Wat zijn de vijf stappen die u moet overwegen voordat u PKI Security implementeert?

Publieke Sleutel Infrastructuur (PKI) is de hardware, software, processen en het beleid voor het beheer van certificaten en sleutels. PKI's vormen de basis voor het gebruik digitale handtekeningen en diverse encryptietechnieken voor grote gebruikerspopulaties. Het is ook verantwoordelijk voor het leveren van essentiële elementen voor een veilige en vertrouwde zakelijke omgeving voor IoT en andere technische sectoren. Toepassingen van de nieuwe generatie zijn sterk afhankelijk van PKI Technologie voor een hoge mate van zekerheid bij het beveiligen van elektronische interacties met behulp van authenticatie en naleving van beveiligingsvoorschriften. Het helpt ook bij het identificeren van apparaten, diensten en gebruikers door gecontroleerde toegang tot systemen en bronnen, gegevensbescherming en verantwoording bij transacties mogelijk te maken. 

Rol van certificeringsinstanties (CA's)

Om publieke sleutels aan hun bijbehorende gebruikers te koppelen, maken PKI's gebruik van digitale certificatenHet hoofddoel is om de betrouwbaarheid en authenticiteit van een domein, website en organisatie te verifiëren voor veilige en vertrouwde communicatie tussen de entiteit en gebruikers. Een gebruiker weet of een website officieel is en geen nep- of namaakwebsite als een CA geeft een digitaal certificaat uit. Dit zorgt ervoor dat een aanvaller geen privégegevens, informatie of geld van de gebruiker steelt.

De belangrijkste of cruciale rollen van een CA zijn:

• Digitaal certificaat uitgeven.
• Helpt vertrouwen te creëren tussen entiteiten die via internet communiceren.
• Verifiëren en valideren van de identiteit van domeinnamen en organisaties.
• Onderhouden van de Certificaatintrekkingslijsten.

Hoe werkt een digitaal certificaat?

Een digitaal certificaat fungeert als referentie voor het valideren van de identiteit van de geselecteerde entiteit waaraan het wordt uitgegeven. Het bevat informatie over de entiteit, waaronder de naam, organisatie, contactgegevens, openbare sleutel, domeinnaam, certificaatuitgifte, vervaldatum van het uitgegeven certificaat, enzovoort. Ook de naam van de uitgevende certificeringsinstantie (CA) voor dat certificaat en de digitale handtekening worden in het digitale certificaat opgenomen. Het is ook nuttig voor versleutelen en het beveiligen van communicatie via internet, het handhaven van de integriteit van ondertekende documenten via internet en het garanderen dat geen enkele derde partij de documenten kan beschadigen tijdens de verzending. 

Hoe werken SSL/TLS-certificaten?

Het Transport Layer Security (TLS)-protocol maakt gebruik van SSL-certificaten om gegevens te verifiëren en te versleutelen voor streaming. Hypertext Transfer Protocol Secure (HTTPS)Het SSL-protocol wordt gebruikt om een ​​beveiligde verbinding via internet tot stand te brengen via webbrowsers die verbinding maken met websites. Om een ​​HTTPS-verbinding tot stand te brengen, werkt SSL bovenop HTTP, terwijl TLS een verbeterde versie van SSL is. Wanneer een webbrowser een beveiligde verbinding via HTTPS start, wordt het digitale certificaat (SSL/TLS digitaal certificaat) wordt naar de webbrowser verzonden. De browser verifieert nu de informatie in het certificaat aan de hand van zijn root-certificaatarchief. Op deze manier brengt een digitaal certificaat een veilige en versleutelde verbinding tot stand tussen de browser van een gebruiker en de webserver van een website of organisatie.

Hoe geeft een certificeringsinstantie een digitaal certificaat uit?

Een digitaal certificaat is een belangrijk onderdeel van PKI en is vereist voor de SSL/TLS-certificaten om goed te kunnen functioneren. Hierbij komt de CA om de hoek kijken.

Een organisatie of persoon kan een digitaal certificaat aanvragen bij een CA, maar moet eerst een sleutelpaar genereren dat uit het volgende bestaat:

• Privésleutel

  Deze sleutel blijft altijd geheim en mag aan niemand worden getoond, zelfs niet aan de CA.

