Kapitel 9. Bra lösenord... Hur du skyddar din sida i socialt nätverk från stöld? 9.1. Välja ett bra lösenord Många användare använder lösenord som 1, 1234, qwerty och undrar sedan varför deras brevlåda eller en sida på ett socialt nätverk har hackats. Svaret är enkelt - för henne

Skydda Den här funktionen är för dem som inte vill korrigeras i texten. Om du klickar på knappen Skydda dokument och väljer kommandot Begränsa formatering och redigering, kommer en ytterligare panel att visas (Bild 1.115). Som du kan se på bilden kan du

Så här skyddar du din bärbara dator En bärbar dator är tillräckligt hållbar. Ändå finns det många situationer i omvärlden som kan förstöra en bärbar dator. Det kan tyckas konstigt, men de flesta bärbara datorer förstörs under mycket triviella omständigheter. Nej

- (vandalsäkert skåp) (engelska skyddsskåp) telekommunikationsskåp för placering och skydd av telekommunikationsutrustning (servrar, routrar, switchar, modem, telefonväxlar, optiska delningselement ... ... Wikipedia

Elektronisk nyckel - Denna term har andra betydelser, se Elektronisk nyckel (betydelser). Elektronisk nyckel (även en hårdvarunyckel, ibland en dongel från den engelska dongeln) hårdvara, utformad för att skydda programvara (programvara) och data från ... ... Wikipedia

PGP - Ganska bra integritet Av Philip Zimmermann Utvecklare Philip Zimmermann Skriven i flerspråkig drift linux-system, Mac OS X, Windows Första utgåvan 1991 Webbplats ... Wikipedia

Vernam-chiffer - (ett annat namn: engelska One time padschema för engångsplattor) i kryptografi, ett symmetriskt krypteringssystem som uppfanns 1917 av AT T-anställda Major Joseph Moborn och Gilbert Vernam. Vernam-chiffer ... ... Wikipedia

Dongle - En elektronisk nyckel (även en hårdvarunyckel, ibland en dongel från engelska dongle) är en hårdvaruenhet utformad för att skydda programvara (programvara) och data från kopiering, olaglig användning och obehörig distribution ... Wikipedia ...

Diffie algoritm - Algoritm Diffie Hellman (eng. Diffie Hellman, DH) en algoritm som gör det möjligt för två parter att få en delad hemlig nyckel med hjälp av en oskyddad kommunikationskanal, men skyddad från förfalskning. Den här nyckeln kan användas ... Wikipedia

Obrytbar chiffer - (Vernam-chiffer) - i kryptografi, en hel klass av system med absolut kryptografisk styrka, allmänt känd som "engångskuddar / insatser" .. Innehåll 1 Skapningshistoria 2 Beskrivning ... Wikipedia

Diffie-Hellman-algoritm - (engelska Diffie Hellman, DH) en algoritm som gör det möjligt för två parter att få en delad hemlig nyckel med hjälp av en oskyddad från avlyssning, men skyddad från falsk kommunikationskanal. Denna nyckel kan användas för att kryptera ytterligare utbyte med ... ... Wikipedia

WPA - och WPA2 (Wi Fi Protected Access) är ett uppdaterat enhetscertifieringsprogram trådlös... WPA ersätter säkerhetsteknik trådlösa nätverk WEP. WPA-fördelar är förbättrad datasäkerhet ... Wikipedia

Engångsplatta

Cipher pad - Vernam-chiffer (ett annat namn: engelska One time pad-schema för engångskuddar) i kryptografi är ett symmetriskt krypteringssystem som uppfanns 1917 av AT T-anställda Major Joseph Moborn och Gilbert Vernam. Vernams chiffer är ... ... Wikipedia

PKI-baserade lösningar fortsätter att växa i popularitet - fler webbplatser flyttar till HTTPS, företag antar digitala certifikat för användar- och datorautentisering, S / MIME bevisar sitt värde för kryptering. e-post, och som ett sätt att kontrollera källan till meddelanden för att motverka nätfiske. Men kryptering och autentisering i dessa applikationer är praktiskt taget meningslöst utan korrekt nyckelhantering.

Varje gång du utfärdar ett digitalt certifikat från en certifieringsmyndighet (CA) eller självsignerat certifikat måste du skapa ett privat och offentligt nyckelpar. Bästa praxis är att hålla dina privata nycklar säkra och, ja ... hemliga! Om någon tar emot dem kan de, beroende på typ av certifikat, skapa nätfiskewebbplatser med organisationens certifikat i adressfältet för att autentisera i företagsnätverkgenom att imitera dig, underteckna bilagor eller dokument för dina räkning eller läsa dina krypterade e-postmeddelanden.

