Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Fallstudie

Hur krypteringskonsulttjänster löste en Fortune 100-organisations SPDM-krav med PKI-baserad autentisering

Postat avAditi Goel 08 minuter
pki-implementering
Innehållsförteckning

Företagsöversikt

Vi avslutade nyligen en av de mest omfattande och tekniskt intensiva Public Key Infrastructure (PKI) implementeringar för en global Fortune 100 företag inom hårdvaru-IoT. Denna organisation, med över 25 års branschledarskap, står som en pionjär inom hårdvaruinnovation, tillverkning och säker enhetshantering. Deras produktportfölj spänner över ett brett spektrum av banbrytande tekniker, inklusive ocSSD (inbyggda solid-state-diskar), högpresterande RAM-moduler, CoRIM (Koncis referensintegritetsmanifest) lösningar, och SBOM Integration av programvarufaktur (Software Bill of Materials) för avancerad produktspårbarhet och efterlevnad.

Under årens lopp har de blivit ett pålitligt namn inom hårdvarubranschen, känt för sin tillförlitlighet, innovation och kvalitet. Och som ni kan föreställa er, med ett sådant starkt rykte kommer behovet av en kraftfull, säker och framtidsklar PKI-installation.

Företaget kontaktade oss för att söka en specialbyggd, lokal PKI-implementering som inte bara var standard utan också noggrant utformad för att möta deras unika tekniska krav, såsom att följa SPDM-specifikationer utvecklade av DMTF (Distributed Management Task Force) som definierar protokoll och datamodeller för säker kommunikation och attestering mellan hårdvaru- och mjukvarukomponenter för enhetshantering och stödjer deras kortsiktiga och långsiktiga mål.

Krav

  1. Certifikat som aldrig går ut:
    Organisationen krävde enheten certifikat utan utgångsdatum, eftersom de skulle vara permanent inbäddade i hårdvarukomponenter. Certifikaten utformades med en giltighetsperiod som sträcker sig till 31/12/9999 för att matcha enheternas långa livslängd. För att säkerställa efterlevnad anpassade vi implementeringen till OCP-, DICE X.509- och IEEE 802.1AR-standarderna för tillverkade enheter med obestämd livslängd.
  2. Post-kvantberedskap:
    Med NIST Övergången efter kvantkryptografi (PQC) förväntas runt 2030, organisationen krävde att deras PKI-infrastruktur att vara framtidssäkra. Från allra första början ville de ha ett system som kunde stödja postkvantalgoritmer, vilket säkerställde långsiktig kryptografisk motståndskraft. Eftersom PQC fortfarande är ett framväxande område ville de också förbli leverantörsneutrala och behålla flexibiliteten att anta nya standarder och algoritmer allt eftersom de utvecklas.
  3. Katastrofåterställning och motståndskraft:
    Med tanke på enhetscertifikatens kritiska natur utformades PKI med inbyggda funktioner för katastrofåterställning från dag ett. Arkitekturen inkluderade både varma och kalla standby-miljöer för att säkerställa kontinuitet, motståndskraft och minimal driftstopp vid systemfel.
  4. Regler för utfärdande av certifikat:
    Organisationen hade mycket specifika och unika krav kring hur certifikat kunde utfärdas och hanteras. Dessa inkluderade:
    • Begränsa antalet certifikat som en enskild operatör kan signera.
    • Tillämpa begränsningar för sökvägslängd så att certifikatutfärdare (CA:er) inte kan signera andra certifikatutfärdare, vilket förhindrar all risk för korscertifiering.
    • Använda anpassade SAN-format (alternativt ämnesnamn) och kontrollera variabelfältdata.
    • Definiera certifikatprofiler som strikt anger vilka typer av certifikat som kan utfärdas för olika enhetstyper eller användningsfall.
    • Certifikatpolicyer ska dokumenteras och juridiskt granskas i dokumentet Certifikatpolicy och Certifieringspraxis.
  5. Privat nyckelsäkerhet med HSM-integration:
    Organisationen insåg vikten av säkerhet för privata nycklar och gav därför mandat Hårdvarusäkerhetsmodul (HSM) integrering på varje nivå av PKI. Alla rot- och underordnade CA:er, såväl som signeringsnycklar, behövde säkras inom HSM:er. HSM:erna skulle vara FIPS 140-3-kompatibla. Organisationen krävde en HSM-arkitektur som stödde delade konfigurationer med hög tillgänglighet utan att distribuera en separat HSM för varje CA eller nyckel.
  6. Skalbarhetskrav:
    Skalbarhet var en stor sak för organisationen. Eftersom certifikat skulle integreras under tillverkningsprocessen för enheterna, var PKI-systemet tvunget att hantera hög dataflöde och stödja minst 70+ enheter per minut vid hög produktionstoppar. Under ett år skulle systemet behöva hantera cirka 50 000 enheter samtidigt som prestanda och tillförlitlighet bibehölls.
  7. Aggressiv tidslinje:
    En av de största utmaningarna var tid. Organisationen ville att den initiala PKI-installationen och produktionsberedskapen skulle vara klar i slutet av tredje kvartalet, trots att projektet startade först i början av andra kvartalet. Med begränsad tid för utveckling, testning och validering var schemat extremt snävt, vilket gjorde noggrann planering och prioritering absolut nödvändig.