• Publieke sleutel

  Deze sleutel wordt vermeld in het digitale certificaat dat de CA uitgeeft, waarbij de aanvrager ook een certificaat moet genereren Certificaatondertekeningsaanvraag (CSR)Een CSR is een gecodeerd tekstbestand met de informatie die in het certificaat moet worden opgenomen, zoals de domeinnaam, organisatie, contactgegevens en alternatieve of aanvullende domeinnamen (inclusief subdomeinen).

Soorten digitale certificaten

CA's kunnen verschillende typen certificaten uitgeven voor verschillende use cases, namelijk:

• Code Signing-certificaten

  Deze certificaten worden door ontwikkelaars en uitgevers gebruikt om hun softwaredistributies te ondertekenen. Gebruikers gebruiken ze voor het verifiëren en valideren van softwaredownloads van de ontwikkelaar of leverancier.

• E-mailondertekeningscertificaten

  Met deze certificaten kunnen entiteiten e-mails ondertekenen, verifiëren en versleutelen met behulp van het Secure/Multipurpose Internet Mail Extensions-protocol voor het beveiligen van e-mailbijlagen.

• Met gebruikers-/clientcertificaten of handtekeningverificatiecertificaten kunnen personen verschillende authenticatiebehoeften beheren.

• Object Signing-certificaten

  Met deze certificaten kunt u elk softwareobject ondertekenen en verifiëren.

Wat zijn de valkuilen van PKI?

PKI-implementatie is belangrijk voor de beveiliging van een onderneming, maar belangrijker nog is dat de correcte implementatie van een PKI moet worden gewaarborgd. Ondanks het kritieke karakter van PKI-technologie worden taken die hiermee verband houden vaak niet als prioriteit beschouwd en toegewezen aan niet-experts. Dit resulteert in PKI-fouten en verkeerde configuraties, wat leidt tot onnodige risico's. De belangrijkste valkuilen die zich binnen een onderneming voordoen, zijn:

• Problemen met certificaten.
• Implementatieproblemen.
• Beveiligingsproblemen.
• Bestuursproblemen.
• Zichtproblemen.

Certificaatproblemen

Het meest voorkomende probleem bij het opzetten van PKI-systemen aan het begin van de implementatie is het gebruik van zwakke sleutels. Zwakke sleutels kunnen een kwetsbaar punt worden, wat uiteindelijk kan leiden tot een onderliggend probleem bij de PKI-implementatie. Gebruikers of bedrijven hebben de neiging om certificaten met een langere levensduur te behouden, omdat het wisselen van certificaten lastig kan zijn. Dit leidt echter ook tot een groter aanvalsoppervlak na verloop van tijd. Het rouleren van certificaten leidt dus vaak tot een lager risico op aanvallen. Lange certificaattermijnen kunnen ook betekenen dat er verouderde cryptografische algoritmen aanwezig zijn, wat kan leiden tot problemen op de lange termijn, zelfs na het vinden van eenvoudige oplossingen. Bijvoorbeeld: RSA en ECC-encryptietechnieken zijn nu effectief, maar ze zullen binnen de komende jaren overbodig worden door geavanceerde computertechnieken zoals quantum computing. 

Implementatieproblemen

Het hergebruiken van certificaten op meerdere apparaten bij de implementatie van certificaten is zeer riskant. Dit lijkt voor gebruikers misschien een goedkoper en minder tijdrovend proces, maar als één certificaat beter moet of niet goed is, zullen alle andere certificaten ook goed zijn. Evenzo kan dit potentiële risico zich over meerdere apparaten verspreiden als er maar één certificaat wordt gehackt. Het is daarom beter om elk apparaat apart te houden om het risico voor alle apparaten en certificaten te minimaliseren. 

