it-swarm-eu.dev

Nasazení digitálního certifikátu: používáte dva certifikáty pro každého uživatele?

Ve velkém podnikovém prostředí jsem narazil na přístup zavádění digitálních certifikátů, kde každému uživateli byly vydány dva (2) páry klíčů:

Jeden pro podepisování dokumentů, e-mailů atd., Který je zcela „osobní“ (možná je uchovává pouze u něj např. Na čipové kartě)

Jeden pro šifrování. Aby nedocházelo k nedostupnosti uživatele, vydírání atd., Šifrování pomocí tohoto páru klíčů může systém správy klíčů obejít (pomocí příslušných politik atd.).

Tento přístup by měl chránit před podpisem administrátora jako uživatele, ale zjistil jsem, že některé scénáře použití komplikují věci. Např. a co posílání podepsaných a šifrovaných e-mailů? Dva veřejné klíče udržované pro každého uživatele v seznamu kontaktů?

Je to celkově preferovaný (a široce používaný) design? Nebo bychom ji měli použít pouze v některých případech, kdy prevence předstírání identity je nejvyšší prioritou?

47
George

V rozumné organizaci je ve skutečnosti nutné mít dva odlišné klíče, jeden pro podepisování a druhý pro šifrování.

Když obdržíte některá zašifrovaná data (např. Zašifrovaný e-mail, jako v S/MIME nebo PGP ), normálně uložíte šifrovaná data (to se ve výchozím nastavení stává pro e-mail). Pokud se váš soukromý klíč stane „nedostupným“, přestanete mít možnost číst dříve uložená data: jedná se o situaci ztráty dat. „Nedostupnost“ soukromého klíče může mít několik podob, včetně selhání hardwaru (váš pes žvýká vaši inteligentní kartu k smrti) nebo „hardwarové“ selhání (držitele klíče zasáhne autobus nebo neomylně vystřelí a jeho nástupce by měl být schopen přečtěte si dříve přijaté firemní e-maily). Pro odstranění rizika ztráty dat ztrátou klíče musí být někde uložena záloha soukromého klíče (např. Vytištěna na papíře, v bezpečí) (často se nazývá escrow ). Zkrátka: šifrovací klíče MUSÍ být svázány.

Ztráta soukromého klíče neznamená žádnou ztrátu dat. Podpisy, které byly dříve vygenerovány, jsou ověřitelné. Obnovení po ztrátě podpisového klíče vyžaduje získání nového klíče a to je vše. Zde tedy není potřeba žádná klíčová záloha. Na druhé straně podpisy mají obvykle právní hodnotu (není-li požadováno podpis, pokud proti podpisovateli nemůžete použít, nemá smysl žádat o podpis, pokud by později nedodržel své sliby). Právní hodnota je podmíněna nemožností generovat podpis pro jakoukoli jinou osobu než klíčového vlastníka; to se dobře nemíchá vůbec s escrow na klíči. Podpůrný klíč proto NESMÍ být vázán.

Vzhledem k tomu, že klíč nemůže být současně vázán a není vázán, potřebujete dva klíče.

88
Thomas Pornin

Používání různé klíče pro podepisování a šifrování jsou docela běžné. Nezapomeňte správně označit klíče.

Vyhrazený podpisový klíč však bude nenabízí žádnou skutečnou ochranu proti nepoctivému administrátorovi. Správce je schopen manipulovat s aplikací, která provádí podpis. Toto platí i pro čipové karty: Správce může manipulovat s aplikací, která hovoří se čtečkou čipových karet, a odesílat jí manipulovaná data.

Čtečky čipových karet s displejem nabízejí určitou ochranu, např. převod peněz. Ve většině obchodních případů se však podepsané informace nevejdou na displej, ale jsou ve formátu pdf.

12