Содержание
- Что такое PKI?
- Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
- Инфраструктура открытых ключей Плюсы и минусы
- Будущее PKI
вынос:
Сложность и первоначальные затраты PKI отговаривали несколько организаций от принятия этого решения, но многие другие крупные организации осуществляют переход.
Все связано. iPad, iPod, iPhone и даже стационарные телефоны подключены к этой относительно новой границе, которую мы называем Интернетом. Доступ к информации стал настолько обычным явлением, что всякий раз, когда обстоятельства не позволяют кому-либо проверить свою учетную запись, проверить учетную запись или страницу по требованию, слишком распространенная реакция сродни тому, как кто-то временно теряет руку или ногу. Сначала возникает недоверие, затем паника, а затем полноправное намерение восстановить эту связь.
Но хотя наше желание оставаться «на связи», вероятно, является естественным, оно также вызывает некоторые опасения по поводу безопасности. В конце концов, если все вышеупомянутые учетные записи доступны для конечного пользователя 24/7, могут ли они быть также доступны для мошенников? Кроме того, безопасность этих учетных записей в значительной степени находится вне нашего контроля; Вы могли бы использовать всю должную осмотрительность в мире для обеспечения их безопасности, но как насчет человека, управляющего сервером на другом конце?
В индустрии безопасности было много попыток решить эти проблемы. Инфраструктура открытых ключей (PKI) является одним из важных ключей в этом исследовании. Так насколько безопасны ваши данные? Здесь мы более подробно рассмотрим технологию PKI, предназначенную для ее защиты. (Подробнее о ключах шифрования см. В 10 рекомендациях по управлению ключами шифрования и защите данных.)
Что такое PKI?
Инфраструктура открытых ключей - это набор аппаратных средств, программного обеспечения, персонала и других объектов, связанных с коммуникацией посредством цифровых сертификатов. Более конкретно, основная часть PKI представляет собой концепцию, известную как шифрование с открытым ключом (PKE). Это основа PKI, так же, как горючие двигатели являются основой автомобильной промышленности; ПКЕ является важным компонентом, который заставляет работать PKI.
Помимо красочных аналогий, что такое PKI / PKE и как оно может обеспечить решение для обеспечения безопасности? Хороший вопрос. Шифрование с открытым ключом (иногда называемое криптографией с открытым ключом) состоит из аутентификации и шифрования с помощью обмена открытыми ключами. Эти открытые ключи обычно называются цифровыми сертификатами. Они имеют математическую связь с закрытым ключом конечного пользователя, которая обычно основана на криптографическом алгоритме Диффи-Хеллмана или алгоритме RSA, в котором следующая формула является отправной точкой для обмена открытыми ключами между двумя сторонами, которые хотят общаться удаленно:
(A * B)С мод N
Где:
A = Конечный пользователь 1
B = Конечный пользователь 2
C = ключ сессии
N = простое число
Нет ошибок, нет стресса - ваше пошаговое руководство по созданию изменяющего жизнь программного обеспечения без разрушения вашей жизни
Вы не можете улучшить свои навыки программирования, когда никто не заботится о качестве программного обеспечения.
После того, как математические отношения установлены и после обмена открытыми ключами между двумя или более сторонами, можно (по крайней мере теоретически) обменяться зашифрованными сообщениями. Кроме того, все заинтересованные стороны могут (опять же, теоретически) аутентифицировать друг друга с помощью цифровых подписей.
Звучит так просто, не правда ли? На самом деле, PKI на самом деле довольно эффективен и действенен, когда практикуется в средах, где небольшое количество пользователей общаются друг с другом, но при внедрении PKI внутри предприятия возникают некоторые важные проблемы. (Для получения дополнительной информации о безопасности в Интернете см. 9 советов о том, как сохранить конфиденциальность использования Интернета.)
Инфраструктура открытых ключей Плюсы и минусы
При правильной реализации PKI может обеспечить уровень безопасности, который нелегко сочетается с другими решениями безопасности. Одним из основных преимуществ PKI, обеспечивающим такой уровень безопасности, является концепция, известная как неотказность. В контексте сетевой безопасности неотказность просто относится к идее, что двум или более пользователям, которые хотят безопасно общаться друг с другом, не нужно обмениваться секретными ключами, паролями, секретными рукопожатиями или чем-то еще, что в противном случае было бы необходимо для расшифровки. Это свойство в немалой степени обусловлено вышеупомянутыми криптографическими алгоритмами, которые создают математические отношения между парами открытого и закрытого ключей. По сути, каждый конечный пользователь несет ответственность за конфиденциальность своего личного ключа, тогда как другие решения безопасности поддерживают центральные хранилища, в которых хранятся секретные ключи, пароли и другая подобная конфиденциальная информация.
То, что обычно называют основным недостатком PKI, - это издержки сети. Сетевые издержки, связанные с PKI, значительны по сравнению с другими решениями безопасности. Например, вышеупомянутые алгоритмы, в которых пары открытого и закрытого ключей генерируются и обмениваются, иногда могут потреблять большие объемы сетевых ресурсов.
PKI также включает в себя гораздо больше, чем просто обмен открытыми и закрытыми ключами. Например, списки отзыва сертификатов (CRL) должны поддерживаться, чтобы правильно отслеживать действительные и недействительные сертификаты. В типичной корпоративной среде определенная текучесть кадров является фактом жизни, и у администраторов безопасности должен быть способ быть в курсе того, кто есть, а кто не авторизован для доступа к сети. Если занятость для конечных пользователей прекращается в рамках данной организации, единственное здравое чувство заключается в том, что доступ сотрудников к сети должен быть аннулирован. Но эти CRL должны где-то храниться и поддерживаться, что означает - как вы уже догадались - больше сетевых ресурсов потребляется.
Будущее PKI
В настоящее время инфраструктура открытых ключей считается немалой рутиной для реализации в частном секторе. Сложность PKI в сочетании с ее первоначальными затратами не позволила нескольким организациям взять на себя эти усилия. Тем не менее, министерство обороны в последние годы осуществило хорошо документированный переход на PKI, потратив значительное время и усилия на это. Добавьте к этому число частных подрядных компаний, которые полагаются на деловые отношения с государственным сектором информационной безопасности, и легко понять, что существует определенная степень постоянства для PKI.
Так PKI здесь, чтобы остаться? Это, конечно, кажется, и единственный сценарий, который может вызвать изменение курса, связан с обнаружением, эксплуатацией и публикацией уязвимости в системе безопасности.