it-swarm-vi.com

Triển khai chứng chỉ số: sử dụng hai certs cho mỗi người dùng?

Tại một môi trường doanh nghiệp lớn, tôi đã bắt gặp một cách tiếp cận triển khai cho Chứng thư số trong đó mỗi người dùng được cấp hai (2) cặp khóa:

Một để ký các tài liệu, email, v.v ... hoàn toàn là "cá nhân" (có lẽ chỉ được giữ bởi anh ta trong một ví dụ: thẻ thông minh)

Một cho mã hóa. Để tránh mọi tình huống không có người dùng, tống tiền, vv mã hóa bằng cặp khóa sau này có thể bị hệ thống quản lý khóa phá vỡ (sử dụng các chính sách phù hợp, v.v.)

Cách tiếp cận này được cho là để bảo vệ an toàn khỏi quản trị viên khi đăng nhập với tư cách là người dùng nhưng tôi thấy một số tình huống sử dụng nhất định làm cho mọi thứ trở nên phức tạp. Ví dụ. Làm thế nào về việc gửi email đã ký và mã hóa? Hai khóa công khai được duy trì cho mỗi người dùng trong danh sách liên lạc?

Vì vậy, đây có phải là một thiết kế tổng thể ưa thích (và được sử dụng rộng rãi)? Hay chúng ta chỉ nên sử dụng nó trong một số trường hợp trong đó việc ngăn chặn mạo danh là ưu tiên cao nhất?

47
George

Trong một tổ chức lành mạnh, thực sự cần thiết để có hai khóa riêng biệt, một để ký và một để mã hóa.

Khi bạn nhận được một số dữ liệu được mã hóa (ví dụ: email được mã hóa, như trong S/MIME hoặc PGP ), bạn thường lưu trữ dữ liệu được mã hóa (đó là những gì xảy ra theo mặc định cho email). Do đó, nếu khóa riêng của bạn trở nên "không khả dụng", bạn sẽ không thể đọc dữ liệu được lưu trữ trước đó: đây là tình huống mất dữ liệu. "Không có sẵn" của khóa riêng có thể có nhiều dạng, bao gồm lỗi phần cứng (con chó của bạn nhai thẻ thông minh của bạn đến chết) hoặc lỗi "phần cứng" (người giữ chìa khóa bị xe buýt đâm, hoặc bị bắn một cách bất thường, và người kế nhiệm của anh ta có thể đọc email doanh nghiệp nhận được trước đó). Để loại bỏ nguy cơ mất dữ liệu do mất khóa, bản sao lưu của khóa riêng phải được lưu trữ ở đâu đó (ví dụ: được in trên giấy, trong két sắt) (cái này thường được gọi là ký quỹ ). Nói cách ngắn gọn: khóa mã hóa PHẢI được ký quỹ.

Mất chữ ký khóa riêng không ngụ ý bất kỳ loại mất dữ liệu nào. Chữ ký mà trước đây tạo ra tiếp tục được kiểm chứng. Khôi phục sau khi mất khóa chữ ký liên quan đến việc lấy một khóa mới, và đó là tất cả. Vì vậy, không có nhu cầu mạnh mẽ để sao lưu quan trọng ở đây. Mặt khác, chữ ký thường có giá trị pháp lý (có rất ít điểm trong việc yêu cầu chữ ký nếu bạn không thể sử dụng nó để chống lại người ký, nếu sau này anh ta không thực hiện theo lời hứa của mình). Giá trị pháp lý là có điều kiện đối với bất kỳ cá nhân nào khác ngoài chủ sở hữu chính để tạo chữ ký; điều này không kết hợp tốt chút nào với một ký quỹ trên khóa. Do đó, khóa chữ ký KHÔNG PHẢI được ký quỹ.

Vì một khóa không thể được ký gửi đồng thời và không được ký gửi đồng thời, bạn cần hai khóa.

88
Thomas Pornin

Sử dụng các khóa khác nhau để ký và mã hóa là khá phổ biến. Hãy chắc chắn để đánh dấu các phím thích hợp.

Tuy nhiên, một khóa ký chuyên dụng sẽ không cung cấp sự bảo vệ thực sự chống lại quản trị viên lừa đảo. Quản trị viên có thể thao tác với ứng dụng đang thực hiện việc ký. Lưu ý điều này thậm chí đúng với thẻ thông minh: Quản trị viên có thể thao tác với ứng dụng nói chuyện với đầu đọc thẻ thông minh và gửi dữ liệu thao tác tới nó.

Trình đọc Smardcard với màn hình cung cấp một số bảo vệ, ví dụ: chuyển tiền. Tuy nhiên, trong hầu hết các trường hợp kinh doanh, thông tin đã ký không vừa với màn hình nhưng là tệp pdf.

12
Hendrik Brummermann