Beveiligingsproblemen

Onjuiste beveiliging van privésleutels is een van de meest voorkomende problemen bij het opzetten van PKI-systemen. Of het nu gaat om een ​​laptop met een Trusted Platform Module (TPM) of een IoT-apparaat met een beveiligde enclave, het is belangrijk om ervoor te zorgen dat de privésleutels veilig blijven. Het niet reageren op kwetsbaarheden en het niet toepassen van patches is een ander veelvoorkomend probleem. Dit moet worden beschouwd als onderdeel van goed systeemonderhoud en er moet de nodige aandacht aan worden besteed.

Bestuursproblemen

Met regels en richtlijnen is het mogelijk om teams effectief en efficiënt te runnen. Het gebrek aan beleidsconsistentie binnen organisaties leidt tot verdere inconsistenties in de PKI-implementatie, wat grote risico's voor diezelfde organisaties creëert. Regels en orde moeten worden gecreëerd om dergelijke problemen te voorkomen, en deze moeten consistent worden gevolgd en toegepast. Een andere belangrijke kwestie is de beslissing wanneer private of publieke roots moeten worden gebruikt, aangezien een verkeerde keuze kan leiden tot grotere beveiligingsrisico's. 

Zichtbaarheidsproblemen

De meest voorkomende problemen met zichtbaarheid zijn malafide CA's en malafide certificaten. Over het algemeen krijgen malafide certificaten de voorkeur boven betrouwbare certificaten die zijn uitgegeven door een vertrouwde CA, maar die ofwel aan de verkeerde partij zijn uitgegeven ofwel gecompromitteerd zijn. Het toestaan ​​dat malafide certificaten of CA's in de omgeving actief blijven zonder ze onder beheer te stellen, kan veel meer problemen veroorzaken. Dit kan aanvallers ook in staat stellen om illegale websites te creëren die niet te onderscheiden zijn van de originele of echte websites.

Vijf stappen voor het bouwen van een schaalbare PKI 

Het beheren van PKI is een belangrijke rol en taak voor beveiligingsteams binnen bedrijven. Fouten, verouderde tools en processen en een gebrek aan inzicht leiden tot dure problemen en kwetsbaarheden. Handmatig beheer is onmogelijk vanwege de toename van het aantal verbonden apparaten. Organisaties moeten daarom verschillende processen implementeren om hun certificaatinfrastructuur goed te beveiligen. Er zijn vijf vereenvoudigde stappen voor het opzetten van een PKI, namelijk:

• Identificatie van niet-onderhandelbare risico's voor de netwerkbeveiliging.
• Het identificeren van de netwerkbeveiligingsrisico's die PKI kan beperken.
• Het ontwikkelen van de juiste mix van publieke en private PKI.
• Kiezen of u een CA wilt bouwen of kopen, d.w.z. een interne CA of een gehoste CA.
• Ontdek hoe u de levering van certificaten aan apparaten kunt automatiseren.

Het identificeren van de niet-onderhandelbare netwerkbeveiligingsrisico's

Er kunnen niet alleen technische problemen zijn met betrekking tot het opzetten van een PKI, maar ook andere soorten beveiligingsrisico's die een gebruiker moet beperken. Enkele van deze beveiligingsrisico's zijn:

• Om ongeautoriseerde toegang tot webservices te voorkomen.
• Voorkom ongeautoriseerde toegang tot kennis die is opgeslagen in databases.
• Voorkom ongeautoriseerde toegang tot netwerken van gebruikers of organisaties.
• Controleren van de authenticiteit van berichten die via het netwerk van gebruikers of organisaties worden verzonden.

Het identificeren van de netwerkbeveiligingsrisico's die PKI kan beperken

PKI kan het beveiligingsniveau van het netwerk verhogen door een identiteit te koppelen aan een openbare sleutel en risico's te beperken door middel van encryptie-authenticatie en digitale handtekeningen. Encryptie helpt vertrouwelijkheidsrisico's te beperken, authenticatiecertificaten helpen risico's voor toegangscontrole te beperken en digitale certificaten helpen risico's voor integriteit te beperken. PKI kan dus worden toegepast in diverse toepassingen, zoals:

• Om verschillende webpagina's te beveiligen.
• Om bestanden te versleutelen en te beveiligen.
• Om aanmeldingen met behulp van smartcards te verifiëren.
• E-mailberichten versleutelen en verifiëren met behulp van S/MIME.
• Om verbindingen met een specifieke VPN te verifiëren.
• Om knooppunten te authenticeren die verbinding moeten maken met een draadloos netwerk.