Lösning

Innan vi började med PKI-implementeringen lade vi tid på att bekanta oss med deras ekosystem, hur deras tillverkningsprocesser fungerade, hur deras skalbarhetsmål såg ut och hur säkerhet passade in i varje steg av deras produktlivscykel. Därifrån började vi utforma en PKI som kunde växa med deras verksamhet, stödja miljontals enhetsautentiseringar och skydda alla identiteter i deras produktsortiment.

Vårt engagemang började med en djupgående arkitekturbedömning av deras befintliga infrastruktur, produktionsflöden och långsiktiga skalbarhetsmål. Genom samarbetsworkshops med kundens viktigaste intressenter och interaktioner utvecklade vi en omfattande PKI-design som förbättrar enhetsautentisering för alla certifikat, stöder storskalig certifikatutfärdande under produktionscykler med hög volym och möjliggör post-kvantberedskap för framtida kryptografisk motståndskraft.

  1. För att möta behovet av certifikat som varar livet ut har vi utformat en anpassad PKI-arkitektur som stöder enhetscertifikat som inte löper ut med giltighet till och med 12/31/9999Vi säkerställde att designen fortfarande följde alla relevanta branschstandarder, inklusive OCP, DICE och IEEE 802.1AR, genom att skapa specialiserade certifikatmallar och valideringsarbetsflöden. Detta gjorde det möjligt för organisationen att bädda in certifikat i sina hårdvaruenheter med vetskapen om att de skulle förbli giltiga under hela enhetens livscykel.
  2. För att stödja både moderna och äldre system utfärdade vi certifikat med hjälp av en hybrid kryptografisk metod som kombinerar ML-DSA 87, en kvantsäker digital signaturalgoritm, med den klassiska RSA algoritm. Denna dubbla uppsättning säkerställer att enheter som använder äldre infrastruktur fortsätter att fungera sömlöst, medan nyare hårdvara drar nytta av post-kvantsäkerhet. Genom att implementera båda algoritmerna sida vid sida kan organisationen upprätthålla bakåtkompatibilitet idag och framtidssäkra sitt ekosystem för nästa generations kryptografiska standarder.
  3. Vi implementerade en redundant PKI-konfiguration med både varma och kalla katastrofåterställningsplatser för att säkerställa kontinuerlig tillgänglighet. Automatiserade säkerhetskopieringar, replikering och redundansmekanismer infördes, så även om en plats skulle gå ner förblir PKI-tjänsten oavbruten. Denna konfiguration ger organisationen förtroende för att deras enhetsautentiseringsprocess fortsätter att fungera smidigt under alla omständigheter.
  4. För styrningskrav skapade vi detaljerade utfärdandepolicyer direkt i PKI:n. Dessa inkluderade att tillämpa kontroller på operatörsnivå för att begränsa antalet certifikat som varje operatör kan utfärda, och att sätta begränsningar för sökvägslängden för ingen för att förhindra korscertifiering och definiera anpassade SAN-format och certifikatprofiler som styr vad som kan utfärdas och under vilka villkor. Dessa åtgärder gav en ny nivå av precision och kontroll till deras certifikathanteringsprocess.
  5. Vi tillhandahöll en leverantörsneutral HSM-lösning som integreras sömlöst med organisationens PKI-miljö, vilket säkerställer flexibilitet och långsiktig kompatibilitet. Varje HSM som distribueras är FIPS 140-3 certifierad och konfigurerad för hög tillgänglighet, så det finns inga enskilda felpunkter någonstans i systemet. För att stärka nyckelsäkerheten implementerade vi en kvorumbaserad åtkomstkontroll modell, vilket innebär att ingen enskild individ kan komma åt eller använda de privata nycklarna självständigt. Konfigurationen följer nyckelförvaltarens policy, som kräver att minst tre auktoriserade förvaltare är närvarande för alla känsliga kryptografiska operationer. Detta säkerställer separation av arbetsuppgifter och efterlevnad av bästa praxis i branschen.
  6. För att stödja organisationens krävande tillverkningskapacitet har vi optimerat PKI för höghastighetscertifikatutfärdande. Systemet kan nu utfärda och bädda in certifikat för 70+ enheter per minut samtidigt som låg latens och fullständig tillförlitlighet bibehålls. Inbyggd skalbarhet säkerställer att den enkelt kan hantera tiotusentals enheter per år, med utrymme för expansion i takt med att produktionen växer.
  7. Trots en aggressiv tidslinje lyckades vi leverera hela PKI-installationen, testningen och produktionsdistributionen i slutet av tredje kvartalet. Vårt tillvägagångssätt innebar parallella arbetsflöden, nära samarbete med kundens viktigaste intressenter och ständig testning i varje steg för att hålla oss på rätt spår. Projektet lanserades i tid, var fullt validerat, dokumenterat och klart för produktionsanvändning.

