Vilka är de fem stegen att tänka på innan man implementerar PKI-säkerhet?

Public Key Infrastructure (PKI) är hårdvaran, programvaran, processerna och policyerna för att hantera certifikat och nycklar. PKI:er är grunden för att använda digitala signaturer och olika krypteringstekniker för stora användarpopulationer. Den ansvarar också för att leverera viktiga element för en säker och pålitlig affärsmiljö för IoT och andra tekniska sektorer. Ny generation applikationer är i hög grad beroende av PKI Teknik för hög säkerhet vid elektroniska interaktioner med hjälp av autentisering och efterlevnad av säkerhetsföreskrifter. Den hjälper också till att identifiera enheter, tjänster och användare genom att möjliggöra kontrollerad åtkomst till system och resurser, dataskydd och ansvarsskyldighet i transaktioner. 

Certifikatutfärdarnas roll (CA)

För att binda publika nycklar med sina associerade användare använder PKI:er digitala certifikatHuvudmålet är att verifiera pålitligheten och äktheten hos en domän, webbplats och organisation för säker och betrodd kommunikation mellan enheten och användarna. En användare kommer att veta om en webbplats är officiell och inte en falsk eller förfalskad sådan om en CA utfärdar ett digitalt certifikat. Detta säkerställer att en angripare inte stjäl privata data, information eller pengar från användaren.

De viktigaste eller avgörande rollerna för en CA är:

• Utfärdande av digitalt certifikat.
• Hjälper till att skapa förtroende mellan enheter som kommunicerar via internet.
• Verifiera och validera identiteter för domännamn och organisationer.
• Upprätthålla Listor över återkallade certifikat.

Hur fungerar ett digitalt certifikat?

Ett digitalt certifikat fungerar som en autentiseringshandling för att validera identiteten på den valda enheten som det utfärdas till. Det innehåller information om enheten, inklusive dess namn, organisation, kontaktinformation, publika nyckel, domännamn, certifikatutfärdande, utgångsdatum för det utfärdade certifikatet och så vidare. Även namnet på den utfärdande CA:n för det certifikatet och dess digitala signatur ingår i det digitala certifikatet. Det är också fördelaktigt för krypterings och säkra kommunikationen över internet, upprätthålla integriteten för signerade dokument med hjälp av det och säkerställa att ingen tredje part kan skada dokumenten medan de transporteras. 

Hur fungerar SSL/TLS-certifikat?

TLS-protokollet (Transport Layer Security) använder SSL-certifikat för att autentisera och kryptera data för strömning. Hypertext Transfer Protocol Secure (HTTPS)SSL-protokollet används för att skapa en säker anslutning över internet via webbläsare som ansluter till webbplatser. För att skapa en HTTPS-anslutning fungerar SSL ovanpå HTTP, medan TLS är en uppgraderad version av SSL. När en webbläsare startar en säker anslutning över HTTPS, det digitala certifikatet (Digitalt SSL/TLS-certifikat) skickas till webbläsaren. Nu verifierar webbläsaren informationen i certifikatet mot sitt rotcertifikatarkiv. På så sätt upprättar ett digitalt certifikat en säker och krypterad anslutning mellan en användares webbläsare och en webbplats eller organisations webbserver.

Hur utfärdar en certifikatutfärdare ett digitalt certifikat?

Som en viktig del av PKI krävs ett digitalt certifikat för att SSL/TLS-certifikaten ska fungera korrekt, och det är här CA kommer in i bilden.

En organisation eller en person kan begära ett digitalt certifikat från en CA, men först måste de generera ett nyckelpar som består av följande:

• Privat nyckel

  Denna nyckel hålls alltid hemlig och ska inte visas för någon, inte ens för CA:n.

• Offentlig nyckel

  Denna nyckel nämns i det digitala certifikat som CA utfärdar, där sökanden också måste generera Begäran om certifikatsignering (CSR)En CSR är en kodad textfil som specificerar den information som ska inkluderas i certifikatet, såsom domännamn, organisation, kontaktuppgifter och alternativa eller ytterligare domännamn (vilket inkluderar underdomäner).

Typer av digitala certifikat

CA:er kan utfärda olika typer av certifikat för olika användningsfall, vilka är:

• Kodsigneringscertifikat

  Dessa certifikat används av utvecklare och utgivare för att signera sina programdistributioner. Användare använder dem för att autentisera och validera programnedladdningar från utvecklaren eller leverantören.

• E-postsigneringscertifikat

  Dessa certifikat låter enheter signera, autentisera och kryptera e-post med hjälp av protokollet Secure/Multipurpose Internet Mail Extensions för att säkra e-postbilagor.

• Användar-/klientcertifikat eller signaturverifieringscertifikat hjälper individer att hantera olika autentiseringsbehov.