Het ontwikkelen van de juiste mix van publieke en private PKI

Nadat de netwerkbeveiligingsrisico's en de procedures om deze te beperken zijn geïdentificeerd, is een gebruiker of organisatie klaar om de architectuur van het PKI-systeem te plannen. De meest volwassen opzet is het bouwen van een hybride architectuur, met zowel private als publieke PKI. Hierbij wordt doorgaans publieke PKI gebruikt voor het beveiligen van openbare websites en andere diensten, terwijl private PKI interne diensten beveiligt. Bij PKI wordt een identiteit gekoppeld aan de publieke sleutel via het ondertekeningsproces. Die handtekening wordt uitgevoerd door een root of door een intermediaire keten die naar de root leidt. Certificaten die zijn uitgegeven door de vertrouwde root-servers zijn geldig. Als de root die de identiteit aan de algemene opslag koppelt, aanwezig is in de truststore, is het acceptabel om te vertrouwen op de identiteit die aan de publieke sleutel is gekoppeld.

Kiezen of u een CA wilt bouwen of kopen, d.w.z. een interne CA of een gehoste CA

Nadat besloten is waar privécertificaten nodig zijn voor interne services, is de volgende stap om te bepalen of een CA moet worden gebouwd (interne PKI) of gekocht (gehoste PKI). Beide opties zijn goede opties, maar de beslissing hangt af van de middelen en het personeel die aan deze PKI-opstelling moeten worden besteed. Een gehoste service helpt bij het creëren van root en beveiligt deze op een niveau dat past bij het publieke vertrouwen. Toch kan een interne CA volledige toegang tot en controle over het uitgifteproces bieden, terwijl de kosten voor software, licenties, hardware en training wel voor rekening van de klant komen. De grootste vraag is echter of een intern beheerde PKI de investering in geld, tijd en personeel waard is, aangezien het beheer van een intern PKI-systeem zowel voordelen als verborgen kosten met zich meebrengt.

Ontdek hoe u de levering van certificaten aan apparaten kunt automatiseren

Om PKI op grote schaal soepel te laten verlopen, is het noodzakelijk om het certificaatimplementatieproces te automatiseren. Het wijzigen van de industriestandaarden en het verkorten van de geldigheidsduur van certificaten betekent dat automatisering binnenkort geen optie meer is, maar een noodzaak. Er zullen honderden of duizenden apparaten beheerd moeten worden. Alleen door automatisering in te zetten, kan dit efficiënt worden afgehandeld en kan de beveiliging worden gehandhaafd door de kans op menselijke fouten en door certificaten veroorzaakte problemen te verkleinen. De vier meest voorkomende methoden voor automatisering zijn:

• RESTful API's

  De gekozen CA moet het gebruik van RESTful API-eindpunten toestaan ​​als onderdeel van de programmering voor het gebruik van software voor apparaatbeheer van ondernemingen.

• Eenvoudig Certificaatinschrijvingsprotocol (SCEP)

  Deze route vereist een SCEP-agent op de apparaten om te kunnen samenwerken met de software voor apparaatbeheer van het bedrijf. Vervolgens stuurt de software het script naar het apparaat met de opdracht een certificaat op te halen.

• Inschrijving via Secure Transport (EST)

  EST is de opvolger van SCEP. Het is vrijwel identiek, behalve dat het Elliptic Curve Cryptography (ECC) ondersteunt, een type cryptografie dat helpt bij het creëren van snellere, kortere en efficiëntere cryptografische sleutels.

• Microsoft AD Automatische inschrijving

  Dit wordt gebruikt voor het automatiseren van de levering van certificaten rechtstreeks aan de Microsoft Key Store voor alle Windows-pc's en -servers.

Conclusie

Nadat de implementatie van een PKI in het netwerk succesvol is gepland, is het mogelijk om dit te realiseren voor zowel publieke als private PKI's. Het is noodzakelijk om een ​​PKI te implementeren, aangezien de beveiligingssituatie momenteel cruciaal is.