Зміст
- Що таке PKI?
- Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
- Плюси і мінуси інфраструктури відкритого ключа
- Майбутнє PKI
Винос:
Складність та початкова вартість PKI відштовхнули декілька організацій від її використання, але багато інших великих організацій здійснюють перехід.
Все пов’язано. iPad, iPod, iPhone та навіть стаціонарні телефони підключені до цієї відносно нової кордону, яку ми називаємо Інтернетом. Доступність інформації стала настільки звичною, що коли обставини не дозволяють комусь перевіряти їхній рахунок, перевірку рахунку чи сторінки на вимогу, занадто поширена реакція схожа на того, хто тимчасово втрачає використання руки або ноги. Спочатку зневіра настає, потім паніка, а потім повноцінна рішучість відновити цей зв'язок.
Але хоча наше бажання залишатися «на зв’язку», ймовірно, природне, воно також викликає певні занепокоєння щодо безпеки. Зрештою, якщо всі вищезгадані акаунти доступні кінцевому користувачу цілодобово, вони можуть бути доступні і шахраям? Крім того, безпека цих рахунків значною мірою виходить з-під нашого контролю; ви можете використати всю належну ретельність у світі, щоб забезпечити їхню безпеку, а як же людина, яка керує сервером на іншому кінці?
У галузі безпеки було багато спроб вирішити ці проблеми. Інфраструктура відкритих ключів (PKI) є одним із важливих ключових моментів цього дослідження. Тож наскільки безпечні ваші дані? Тут ми глибше розглянемо технологію PKI, розроблену для її захисту. (Щоб дізнатися більше про ключі шифрування, див. 10 найкращих практик управління ключами шифрування та безпекою даних.)
Що таке PKI?
Інфраструктура відкритих ключів - це набір апаратного, програмного забезпечення, персоналу та інших організацій, які беруть участь у спілкуванні за допомогою цифрових сертифікатів. Більш конкретно, основна частина PKI - це концепція, відома як шифрування відкритого ключа (PKE). Це є основою PKI, подібно до горючих двигунів є основою автомобільної промисловості; PKE - найважливіший компонент, який змушує PKI працювати.
Біля барвистих аналогій, що саме таке PKI / PKE, і як воно може забезпечити безпечне рішення? Гарне питання. Шифрування відкритого ключа (іноді його називають криптографією відкритого ключа) складається з аутентифікації та шифрування s через обмін публічними ключами. Ці відкриті ключі зазвичай називають цифровими сертифікатами. Вони мають математичну залежність із приватним ключем кінцевого користувача, який, як правило, ґрунтується на криптографічному алгоритмі Діффі-Гелмана або алгоритмі RSA, в якому наступна формула є відправною точкою для обміну відкритими ключами між двома сторонами, які бажають спілкуватися віддалено:
(A * B)С мод N
Де:
A = Кінцевий користувач 1
B = Кінцевий користувач 2
C = ключ сесії
N = Просте число
Ні помилок, ні стресу - покроковий посібник зі створення програмного забезпечення, що змінює життя, не руйнуючи ваше життя
Ви не можете покращити свої навички програмування, коли ніхто не піклується про якість програмного забезпечення.
Після встановлення математичних зв’язків та обміну відкритими ключами між двома або більше сторонами, зашифровані комунікації можна (принаймні теоретично) обмінятись. Крім того, всі зацікавлені сторони можуть (знову ж таки, теоретично) засвідчити один одного за допомогою цифрових підписів.
Це звучить так просто, чи не так? По суті, PKI насправді досить ефективний та ефективний, коли його практикують у середовищах, де невелика кількість користувачів спілкується один з одним, але деякі важливі проблеми виникають, коли PKI впроваджується в межах підприємства. (Докладніше про безпеку Інтернету див. У розділі 9 порад щодо збереження приватного користування Інтернетом.)
Плюси і мінуси інфраструктури відкритого ключа
Якщо правильно впроваджено, PKI може забезпечити рівень безпеки, який легко не відповідає іншим рішенням безпеки. Однією з найважливіших переваг PKI, що дозволяє забезпечити цей рівень безпеки, є концепція, відома як нерепутація. Що стосується безпеки мережі, нерозголошення просто посилається на думку про те, що двом або більше користувачам, які бажають надійно спілкуватися один з одним, не потрібно обмінюватися секретними ключами, паролями, секретними рукостисканнями чи іншим, що інакше було б потрібно для розшифровки. Ця властивість в значній мірі обумовлена вищезазначеними криптографічними алгоритмами, які створюють математичний зв’язок між парами відкритого та приватного ключів. В основному кожен кінцевий користувач відповідає за конфіденційність свого приватного ключа, тоді як інші рішення безпеки підтримують центральні сховища, де зберігаються секретні ключі, паролі та інша така конфіденційна інформація.
Зазвичай, основним недоліком PKI є мережеві накладні витрати. Мережеві накладні витрати, пов'язані з PKI, є значними порівняно з іншими рішеннями безпеки. Наприклад, вищезазначені алгоритми, в яких генеруються та обмінюються парами публічних та приватних ключів, іноді можуть споживати велику кількість мережевих ресурсів.
PKI також передбачає набагато більше, ніж просто обмін публічними та приватними ключами. Наприклад, списки відкликання сертифікатів (CRL) повинні вестись для належного відстеження дійсних та недійсних сертифікатів. У типовому для підприємств середовищі певний обсяг кадрів є фактом життя, і адміністратори безпеки повинні мати спосіб бути в курсі того, хто є, а хто не має права доступу до мережі. Якщо працевлаштування кінцевих користувачів припиняється в межах даної організації, єдиним здоровим глуздом є те, що цим працівникам мережевий доступ повинен бути скасований. Але ці CRL повинні десь зберігатися та підтримуватися, а це означає - ви здогадалися - більше мережевих ресурсів витрачається.
Майбутнє PKI
В даний час інфраструктура відкритих ключів вважається малою справою, яку можна застосувати в приватній галузі. Складність PKI, поєднана з її початковою вартістю, відштовхнула кілька організацій взяти на себе зусилля. Однак Міністерство оборони в останні роки здійснило чітко задокументований перехід до PKI, кинувши на це зусилля значним часом та скарбами. Додайте до цього кількість приватних підрядних компаній, які покладаються на ведення бізнесу з урядовим сектором інформаційної безпеки, і легко зрозуміти, що це ступінь постійності PKI.
Тож PKI тут залишається? Звичайно, це здається, і єдиний сценарій, який може спричинити зміну курсу, передбачає виявлення, використання та оприлюднення вразливості безпеки.