• Objektsigneringscertifikat

  Dessa certifikat möjliggör signering och autentisering av alla programvaruobjekt.

Vilka är PKI-fallgroparna?

PKI-implementering är viktig för att säkra ett företag, men ännu viktigare är att säkerställa att en PKI implementeras korrekt. Trots PKI-teknikens kritiska natur ses uppgifter relaterade till den ofta inte som en prioritet och tilldelas icke-experter. Detta resulterar i PKI-fel och felkonfigurationer, vilket leder till onödiga risker. De få stora PKI-fallgropar som uppstår inom ett företag är:

• Problem med certifikat.
• Problem med distributionen.
• Säkerhetsproblem.
• Styrningsproblem.
• Siktproblem.

Problem med certifikat

Det vanligaste problemet med att sätta upp PKI-system i början av implementeringen är användningen av svaga nycklar. Svaga nycklar kan bli en riskfaktor som i slutändan kan leda till ett underliggande problem för PKI-implementeringen. Användare eller företag tenderar att behålla längre livslängder för certifikat, eftersom det kan vara besvärligt att byta ut certifikat. Men detta leder också till att attackytan utökas över tid. Att rotera certifikat leder därför ofta till mindre risk för attacker. Långa certifikatperioder kan också innebära att föråldrade kryptografiska algoritmer finns, vilket kan leda till långsiktiga problem även efter att det funnits enkla lösningar. Till exempel, RSA och ECC-krypteringstekniker är effektiva nu, men de kommer att bli föråldrade av avancerade beräkningstekniker som kvantberäkning inom de närmaste åren. 

Problem med distributionen

Det är mycket riskabelt att återanvända certifikat över flera enheter när man distribuerar certifikat. Detta kan verka som en billigare och mindre tidskrävande process för användare, men om ett certifikat behöver bli bättre eller är dåligt, kommer alla andra certifikat också att vara bra. På samma sätt, om även ett enda certifikat bryts, kan denna potentiella risk spridas över flera enheter. Så att hålla varje enhet separat är bättre för att minimera risken mellan enheter och certifikat. 

Säkerhetsproblem

Felaktigt skydd av privata nycklar är ett av de vanligaste problemen vid upprättande av PKI-system. Oavsett om enheten är en bärbar dator med en Trusted Platform Module (TPM) eller en IoT-enhet med en säker enklav, är det viktigt att säkerställa att privata nycklar förblir säkra. Underlåtenhet att reagera på sårbarheter och installera patchar är ett annat vanligt problem. Detta bör betraktas som en del av korrekt systemunderhåll, och lämplig uppmärksamhet bör ägnas åt detta.

Styrningsproblem

Med regler och vägledning är det möjligt att leda team effektivt och ändamålsenligt. Bristen på konsekvent policyhantering inom organisationer leder till ytterligare inkonsekvenser i implementeringen av PKI, vilket skapar stora risker för organisationerna. Regler och ordning måste skapas för att förhindra sådana problem, och dessa måste följas och tillämpas konsekvent. En annan viktig fråga är att avgöra när man ska använda privata eller publika rötter, eftersom fel val kan leda till större säkerhetsrisker. 

Siktproblem

De vanligaste problemen med synlighet är obehöriga certifikatutfärdare och obehöriga certifikat. Generellt sett föredras obehöriga certifikat framför de som utfärdats av en betrodd certifikatutfärdare, men de utfärdas antingen till fel part eller är komprometterade. Att tillåta obehöriga certifikat eller certifikatutfärdare att fortsätta fungera i miljön utan att hantera dem kan orsaka många fler problem. Detta kan också göra det möjligt för angripare att skapa obehöriga webbplatser som inte går att skilja från de ursprungliga eller riktiga.

Fem steg för att bygga en skalbar PKI 

Att hantera PKI är en viktig roll och uppgift för företagssäkerhetsteam, där fel, föråldrade verktyg och processer samt bristande insyn leder till kostsamma incidenter och sårbarheter. Det är omöjligt att hantera manuellt på grund av ökningen av anslutna enheter, så organisationer måste överväga att implementera olika processer för att säkra sin certifikatinfrastruktur korrekt. Det finns fem förenklade åtgärder för att bygga en PKI, och dessa är följande:

• Identifiera de icke-förhandlingsbara nätverkssäkerhetsriskerna.
• Att identifiera de nätverkssäkerhetsrisker som PKI kan minska.
• Utveckla rätt blandning av offentlig och privat PKI.
• Att välja om man ska bygga eller köpa CA, dvs. intern CA eller hostad CA.
• Upptäck hur man automatiserar leveransen av certifikat till enheter.

