Подробное руководство по PKI
Под поверхностью цифровых технологий скрывается комплексная инфраструктура безопасности, лежащая в основе многих важнейших функций, которые мы считаем само собой разумеющимися. Инфраструктура открытых ключей (PKI) работает за кулисами, обеспечивая доверие и целостность практически во всех сферах цифровой жизни: от электронной почты до онлайн-банкинга и многого другого.
В этом руководстве мы рассмотрим, как PKI создает безопасную среду для онлайн-взаимодействий на различных платформах как для частных лиц, так и для организаций, обеспечивая надежные средства защиты.
Что такое PKI?
Инфраструктура открытых ключей включает в себя политики, роли, аппаратное и программное обеспечение, а также процедуры, необходимые для создания, распространения, использования, хранения и отзыва цифровых сертификатов, а также управления ими. Цифровой сертификат подобен паспорту или водительскому удостоверению: он подтверждает вашу личность и предоставляет определенные полномочия.
Цель PKI — облегчить безопасную электронную передачу информации для целого ряда выполняемых в сети действий, таких как операции электронной коммерции, интернет-банкинга и отправка конфиденциальных сообщений электронной почты. Это система, которая позволяет пользователям и машинам безопасно обмениваться данными через интернет и проверять идентификационные данные другой стороны.
Например, когда вы выполняете вход в свой банковский онлайн-счет, PKI шифрует подключение и гарантирует сохранение безопасности и конфиденциальности вашей секретной информации. Таким образом, вы можете безопасно ввести свои учетные данные и получить доступ к счету, будучи уверенными в том, что вы не взаимодействуете с незаконным веб-сайтом.
Составляющие PKI
Инфраструктура открытых ключей — это не единая технология, а сочетание нескольких существенных составляющих. Вместе они представляют собой технологии и процессы для управления шифрованием, обеспечения безопасности данных и защищенного обмена данными в требуемом масштабе.
В общих чертах PKI включает в себя перечисленные ниже составляющие.
- Ключи PKI. Пара ключей, обеспечивающая шифрование — процесс сокрытия данных, направленный на то, чтобы никто, кроме предполагаемого получателя, не мог их прочитать. В криптографии каждый открытый ключ сочетается с закрытым ключом. Открытый ключ распространяется свободно и публично, а закрытый ключ известен только владельцу и хранится в тайне.
- Цифровые сертификаты. Электронные учетные данные, которые связывают идентификационные данные владельца сертификата с парой ключей, которую можно использовать для шифрования и подписи информации.
- Центр сертификации (CA). Доверенный орган, выдающий цифровые сертификаты.
- Регистрирующий орган (RA). Отвечает за прием запросов на сертификаты и аутентификацию лица или организации, которые их отправили.
- Хранилища сертификатов. Безопасные места, где сертификаты хранятся и могут быть получены для проверки.
- Программное обеспечение для централизованного управления. Панель управления, на которой организации могут контролировать свои криптографические ключи и цифровые сертификаты.
- Аппаратные модули безопасности (HSM). Физические устройства, обеспечивающие безопасную среду для выполнения криптографических операций, а также хранения цифровых ключей и управления ими.
Многие из этих составляющих можно приобрести у поставщиков комплексной PKI. Например, PKI от Entrust — это ведущее в отрасли решение, которое организации используют для обеспечения безопасной связи между людьми, системами и ресурсами. Это гибкое предложение, которое доступно локально, в облаке и как управляемая служба PKI.
Как работает PKI?
Знание принципа работы инфраструктуры PKI поможет вам понять, почему она так важна и как ваша организация может максимально использовать ее возможности. Далее мы рассмотрим каждую ее составляющую более подробно.
Криптография и шифрование
Хотя эти понятия и взаимосвязаны, они не являются взаимозаменяемыми. Криптография — это наука о защите обмена данными с помощью кода, тогда как шифрование — это раздел криптографии, в котором для этой цели используются математические алгоритмы. И криптография, и шифрование скрывают конфиденциальную информацию, делая ее нечитаемой для неавторизованных объектов.
Алгоритмы шифрования делятся на две категории.
