderen. Omdat PQC nog steeds een opkomend gebied is, wilden ze ook leveranciersneutraal blijven en de flexibiliteit behouden om nieuwe standaarden en algoritmen te implementeren naarmate deze zich ontwikkelen.
  3. Herstel en veerkracht na rampen:
    Gezien de kritieke aard van apparaatcertificaten is de PKI vanaf dag één ontworpen met ingebouwde mogelijkheden voor noodherstel. De architectuur omvatte zowel hot- als cold-standbyomgevingen om continuïteit, veerkracht en minimale downtime te garanderen in geval van systeemstoringen.
  4. Beleid voor het uitgeven van certificaten:
    De organisatie had zeer specifieke en unieke vereisten voor de uitgifte en het beheer van certificaten. Deze vereisten omvatten:
    • Beperking van het aantal certificaten dat één enkele operator kan ondertekenen.
    • Het opleggen van beperkingen voor de padlengte, zodat certificeringsinstanties (CA's) geen handtekeningen van andere CA's kunnen plaatsen en kruiscertificering dus onmogelijk wordt gemaakt.
    • Gebruik van aangepaste SAN-indelingen (Subject Alternative Name) en beheer van variabele veldgegevens.
    • Certificaatprofielen definiëren die duidelijk vermelden welke soorten certificaten kunnen worden uitgegeven voor verschillende apparaattypen of use cases.
    • Certificaatbeleid moet worden vastgelegd en juridisch worden beoordeeld in het document Certificaatbeleid en Certificaatpraktijkverklaring.
  5. Beveiliging van privésleutels met HSM-integratie:
    De organisatie heeft het belang van de beveiliging van privésleutels erkend en heeft daarom de volgende maatregelen opgelegd: Hardwarebeveiligingsmodule (HSM) Integratie op elk niveau van de PKI. Alle root- en sub-CA's, evenals ondertekeningssleutels, moesten binnen HSM's worden beveiligd. De HSM's moesten voldoen aan FIPS 140-3. De organisatie had een HSM-architectuur nodig die gedeelde configuraties met hoge beschikbaarheid ondersteunde zonder een aparte HSM voor elke CA of sleutel te implementeren.
  6. Schaalbaarheidsvereisten:
    Schaalbaarheid was een belangrijke factor voor de organisatie. Omdat certificaten tijdens het productieproces van het apparaat zouden worden geïntegreerd, moest het PKI-systeem een ​​hoge doorvoersnelheid aankunnen en tijdens piekmomenten minstens 70 apparaten per minuut ondersteunen. Gedurende een jaar zou het systeem ongeveer 50,000 apparaten moeten verwerken, met behoud van prestaties en betrouwbaarheid.
  7. Agressieve tijdlijn:
    Een van de grootste uitdagingen was tijd. De organisatie wilde de initiële PKI-installatie en productiegereedheid vóór het einde van het derde kwartaal afgerond hebben, ook al startte het project pas begin tweede kwartaal. Met beperkte tijd voor ontwikkeling, testen en validatie was de planning extreem krap, waardoor zorgvuldige planning en prioritering absoluut noodzakelijk waren.

Het resultaat

Voordat we met de PKI-implementatie aan de slag gingen, hebben we tijd besteed aan het leren kennen van hun ecosysteem, hoe hun productieprocessen werkten, hoe hun schaalbaarheidsdoelen eruit zagen en hoe beveiliging in elke fase van hun productlevenscyclus paste. Van daaruit zijn we begonnen met het vormgeven van een PKI die met hun bedrijf kon meegroeien, miljoenen apparaatauthenticaties kon ondersteunen en elke identiteit in hun productassortiment kon beschermen.

