Меню
call
Позвонить
contacts
Контакты
home
Главная
ГлавнаяНовостиСтатьиСоответствует ли требованиям ваша PKI?

Соответствует ли требованиям ваша PKI?

Часть третья: Соответствует ли требованиям ваша PKI?

Автор: Ричард Моулдс (Вице-президент по стратегии и маркетингу Thales e-Security)

Перевод материала: Даниил Пустовой

Поскольку все больше бизнес-процессов реализуется в сети, организациям необходимо регулярно проводить аудит инфраструктуры PKI на соответствие требованиям безопасности. Независимо от того, имеет ли организация собственный удостоверяющий центр или использует сервисы частного или государственного, эффективность PKI пропорциональна ее безопасности.

Во многих организациях возникает проблема: инфраструктура PKI, которую они изначально развернули для небольшого объема операций, более не подходит. Это обычная практика – завязывать все больше бизнес-приложений на PKI. Хорошим примером является развитие концепции Bring Your Own Device (BYOD). Все больше сотрудников выходят в корпоративную сеть со своих собственных устройств, и бизнес должен убедиться, способна ли существующая PKI поддерживать множество смартфонов, планшетов и ноутбуков, подключаемых к сети. Количество необходимых сертификатов может расти и значительно превзойти изначальные оценки, в связи с этим выбранные ранее алгоритм и длина ключа уже не будут оптимальными.

Организации должны позаботиться об оценке стойкости их PKI. Программные реализации (т.е. системы,  в которых не применяются аппаратные криптографические средства, такие как аппаратные модули безопасности HSM) изначально уязвимы ко многим угрозам PKI, поэтому существуют передовые практики, о которых будет рассказано дальше.

Представьте, что компания выпускает смарткарты для контроля доступа сотрудников к физическим и виртуальным ресурсам. Скорее всего, эти карты, помимо фотографии пользователя, будут содержать зашифрованные ключи, подтверждающие его личность для доступа в закрытые зоны а также подписи электронных документов и бизнес-транзакций.

Если УЦ, выпускающий ключи, скомпрометирован, личность пользователя не сможет быть корректно проверена. Последствия этого могут быть катастрофическими: злоумышленники могут украсть IP адрес, выполнить неавторизованные транзакции и подорвать бизнес.

Подобным образом производители ПО, использующие цифровые подписи для проверки подлинности своих продуктов, столкнутся с большими проблемами, если клиенты не смогут доверять и проверять подлинность загружаемых продуктов. Как клиент, который загружает обновление, скажем, Adobe, вы видите всплывающее окно на экране, подтверждающее, что это безопасное ПО. Скомпрометированный УЦ, однако, способен выпускать фальшивые сертификаты, что позволит ничего не подозревающим клиентам устанавливать с виду правильно подписанное ПО из фальшивого источника. При таком сценарии возможно заражение платформы клиента, что негативно отразится на репутации разработчика и даже может разрушить его бизнес. Именно поэтому подписание кода – это критически важная задача PKI.

Частные УЦ делают бизнес на том, что продают доверие, именно поэтому такие атаки, как в случае с УЦ DigiNotar в 2011 году, настолько вредоносны. Если доверие подорвано, то такая компания, скорее всего, покидает этот бизнес.

Каким же образом определить требования к защищенности вашей PKI? Основными факторами являются:

  •   Количество сертификатов, выпускаемых УЦ;
  •   Количество поддерживаемых приложений;
  •   Ценность этих приложений;
  •  Регулируются ли данные приложения государственными или отраслевыми стандартами.

Другие факторы:

  • География и топология партнеров и сторонних организаций;
  • Процесс согласования, включая аудит и учет;
  • Скорость выпуска сертификатов, их проверки и связанные с этим временные задержки;
  • Существующие криптографические политики.