- Симметричное шифрование. Этот метод использует один и тот же криптографический ключ для шифрования (защиты) и расшифровки (разблокировки) данных. Несмотря на простоту, он похож на складывание всех яиц в одну корзину: любой, кто скомпрометирует ключ, может получить доступ ко всему, что он защищает.
- Асимметричное шифрование. Напротив, асимметричное шифрование используется во всей инфраструктуре PKI, поэтому его также называют криптографией с открытым ключом. Этот метод использует математически связанную пару ключей для раздельного шифрования и расшифровки. Поскольку закрытый ключ разрешает доступ, он известен только объекту, получающему защищенное сообщение.
Предположим, вы хотите отправить конфиденциальное сообщение Ивану. Вы шифруете сообщение с помощью открытого ключа Ивана, который доступен любому пользователю. Таким образом, расшифровать сообщение можно только с помощью закрытого ключа Ивана, который он хранит в безопасности. Такая настройка не позволяет другим лицам, в том числе потенциальным злоумышленникам, прочитать содержимое.
Но как вы узнаете, что полученный вами открытый ключ принадлежит соответствующему человеку? Без аутентификации вы рискуете стать жертвой атаки через посредника (MITM). Она происходит, когда самозванец использует открытый ключ для перехвата и изменения сообщений в неблаговидных целях, таких как сбор данных.
К счастью, именно здесь в игру вступают цифровые сертификаты.
Цифровые сертификаты
Цифровой сертификат, иногда называемый сертификатом открытого ключа, — это электронный документ, используемый для идентификации владельца открытого ключа. Он позволяет получателю подтвердить, что ключ отправлен из законного источника, что снижает риск атаки MITM.
Сертификаты обычно включают в себя:
- идентифицируемую информацию, например имя владельца сертификата, серийный номер сертификата и дату истечения его срока действия;
- копию открытого ключа;
- цифровую подпись выдающего CA для подтверждения подлинности.
Центры сертификации
Центр сертификации, или удостоверяющий центр, — это доверенная сторонняя организация, которая создает и выдает цифровые сертификаты. Общедоступные CA также отвечают за проверку и подтверждение идентификационных данных владельцев сертификатов, что делает их неотъемлемой частью инфраструктуры открытых ключей.
Все CA должны поддерживать «список отозванных сертификатов». Если вкратце, то в нем документируются все сертификаты, отозванные доверенным CA до запланированной даты истечения срока их действия, что позволяет определить все сертификаты, которым больше нельзя доверять.
В целом существует два типа CA.
- Корневой CA. Наиболее доверенный тип CA в иерархии PKI. Сертификат корневого CA является самозаверенным, то есть его подлинность подтверждается собственной цифровой подписью. Такие CA образуют основу доверия, поскольку их сертификаты используются для создания, подписания и выдачи сертификатов подчиненным CA или непосредственно конечным объектам.
- Подчиненный CA. Организация, сертифицированная корневым CA или подчиненным CA, расположенным выше по цепочке. Сертификаты, которые выдает подчиненный CA, имеют подпись корневого CA и, таким образом, наследуют доверие. Каждый сертификат в цепочке отвечает за подтверждение подлинности следующего, создавая непрерывный и надежный путь доверия сверху вниз.
Как CA создают цифровые сертификаты? В общих чертах процесс описан ниже.
- Создание ключей. Пользователь создает пару ключей.
- Запрос сертификата. Пользователь отправляет в CA запрос на подписание сертификата (CSR), в том числе свой открытый ключ и идентифицирующую информацию.
- Проверка. CA проверяет личность пользователя, часто с помощью RA.
- Выпуск сертификата. После проверки CA выдает цифровой сертификат, содержащий открытый ключ пользователя и другие идентификационные данные. Этот сертификат также подписывается закрытым ключом CA, создавая цифровую подпись.
- Использование сертификата. Для защищенного обмена данными отправитель может зашифровать сообщение с помощью открытого ключа получателя. Получатель сообщения может расшифровать его, используя свой закрытый ключ.
Системы управления сертификатами
Системы управления сертификатами — это программные решения, которые облегчают все аспекты жизненного цикла сертификатов. Они используют автоматизацию для оптимизации процессов и обеспечения надлежащего управления криптографическими активами: от регистрации и выпуска сертификатов до их распространения, отзыва и продления.