Onze samenwerking begon met een grondige architectuuranalyse van hun bestaande infrastructuur, productieworkflows en schaalbaarheidsdoelen op de lange termijn. Door middel van gezamenlijke workshops met de belangrijkste stakeholders van de klant ontwikkelden we een uitgebreid PKI-ontwerp dat de authenticatie van apparaten voor alle certificaten verbetert, grootschalige certificaatuitgifte ondersteunt tijdens productiecycli met een hoog volume en post-kwantum gereedheid voor toekomstige cryptografische veerkracht.

  1. Om te voldoen aan de behoefte aan certificaten die een leven lang meegaan, hebben we een aangepaste PKI-architectuur ontworpen die niet-verlopende apparaatcertificaten ondersteunt met een geldigheidsduur tot 12/31/9999We hebben ervoor gezorgd dat het ontwerp nog steeds voldeed aan alle relevante industrienormen, waaronder OCP, DICE en IEEE 802.1ARdoor gespecialiseerde certificaatsjablonen en validatieworkflows te creëren. Hierdoor kon de organisatie certificaten vol vertrouwen in hun hardware integreren, wetende dat ze geldig zouden blijven gedurende de gehele levenscyclus van het apparaat.
  2. Om zowel moderne als verouderde systemen te ondersteunen, hebben we certificaten uitgegeven met behulp van een hybride cryptografische benadering, waarbij we ML-DSA 87, een kwantumveilig algoritme voor digitale handtekeningen, met de klassieke RSA algoritme. Deze dubbele configuratie zorgt ervoor dat apparaten die gebruikmaken van een verouderde infrastructuur naadloos blijven functioneren, terwijl nieuwere hardware profiteert van de voordelen van post-quantumbeveiliging. Door beide algoritmen naast elkaar te implementeren, kan de organisatie vandaag de dag achterwaartse compatibiliteit behouden en haar ecosysteem toekomstbestendig maken voor de volgende generatie cryptografische standaarden.
  3. We hebben een redundante PKI-configuratie geïmplementeerd met zowel hot als cold disaster recovery-sites om continue beschikbaarheid te garanderen. Geautomatiseerde back-ups, replicatie en failovermechanismen zijn geïmplementeerd, zodat de PKI-service ononderbroken blijft, zelfs als één site uitvalt. Deze configuratie geeft de organisatie de zekerheid dat hun apparaatauthenticatieproces onder alle omstandigheden soepel blijft verlopen.
  4. Voor de governance-vereisten hebben we gedetailleerde uitgiftebeleidsregels rechtstreeks binnen de PKI gecreëerd. Deze omvatten onder meer het afdwingen van controles op operatorniveau om het aantal certificaten dat elke operator kan uitgeven te beperken, het instellen van padlengtebeperkingen om geen om kruiscertificering te voorkomen en om aangepaste SAN-formaten en certificaatprofielen die bepalen wat er kan worden uitgegeven en onder welke voorwaarden. Deze maatregelen brachten een nieuw niveau van precisie en controle in hun certificaatbeheerproces.
  5. We hebben een leveranciersonafhankelijke HSM-oplossing geleverd die naadloos integreert met de PKI-omgeving van de organisatie, wat flexibiliteit en compatibiliteit op lange termijn garandeert. Elke geïmplementeerde HSM is FIPS 140-3 gecertificeerd en geconfigureerd voor hoge beschikbaarheid, zodat er nergens in het systeem single points of failure zijn. Om de sleutelbeveiliging te versterken, hebben we een quorumgebaseerde toegangscontrole model, wat betekent dat geen enkele persoon onafhankelijk toegang heeft tot de privésleutels of deze kan gebruiken. De configuratie volgt het beleid van de sleutelbewaarder, waarbij ten minste drie geautoriseerde bewaarders aanwezig moeten zijn voor elke gevoelige cryptografische bewerking. Dit garandeert scheiding van taken en naleving van de beste praktijken in de sector.
  6. Om de veeleisende productiecapaciteit van de organisatie te ondersteunen, hebben we de PKI geoptimaliseerd voor snelle certificaatuitgifte. Het systeem kan nu certificaten uitgeven en integreren voor 70+ apparaten per minuut met behoud van lage latentie en volledige betrouwbaarheid. Ingebouwde schaalbaarheid zorgt ervoor dat het gemakkelijk tienduizenden apparaten per jaar aankan, met ruimte voor uitbreiding naarmate de productie groeit.
  7. Zelfs met een strakke planning slaagden we erin om de volledige PKI-installatie, tests en productie-implementatie tegen het einde van het derde kwartaal op te leveren. Onze aanpak omvatte parallelle werkstromen, nauwe samenwerking met de belangrijkste stakeholders van de klant en constante tests in elke fase om op schema te blijven. Het project ging op tijd live, volledig gevalideerd, gedocumenteerd en klaar voor gebruik in productie.

