PKI (инфраструктура открытых ключей) и цифровые сертификаты:
актуальные проблемы

Шифрование с открытым ключом стало широко распространенным способом защиты пользователей, сетей, данных и важнейших бизнес-систем. Независимо от того, используется ли оно для шифрования данных, для цифровой подписи в документах и сообщениях, подтверждающей их целостность и подлинность, или для аутентификации пользователей и систем и контроля доступа, операции с открытыми ключами стали неотъемлемой частью современных операционных систем, коммерческих продуктов для обеспечения безопасности и систем, разработанных на заказ. Электронная коммерция, банковское обслуживание через Интернет, онлайн-игры, смартфоны и облачные вычисления опираются на использование цифровых сертификатов как способа подтверждения цифровой идентичности пользователей, подключенных устройств, веб-сервисов и коммерческих приложений.

Читать далее

Основу каждого сертификата составляет пара ключей шифрования, которые служат надежными уникальными учетными данными, тесно связанными с определенным пользователем или организацией, и используются для выполнения операций по обеспечению безопасности, таких как шифрование или подпись. Сертификатная компания отвечает за выдачу цифровых сертификатов и выполнение необходимых действий, чтобы гарантировать, что данные сертификаты имеют достаточный уровень доверия и могут быть использованы по назначению. Сертификатная компания находится в центре инфраструктуры открытых ключей (PKI), она использует одно или ряд приложений и поддерживает от нескольких до миллионов сертификатов. Организации, которые хотят воспользоваться сертификатами и предлагаемыми ими функциями обеспечения безопасности, могут создать собственную инфраструктуру открытых ключей (PKI) или приобрести сертификаты у внешних поставщиков услуг. Последний выбор наиболее подходит в случае, если сертификаты и идентификационные данные будут совместно использоваться и подтверждаться различными организациями и доменами. Организации, развертывающие внутреннюю инфраструктуру открытых ключей, имеют возможность гибко настраивать модели безопасности с целью соответствия их потребностям, но они сталкиваются со многими сложностями при настройке, поддержке и обеспечении безопасности этой инфраструктуры.

  • Так как инфраструктура открытых ключей является основой доверия, развертывание этой инфраструктуры зависит не только от технологий. Организации также должны тщательно регулировать процессы, связанные с людьми, чтобы создать надлежащую систему сдержек и противовесов. В силу возрастающей потребности подтверждения соответствия стандартам организациям необходимо, чтобы все процессы были документированы и проверены на наличие сертификации.
  • Организации должны определить, будут ли они использовать одну инфраструктуру PKI для всех сертификатов или несколько инфраструктур PKI для отдельных приложений или сфер применения. В зависимости от этого они должны подобрать соответствующие модели доверия. Вариант использования инфраструктуры PKI от сторонних поставщиков вместо создания своей собственной может усложнить процесс.
  • К сожалению, все типы инфраструктур PKI могут являться объектом атак. Если сертификатная компания подверглась взлому, цифровые сертификаты могут быть использованы злоумышленниками, и доверие ко всей системе целиком может оказаться под сомнением.
  • Хотя дискуссия об инфраструктуре PKI в основном касается процесса выдачи сертификатов, прочие процессы, связанные с подтверждением и отзывом сертификатов, часто имеют большое значение для функционирования системы и общей производительности.

Скрыть раздел

Риски

  • Кража секретных или корневых ключей сертификатной компании приводит к появлению поддельных сертификатов, поэтому при подозрении на взлом приходится повторно выпускать некоторые или все выданные ранее сертификаты.
  • Недостаточный контроль за использованием ключей подписи приводит к ненадлежащему использованию сертификатных компаний, даже если сами ключи не подвергались взлому.
  • В результате кражи или ненадлежащего использования ключей в процессе онлайн-подтверждения сертификатов процесс отзыва сертификатов может быть остановлен, вследствие чего отмененные сертификаты могут быть использованы ненадлежащим образом.
  • Появление новых приложений без соблюдения необходимых требований к процедуре подписи на этапах выдачи и подтверждения может нанести значительный ущерб бизнесу.

PKI (инфраструктура открытых ключей) и цифровые сертификаты: решения компании Thales e-Security

Продукты и услуги компании Thales e-Security помогут гарантировать целостность, производительность и управляемость вашей инфраструктуры PKI. Обеспечив безопасность процесса выдачи сертификатов и заблаговременно управляя ключами подписи, вы можете предотвратить потерю или кражу ключей, тем самым создав надежную основу цифровой безопасности. Включив аппаратные модули безопасности nShield (модули HSM) в вашу инфраструктуру PKI, вы сможете внедрить устройства с независимой сертификацией и защитой от несанкционированного доступа для обеспечения безопасности наиболее важных ключей и процессов вашей организации и использовать передовые методы широко признанной инфраструктуры открытых ключей (PKI). Видно providers разрешения средства программирования PKI such as Microsoft опубликовывали наведение заявляя то использование HSM обеспечить сильное предохранение ключей CA или других высоких ключей значения одним из самого сильного управления, котор вы можете снабдить для того чтобы защитить ваше PKI («обеспечивающ общественную ключевую инфраструктуру», Microsoft ОНИ, обеспеченность информации и управления при допущении риска, опубликовали Джун 11, 2014).

Thales проводит тестирование совместимости с ведущими поставщиками инфраструктуры PKI и публикует подробные информационные документы и руководства по интеграции, чтобы помочь вашей организации понять основные аспекты безопасности, ускорить процесс развертывания и снизить риски. Воспользовавшись продуктами, опытом и услугами, предлагаемыми компанией Thales, вы сможете безопасно управлять инфраструктурой PKI всей вашей организации.

Преимущества:

  • Воспользуйтесь преимуществами легкого развертывания и независимой сертификации для безопасного управления ключами и надежного процесса выдачи сертификатов.
  • Облегчите криптографическую обработку, чтобы ускорить ресурсоемкие операции подписи, повысить производительность и обеспечить возможность масштабирования приложений и бизнес-процессов.  
  • Откажитесь от рискованного ручного управления ключами.
  • Упростите подтверждение соответствия стандартам и выполнение запросов на проведение экспертизы и аудита с помощью строго исполняемых политик управления ключами.
  • Выберите модуль HSM из широкого диапазона форм-факторов и показателей производительности, соответствующих различным сценариям развертывания, от крупных корпоративных инфраструктур PKI до локальных или специализирующихся на определенных приложениях сертификатных компаниях.