Например, некоторые решения ведут подробные журналы всех связанных действий, что помогает соответствовать нормативно-правовым требованиям и проводить внутренние аудиты. Благодаря централизованному управлению через единый источник достоверных данных организации снижают риск неправильного управления сертификатами и улучшают защиту данных.
Аппаратные модули безопасности
Наконец, модули HSM играют ключевую роль в архитектуре безопасности PKI. В общих чертах, это физические устройства, предназначенные для защиты криптографических процессов путем генерации, хранения и обработки ключей в устойчивой к взлому среде с повышенными параметрами защиты.
Возьмем, к примеру, генерацию ключей. Аппаратный модуль безопасности может создавать пару ключей с помощью высококачественных генераторов случайных чисел, что очень важно для поддержания устойчивости и целостности криптографических систем. Поскольку ключи никогда не передаются с устройства в виде обычного текста, их подверженность потенциальным уязвимостям сведена к минимуму.
Аналогично одной из основных функций HSM является хранение закрытых ключей. Хранение в аппаратной среде защищает их от получения или компрометации неавторизованными лицами.
Узнайте подробнее о решениях PKI от Entrust и скачайте наше руководство для покупателей PKI уже сегодня.
Почему важна инфраструктура открытых ключей PKI?
Возможно, лучший способ понять важность инфраструктуры PKI — это рассмотреть ее варианты использования в истинном свете. Далее представлены некоторые из наиболее основных способов того, как организации могут использовать PKI в своих интересах.
1. Защищенный обмен данными
PKI — это основа основ для защиты различных форм цифрового обмена данными, включая службы электронной почты, обмена сообщениями и многое другое. Она не только защищает указанные каналы, но и делает их более надежными для всех вовлеченных сторон — потребителей, партнеров, сотрудников, граждан и других лиц.
2. Аутентификация и контроль доступа
PKI предоставляет механизмы строгой аутентификации для пользователей, осуществляющих доступ к системам, сетям или онлайн-службам. Сертификаты могут служить формой безопасных цифровых идентификационных данных, гарантируя, что доступ предоставляется только проверенным пользователям.
Эти возможности делают инфраструктуру PKI особенно полезной для организаций, внедряющих модель безопасности Zero Trust. Zero Trust работает по принципу «никогда не доверяй, всегда проверяй», что требует непрерывной аутентификации для подтверждения каждого пользователя и устройства, осуществляющего доступ к ресурсам, независимо от местоположения.
Кроме того, этот подход приносит свои плоды. Согласно данным исследования Forrester, безопасность Zero Trust может приумножить бизнес-результаты и при этом улучшить удобство для пользователей.
3. Безопасный просмотр веб-страниц
Многие аспекты PKI весьма актуальны для просмотра интернет-страниц и осуществления онлайн-транзакций. Браузеры используют цифровые сертификаты с протоколами Secure Sockets Layer (уровень защищенных сокетов, SSL) и Transport Layer Security (безопасность на транспортном уровне, TLS) для аутентификации веб-сайтов и установления зашифрованных подключений. Проще говоря, они информируют конечных пользователей о том, что те выполняют доступ к надежному домену.
Сертификаты TLS/SSL гарантируют конфиденциальность всей информации, передаваемой между веб-сервером и браузером. Веб-сайты и серверы, которые не имеют сертификатов, подвержены атакам и риску попадания конфиденциальных данных в чужие руки.
4. Подписание документов и установка меток времени
Цифровые подписи на базе PKI подтверждают подлинность и целостность электронных документов. Это крайне важно для юридических документов, договоров и других записей, для которых требуется подтверждение подлинности и согласия.
Прежде всего, сертификаты подписи документов служат трем основным целям.
- Подлинность. Сертификат подтверждает, что документ подписан физическим или юридическим лицом, которое владеет закрытым ключом, соответствующим открытому ключу в сертификате.
- Целостность. Любые изменения, внесенные в документ после его подписания, делают цифровую подпись недействительной. Это гарантирует, что полученный документ — это именно то, что подписавшееся лицо хотело отправить, без каких-либо изменений.
- Неопровержимость. Подписавшееся лицо не может опровергнуть подлинность своей подписи на документе, поскольку цифровая подпись и связанный с ней сертификат служат убедительным доказательством личности подписавшегося лица и его согласия с содержанием документа на момент подписания.
