Private Key Infrastructure (PKI)
2.10.2015
Průzkumy dokazují, že objem kybernetické kriminality má rostoucí trend. (Ponemon, 2014) Je tedy velice aktuální, aby také reakce ze strany uživatelů i provozovatelů informačních a komunikačních systémů byla adekvátní. Čím dál, tím více osobních a jinak citlivých informací je svěřovaných do elektronických databází dostupných online a proto se stává nezbytností potřeba autentizace vůči stroji.
Počítač, ze své podstaty není schopen sám od sebe důvěryhodně identifikovat osobu u klávesnice, proto uživatel potřebuje svou elektronickou identitu, kterou by se mohl vůči počítači prokázat. Tu mu propůjčuje elektronický certifikát. Pokud je tento certifikát pro počítač důvěryhodný, počítač použije data v certifikátu obsažená a tím uživatele úspěšně autentizuje – ověří jeho identitu. Toto vše díky infrastruktuře veřejného klíče, která je založená na asymetrické kryptografii.
PKI by se dala definovat jako „množina veškerých hardwarových i softwarových prostředků, lidských zdrojů, politik a procesů potřebných pro vytváření, správu, distribuci, použití, ukládání a zamítání digitálních certifikátů a asymetrické kryptografie.“ Další možností jak přiblížit smysl PKI je výčtem poskytovaných služeb. S ohledem na jeho implementaci v konkrétním use case může obsahovat všechny nebo pouze část zmiňovaných služeb. Při vyšší úrovni abstrakce se bavíme o třech službách (Degan, 2015):
- Autentizace (Authentication) – nám poskytuje jistotu, že osoba nebo entita je tím čím se prokazuje, že je – jako technický prostředek k tomu slouží digitální podpisy či digitální razítka vytvořené na základě certifikátu.
- Integrita (Integrity) – nám poskytuje jistotu, že zpráva nebyla pozměněna během přenosu a byla podepsána v čase, kterým se prokazuje (tedy je platná od uvedeného času) – jako technický prostředek zle dlouží digitální podpis či značka a časové razítko.
- Důvěrnost (Confidentiality) – nám poskytuje jistotu, že zprávu není schopný číst nikdo jiný než předem určený příjemce – jako technický prostředek se zde používá kryptografie.
Pokud bychom chtěli zmiňovat již konkrétnější příklady implementace, zde je seznam často požívaných funkcionalit založených na PKI (Degan):
- Více faktorová autentizace do aplikací či portálů
- Smart Card logon k operačnímu systému
- Pre - boot autentizace
- Výměna a ochrana symetrických klíčů
- Podepisování a šifrování souborů a zpráv
- Jednoznačné určení dokumentu v čase
- Přístup do VPN
- SSL
Je nutné si uvědomit, že bezpečnost IT nelze koupit jako nějaký krabicový software či hardware. Bezpečnost je nutné implementovat jako součást firemní kultury, nutnost mít definovanou bezpečnostní strategii a z té odvodit bezpečnostní procesy a politiky. Ty následně aplikovat pomocí hardwarových a softwarových komponent PKI, které jsou pouze nástrojem.
Zdroje:
PONEMON INSTITUTE LLC. 2014. 2014 Cost of Data Breach Study: Global Analysis[online]. 29 s. [cit. 2015-05-01]. Dostupné také z: Dostupné po registraci
DEGAN, Jeffrey. 2015. PKI Basics: OpenTrust Certification Training. Paris, France. Dostupné také z: Dokument není veřejně dostupný
Sekce: Články | Tisk | Poslat článek známému