Het resultaat was een veilige, schaalbare en toekomstbestendige PKI-architectuur die speciaal is ontworpen om naadloos te integreren met de hardwareproductieprocessen van de klant. Hierdoor zijn betrouwbare apparaatidentificatie, veilige provisioning en cryptografische zekerheid mogelijk in elke productie- en operationele fase.

Enterprise PKI-services

Ontvang complete end-to-end consultatieondersteuning voor al uw PKI-vereisten!

Meer informatie

Impact

De nieuwe PKI-implementatie had een transformerende impact op het hele ecosysteem voor hardwareproductie en -beveiliging van de organisatie. Wat begon als een technische upgrade, ontwikkelde zich tot een strategische enabler die nu veilige apparaatidentificatie, authenticatie en vertrouwen mogelijk maakt voor miljoenen apparaten wereldwijd.

Dankzij de schaalbaarheid kan het bedrijf de productiecapaciteit uitbreiden zonder de beveiligingsinfrastructuur opnieuw te hoeven ontwerpen. Zo bespaart het bedrijf tijd en middelen.

Door een volledig interne PKI te implementeren, heeft de organisatie volledige controle en eigenaarschap gekregen over de levenscyclus van haar certificaten, van creatie en uitgifte tot beheer en intrekking. Deze stap heeft de afhankelijkheid van externe certificaatautoriteiten (CA's) en externe diensten effectief geëlimineerd, waardoor zowel de operationele risico's als de kosten op de lange termijn zijn verlaagd.

Doordat alles intern wordt beheerd, kan het bedrijf nu direct certificaten uitgeven, aangepaste beveiligingsbeleidsregels afdwingen en configuratiewijzigingen doorvoeren zonder te wachten op reacties van externe leveranciers. Dit verbetert ook de naleving van regelgeving en best practices in de branche, zoals FIPS 140-3, omdat alle cryptografische bewerkingen en privésleutels veilig binnen de infrastructuur van de organisatie blijven.

Met het nieuwe PKI-framework heeft elk apparaat nu een unieke, verifieerbare digitale identiteit, waardoor authenticiteit van productie tot implementatie wordt gegarandeerd. Dit elimineert de risico's van ongeautoriseerde apparaten die het netwerk binnendringen en versterkt de algehele beveiliging van de toeleveringsketen. De organisatie kan nu elk apparaat traceren, valideren en authenticeren.

Conclusie

We hebben met succes de PKI-implementatie voor deze gerenommeerde hardware IoT-onderneming geleid en een sterke, toekomstbestendige infrastructuur geleverd, afgestemd op hun unieke vereisten. Deze mijlpaal loste kritieke uitdagingen op, waaronder certificaten die nooit verlopen, post-quantum gereedheid, HSM-gebaseerde sleutelbeveiliging, strikt uitgiftebeleid en schaalbaarheid bij grote volumes. Het resultaat is een veilige, veerkrachtige PKI die miljoenen apparaten beschermt, naleving garandeert en de innovatie en operationele continuïteit van de organisatie op de lange termijn ondersteunt. Dit onderstreept onze expertise in het leveren van toonaangevende beveiligingsoplossingen op ondernemingsniveau.

Ontdek het hier

Meer onderwerpen