5. Подпись кода
Разработчики программного обеспечения используют сертификаты подписи кода для проверки подлинности своих сценариев. Благодаря им конечные пользователи могут убедиться, что загружаемое ими программное обеспечение не было изменено. Это помогает защититься от вредоносного ПО, сохранить целостность программного обеспечения и укрепить доверие потребителей.
6. Интернет вещей (Internet of Things — IoT)
С увеличением числа подключенных устройств количество машин все больше и больше превышает количество пользователей-людей. Эти устройства (такие как датчики, которые собирают, хранят и передают данные на другие машины) потенциально уязвимы для киберугроз. Однако с таким количеством устройств управлять безопасностью IoT становится все сложнее.
Предоставляя каждому устройству уникальный цифровой сертификат, PKI обеспечивает надежную аутентификацию, подтверждая, что взаимодействующие устройства действительно являются законными. Это крайне важно для предотвращения несанкционированного доступа и утечек данных.
Кроме того, PKI обеспечивает зашифрованную связь между устройствами, защищая передаваемые конфиденциальные данные от перехвата и взлома. Такой комплексный подход к безопасности необходим для сохранения целостности и конфиденциальности данных во все более сложных экосистемах IoT.
Рекомендации по PKI
Далее представлены несколько рекомендаций о том, как получить максимальную пользу от внедрения PKI.
- Используйте хранилище закрытых ключей. Внедрите надежные механизмы для защиты закрытых ключей, например используйте модули HSM, которые обеспечивают физическую и логическую защиту от взлома и несанкционированного доступа.
- Выполняйте регулярную ротацию и обновление ключей. Ключи и сертификаты нельзя использовать бесконечно. Установите порядок регулярной ротации ключей и обновления сертификатов, чтобы снизить риски, связанные с использованием ключей, и повысить уровень безопасности. Кроме того, при необходимости отзывайте криптографические активы, например, если сотрудник покидает компанию или закрытый ключ скомпрометирован.
- Внедрите схемы строгой аутентификации. Интегрируйте многофакторную аутентификацию (MFA) для повышения уровня безопасности, особенно для доступа к системам PKI и выполнения конфиденциальных операций, таких как выпуск или отзыв сертификатов.
- Централизуйте управление сертификатами и ключами. Внедрите инструменты и процессы для управления всем жизненным циклом сертификатов: от выпуска до отзыва или истечения срока действия. При этом вы должны убедиться, что эти инструменты способствуют соблюдению политик PKI и стандартов безопасности.
- Создайте политики резервного копирования и восстановления ключей. Установите и регулярно тестируйте процедуры резервного копирования и восстановления, чтобы гарантировать, что критически важные компоненты PKI могут быть быстро и безопасно восстановлены после сбоя или аварии.
- Обновляйте политики и процедуры. Политики сертификатов (CP) и заявления о практике сертификации (CPS) крайне важны для PKI. CP — это всеобъемлющий документ, в котором описываются различные классы сертификатов, выдаваемых центром сертификации, и применимые к ним политики. В CPS подробно описано, как CA реализует эти политики в техническом плане. Эти документы совершенно необходимо поддерживать в актуальном состоянии, чтобы сохранять безопасность, доверие и соблюдать нормативно-правовые требования. Их требуется регулярно рассматривать и пересматривать, чтобы они соответствовали динамичному ландшафту кибербезопасности, технологий и нормативных изменений.
Обеспечьте баланс между защитой и удобством для пользователей с помощью PKI от Entrust
Только всеобъемлющие решения PKI могут достичь цели создания и поддержания надежной сетевой среды, обеспечивая в то же время автоматическую и прозрачную систему, удобную для пользователей. К счастью, компания Entrust может предоставить вам все необходимое для успеха.
Наши управляемые службы PKI позволяют создавать идентификационные данные с использованием сертификатов для защиты пользователей, приложений и устройств на вашем развивающемся предприятии. Кроме того, наши эксперты выполнят первоначальную установку, настройку, а также будут проводить текущее обслуживание и аудиты от вашего имени. Почему? Чтобы добиться максимальной эффективности внедрения PKI.