Resultatet blev en säker, skalbar och framtidsklar PKI-arkitektur, specialbyggd för att integreras sömlöst med kundens hårdvarutillverkningsprocesser, vilket möjliggör pålitlig enhetsidentitet, säker provisionering och kryptografisk säkring i varje steg av produktion och drift.

PKI-tjänster för företag

Få komplett konsultstöd från början till slut för alla dina PKI-behov!

Läs mer

Inverkan

Den nya PKI-implementeringen medförde en transformerande inverkan på organisationens ekosystem för hårdvarutillverkning och säkerhet. Det som började som en teknisk uppgradering utvecklades till en strategisk möjliggörare som nu driver säker enhetsidentitet, autentisering och förtroende över miljontals enheter världen över.

Skalbarheten gör det möjligt för företaget att utöka tillverkningskapaciteten utan att behöva omstrukturera sin säkerhetsinfrastruktur, vilket sparar både tid och resurser.

Genom att implementera en helt intern PKI har organisationen fått fullständig kontroll och äganderätt över sin certifikatlivscykel, från skapande och utfärdande till hantering och återkallelse. Detta åtgärd eliminerade effektivt beroendet av externa certifikatutfärdare (CA:er) och tredjepartstjänster, vilket minskar både operativa risker och långsiktiga kostnader.

Med allt hanterat internt kan företaget nu utfärda certifikat direkt, tillämpa anpassade säkerhetspolicyer och göra konfigurationsändringar utan att vänta på svar från externa leverantörer. Detta förbättrar också efterlevnaden av regelverk och bästa praxis i branschen, såsom FIPS 140-3, eftersom alla kryptografiska operationer och privata nycklar förblir säkert inom organisationens infrastruktur.

Med det nya PKI-ramverket har varje enhet nu en unik, verifierbar digital identitet, vilket säkerställer äkthet från produktion till driftsättning. Detta eliminerar riskerna för att obehöriga enheter kommer in i nätverket och stärker den övergripande säkerheten i leveranskedjan. Organisationen kan nu spåra, validera och autentisera varje enhet.

Slutsats

Vi ledde framgångsrikt PKI-implementeringen för detta välrenommerade IoT-företag med hårdvara och levererade en stark, framtidsklar infrastruktur anpassad till deras unika behov. Denna milstolpe adresserade kritiska utmaningar, inklusive certifikat som aldrig går ut, post-kvantumberedskap, HSM-baserad nyckelsäkerhet, strikta utgivningspolicyer och skalbarhet i höga volymer. Resultatet är en säker och motståndskraftig PKI som skyddar miljontals enheter, säkerställer efterlevnad och stöder organisationens långsiktiga innovation och operativa kontinuitet, vilket framhäver vår expertis inom att leverera säkerhetslösningar i toppklass för företag.

Utforska

Fler ämnen