I många fall är hemliga nycklar den personliga identiteten för dina anställda (och därför en del av organisationens personuppgifter), så deras skydd motsvarar fingeravtrycksskydd när du använder biometriska referenser. Du låter inte en hackare få ditt fingeravtryck, eller hur? Det är detsamma med privata nycklar.

I den här artikeln kommer vi att diskutera alternativ för att säkra och lagra privata nycklar. Som du ser kan dessa alternativ variera något beroende på typ av certifikat och hur du använder det (till exempel, rekommendationerna för SSL / TLS-certifikat skiljer sig från rekommendationerna för slutanvändarcertifikat).

Butiker av certifikat / nycklar i operativsystem och webbläsare

I vissa operativsystem och webbläsare har certifikat eller nyckelbutiker. Det här är programvarubaser som lagrar ett privat / offentligt nyckelpar lokalt på din dator som en del av ett certifikat. Denna lagring av nycklar är ganska populär: många applikationer letar automatiskt efter nycklar här omedelbart, och du behöver inte ange certifikatfilen manuellt varje gång, så det här är ett ganska bekvämt alternativ.

Ett annat plus med detta alternativ är att det är ganska enkelt att anpassa. Du kan aktivera / inaktivera export av privat nyckel, aktivera för den pålitligt skydd (ange ett lösenord varje gång certifikatet används) och kan säkerhetskopieras om den privata nyckeln exporteras. Dessutom, när du aktiverar profilroaming i Windows är certifikatet bundet till profilen och blir tillgängligt när du loggar in på en annan dator med den profilen.

Om du väljer att välja det här alternativet finns det flera aspekter att tänka på. För det första, även om du markerar den privata nyckeln som icke-exporterbar, kan vissa verktyg kringgå detta skydd (det vill säga, oförmågan att exportera garanteras inte). Också om någon arbetade under din kontooch du har inte aktiverat starkt privat nyckelskydd (lösenord när du använder ett certifikat), då kan de använda ditt certifikat. Slutligen, om din privata nyckel är markerad som exporterbar, kan någon på din dator exportera den. Även om du har aktiverat privat nyckelskydd uppmanas du inte att ange ett lösenord under exporten.

Sist men inte minst använder Chrome och IE Windows-certifikatbutiken, medan Firefox har en egen certifikatbutik (från Mozilla). Det betyder att om du importerar certifikatet till Windows-butiken, kommer Chrome och IE automatiskt att hitta det, men Firefox inte.

Typiska Användningsområden:

• Digitala signaturapplikationer (t.ex. Adobe Acrobat, Microsoft Outlook och Office kommer åt Windows [anpassad] certifikatlager).
• Microsoft IIS letar också efter SSL-certifikat i Windows [datoromfattande] certifikatlager.
• Klientautentisering (användare eller dator), beroende på inställningar, kommer oftast åt Windows-certifikatbutiken.
• Windows-kodsignering (applikationer och drivrutiner).

Pfx- och .jks-filer (keystores)

Om du bestämmer dig för att spara filen på en fjärrserver bör du vara särskilt noga med att begränsa åtkomsten till den. Om någon får tillgång kan de använda ditt certifikat. På samma sätt bör du vara särskilt försiktig med att enkelt kopiera och distribuera dessa filer. Även om detta är en stor bekvämlighet för dig, är det också enkelt för en angripare att göra en kopia om han får tillgång till din keystore. Lösenordet för den privata nyckeln krävs fortfarande för att använda den kopierade filen effektivt. Detta är en annan anledning att använda starka lösenord med 15 eller fler tecken som innehåller versaler, siffror och särskilda symboler... Det finns ytterligare en sak att tänka på med detta lagringsalternativ: slutanvändaren har mer ansvar när det gäller var filen finns och om den lagras korrekt.

Om du inte kan använda kryptografisk hårdvara eller lagring windows-tangenter (beskrivs ovan), men ändå vill förbättra säkerheten (istället för att bara placera keystore-filen på din dator), kan du skriva den här filen till en flash-enhet som kommer att vara på en säker plats. Naturligtvis försvinner en del bekvämlighet här, så om du behöver använda signaturen ofta vill du hellre lagra filen lokalt för enklare åtkomst.

Typiska Användningsområden:

• Windows- eller Java-kodsignering.
• FDA ESG och IRS IDES använder .pfx för säker kommunikation med amerikanska myndigheter.
• Vissa webbservrar (som Apache Tomcat eller Jboss).