Identifiera de icke-förhandlingsbara nätverkssäkerhetsriskerna

Det kan inte bara finnas tekniska problem relaterade till att konfigurera en PKI utan även andra typer av säkerhetsrisker som en användare måste minska. Några av säkerhetsriskerna är:

• För att förhindra obehörig åtkomst till webbtjänster.
• Förhindra obehörig åtkomst till kunskap lagrad i databaser.
• Förhindra obehörig åtkomst till användares eller organisationers nätverk.
• Verifierar äktheten hos meddelanden som överförs i användares eller organisationers nätverk.

Identifiera de nätverkssäkerhetsrisker som PKI kan minska

PKI kan dra nytta av att öka nätverkets säkerhetsnivå genom att binda en identitet till en offentlig nyckel och låta det minska risker genom kryptering, autentisering och digitala signaturer. Kryptering hjälper till att minska sekretessrisker, autentiseringscertifikat hjälper till att minska risker för åtkomstkontroller och digitala certifikat hjälper till att minska risker för integritet. Så PKI kan tillämpas på olika applikationer som:

• För att säkra olika webbsidor.
• För att kryptera filer och säkra dem.
• För att autentisera inloggningar med hjälp av smartkort.
• Kryptera och autentisera e-postmeddelanden med hjälp av S/MIME.
• För att autentisera anslutningar till ett specifikt VPN.
• För att autentisera noder som ska anslutas till ett trådlöst nätverk.

Utveckla rätt blandning av offentlig och privat PKI

Efter att ha identifierat nätverkssäkerhetsriskerna och procedurer för att minska dem, är en användare eller en organisation redo att planera arkitekturen för PKI-systemet. Den mest mogna uppsättningen är att bygga en hybridarkitektur, inklusive privat och publik PKI. Detta använder vanligtvis publik PKI för att säkra publika webbplatser och andra tjänster, medan privat PKI säkrar interna. Med PKI böjs en identitet till den publika nyckeln genom signeringsprocessen. Den signaturen utförs antingen av en rot eller en mellanliggande kedja upp till roten. Certifikat som utfärdas av de betrodda rötterna är giltiga. Om roten som band identiteten till det allmänna arkivet finns i betrodda arkivet är det okej att förlita sig på identiteten som är bunden till den publika nyckeln.

Att välja om man ska bygga eller köpa CA, dvs. intern CA eller hostad CA

Efter att ha bestämt var privata certifikat behövs för interna tjänster är nästa steg att avgöra om en CA behöver byggas (intern PKI) eller köpas (hostad PKI). Båda är bra alternativ, men beslutet handlar om vilka resurser och personal som behöver avsättas för denna PKI-installation. En hostad tjänst hjälper till att skapa rotcertifikat och säkrar dem på en nivå som motsvarar allmänhetens förtroende. Ändå kan en intern CA ge fullständig åtkomst och kontroll över utfärdandeprocessen samtidigt som den behöver bära kostnaderna för programvara, licensiering, hårdvara och utbildning. Men den största frågan är om en internt hanterad PKI är värd investeringen i pengar, tid och personal, eftersom hanteringen av ett internt PKI-system har både fördelar och dolda kostnader.

Upptäck hur man automatiserar leveransen av certifikat till enheter

För att PKI ska fungera smidigt i stor skala är det nödvändigt att automatisera certifikatdistributionsprocessen. Att ändra branschstandarder och minska certifikatens giltighetstid innebär att automatisering inte kommer att vara ett alternativ inom kort utan snarare en nödvändighet. Det kommer att finnas hundratals eller tusentals enheter att hantera. Endast genom att utnyttja automatisering kan detta hanteras effektivt och bidra till att upprätthålla säkerheten genom att minska risken för mänskliga fel och certifikatorsakade övergrepp. De fyra vanligaste metoderna för att hantera automatisering är:

• RESTful API: er

  Den valda CA:n måste tillåta användning av RESTful API-slutpunkter som en del av programmeringen för att använda programvara för enhetshantering för företag.

• Enkelt certifikatregistreringsprotokoll (SCEP)

  Den här vägen kräver en SCEP-agent på enheterna för att fungera tillsammans med programvara för enhetshantering för företag. Därefter skickar programvaran skriptet till enheten och ber den hämta ett certifikat.

• Registrering via Secure Transport (EST)

  EST är efterföljaren till SCEP. Den är nästan likartad, förutom att den stöder Elliptic Curve Cryptography (ECC), en typ av kryptografi som hjälper till att skapa snabbare, kortare och effektivare kryptografiska nycklar.

• Automatisk registrering i Microsoft AD

  Detta används för att automatisera certifikatleverans direkt till Microsoft Key Store för alla Windows-datorer och servrar.

Slutsats

Efter att ha planerat att bygga in en PKI i nätverket framgångsrikt är det möjligt att göra det för både publika och privata PKI. Det är nödvändigt att bygga en PKI, eftersom säkerhetssituationen nuförtiden är oerhört hög.