Часть первая: Что такое PKI и почему это важно?

Автор: Ричард Моулдс (Вице-президент по стратегии и маркетингу Thales e-Security)

Перевод материала: Даниил Пустовой

Бизнес становится все более зависимым от цифровой информации и электронных транзакций и сталкивается в результате с жесткими требованиями конфиденциальности данных и стандартами безопасности. Компании испытывают все больше угроз со стороны кибермошенников и злоумышленников-инсайдеров, поэтому бизнес все более зависим от правильного использования цифровых учетных записей, позволяющих контролировать доступ пользователей и программ к конфиденциальным данным и критическим системным ресурсам.

Инфраструктура открытых ключей (PKI) необходима, чтобы однозначно и корректно идентифицировать личности пользователей, устройства и сервисы. В двух словах PKI – это следующий шаг по сравнению с именем пользователя и паролем, применяющий криптографические технологии, такие как цифровые подписи и цифровые сертификаты, для создания учетных записей. Данные технологии удостоверяют подлинность подписей и обспечивают их массовый выпуск.

Технология PKI используется даже шире, чем вы могли бы подумать. Это краеугольный камень в шифровании данных и передачи их по Интернету с помощью SSL/TLS – без этой технологии электронная коммерция была бы невозможна. PKI используется для электронной цифровой подписи документов, транзакций и программного кода, что позволяет подтвердить происхождение и целостность этих данных. Это очень важная задача в связи с постоянным ростом количества троянов и другого вредоносного ПО.

И наконец, PKI лежит в основе безопасности потребительского рынка, обеспечивая аутентификацию для смартфонов, планшетов, игровых приставок, гражданских паспортов, транспортных билетов и мобильного банка. Как же PKI в действительности работает? Криптография применяется для всех пользователей, разделяя их на характерные группы с помощью набора криптографических ключей: открытый ключ, доступный всем в группе, и закрытый ключ, который должен храниться в секрете и использоваться исключительно той стороной, которая его сгенерировала, в основном для таких задач как дешифрация или для определенных электронных цифровых подписей.

Критически важными для правильной работы инфраструктуры PKI являются цифровые сертификаты. Сродни тому, как паспорт удостоверяет личность гражданина страны, цифровой сертификат придаёт ключевой паре смысл и идентифицирует пользователей внутри группы.

Поэтому жизненно необходимо защищать подлинность и целостность цифровых сертификатов, а также процессы их создания и выпуска – иначе учетным данным нельзя будет доверять, и они станут бесполезными.

Удостоверяющие центры являются основным компонентом инфраструктуры PKI, который управляет жизненным циклом всех цифровых сертификатов в рамках PKI. Удостоверяющий центр – это сторона, которой одновременно доверяют владелец сертификатами кто его использует. По причине этой важной взаимосвязи удостоверяющие центры обеспечивают безопасность не только для PKI, но и для всех транзакций и взаимодействий, защищенных сертификатами, которые они выпустили.

Неудивительно, что удостоверяющие центры подвергаются множеству атак, подобных той, что была осуществлена на DigiNotar в сентябре 2011 года.

Большинство крупных компаний и государственных организаций используют собственные удостоверяющие центры и выпускают сертификаты для собственных нужд. Другие организации могут пользоваться сервисами удостоверяющих центров, в которых, как правило, взымается плата за выпуск сертификатов. Эти сервисы могут быть доступны разным организациям и широкой публике, и, следовательно, использоваться с целью установления между ними доверительных отношений, в роли третьего доверенного лица.

Мы уже рассмотрели несколько важных концепций, однако, возможно, вы до сих пор не осознаете, почему все же PKI так важна для нас. Ответ в том, что практически все проверки безопасности сводятся, в конечном счете, к аутентификации и контроле доступа. Шифрование – мощнейший инструмент для обеспечения защиты конфиденциальности, но до тех пор, пока данные не будут расшифрованы, они остаются бесполезными.

Критической задачей становится определение того, кто имеет право расшифровать данные и получать доступ к приложениям. Если мы подумаем об облачных вычислениях, виртуализации, аутсорсинге и других примерах, где традиционные средства защиты периметра компании стали исчезать, необходимость в аутентификации и контроле становится очевидной. Если компания беспокоится о целостности своих данных и систем, ей необходимо либо развернуть инфраструктуру PKI с соответствующим набором проверок и настроек, либо использовать сторонние сервисы, которым можно доверять.

Игнорирование этого делает организацию незащищенной и все более уязвимой по сравнению с другими потенциальными жертвами злоумышленников.