Kryptografiska tokens och smartkort

Som nämnts i avsnittet ovan kan du förbättra säkerheten genom att lagra den privata nyckeln på separat hårdvara. Men det är en stor skillnad mellan användning av kryptografiska tokens eller smartkort och vanliga flash-enheter. Med kryptografisk hårdvara genereras nyckeln på själva hårdvaran och exporteras inte. Den privata nyckeln lämnar aldrig enheten, vilket gör det mycket svårt för en utomstående att få tillgång och kompromissa.

Obs! Om du dessutom vill säkra en privat nyckel som redan har skapats tidigare (det vill säga inte på själva tokenet) kan du importera .pfx-filen till token och sedan radera originalet .pfx.

Med en token måste du ange ett lösenord varje gång du använder ett certifikat. Det betyder att även om någon får din token behöver de fortfarande ditt lösenord. Att lagra nyckeln i en token innebär att du säkert kan använda samma certifikat på flera datorer utan att behöva skapa flera kopior och gå igenom export / importprocessen. Kryptografisk hårdvara är FIPS-kompatibel, vilket krävs av vissa bransch- och myndighetsregler.

Naturligtvis finns det några andra överväganden att tänka på om du väljer att välja det här alternativet. Förutom de extra komplexiteterna för hantering av tokens, kanske det här alternativet inte fungerar med automatiska byggnader på grund av kravet på att ange ett lösenord varje gång certifikatet används. Det finns inget sätt att säkerhetskopiera certifikatet eftersom den privata nyckeln inte exporteras (brist på ytterligare säkerhet). Slutligen, i vissa scenarier, är detta lagringsalternativ helt enkelt inte möjligt. Till exempel om specialiserade enheter inte stöder tokens eller smartkort. Eller i situationer där anställda inte har fysisk tillgång till en dator utan arbetar från fjärrterminaler.

Typiska Användningsområden:

Regulatorisk efterlevnad är en av de främsta anledningarna till att använda kryptografiska tokens.

• Obligatorisk för EV-kodsignering (Extended Validation) enligt rekommendationer från CA / Browser Forum.
• Rekommenderas för standardkodsignering i enlighet med minimikraven för CA Security Council. CA: er måste rekommendera kryptografisk hårdvara som det primära alternativet för utfärdande av certifikat. Om kryptografisk hårdvara inte utfärdas måste klienten underteckna ett avtal som lagrar den privata nyckeln på någon flyttbar hårdvara (som tas bort efter signering).
• Krävs för digital signatur och för att erhålla tillförlitlig status i adobe-program, i enlighet med kraven i Adobes godkända förtroendelista (AATL).
• Branschbestämmelser som FDA: s CFR 21 del 11 och landsspecifika krav på digital signatur hänvisar ofta till en hemlig nyckel som enbart ägs av ägaren. Lagring på kryptografisk hårdvara uppfyller dessa krav.

Hårdvarukryptografiska moduler (HSM)

HSM är en annan hårdvarulösning för lagring av nycklar, särskilt om du inte vill lita på enskilda tokens eller om det verkar för besvärligt. Medan tokens är mer fokuserade på manuell inmatning eller enskilda applikationer (till exempel signering av en liten mängd dokument eller kod, autentisering på ett VPN eller andra nätverk), tillhandahåller HSM API: er, stöder automatiserade arbetsflöden och automatiserad montering. De är också FIPS-kompatibla och ger i allmänhet ett högre betyg än tokens.

Traditionellt är HSM: er lokala fysiska enheter som kräver skickliga resurser för att hantera och tillämpa baslinjekrav och SLA: er. Att upprätthålla en HSM kan vara dyrt och resurskrävande, vilket har hindrat spridningen av denna teknik tidigare. Lyckligtvis har molnbaserade HSM uppstått under de senaste åren som ger många av fördelarna med lokala HSM utan behov av lokalt underhåll.

Ett exempel är den välkända Key Vault-tjänsten i Microsoft Azure-molnet, som lagrar kryptografiska nycklar i molnet HSM från Microsoft. Om du har liten organisation, som inte tillåter sig att köpa och hantera sin egen HSM, då är detta en utmärkt lösning som integreras med offentliga CA, inklusive GlobalSign.

Om du funderar på att underteckna dokument har vi nyligen lanserat en ny Digital Signing Service, som också använder molnlagring HSM för privata nycklar. Det är värt att notera att den nya tjänsten stöder individuella signaturer för alla anställda. Tidigare stödde de flesta HSM-signeringslösningar endast identifierare på avdelnings- eller organisationsnivå (t.ex. redovisning, marknadsföring, ekonomi), inte individer (t.ex. John Doe). Följaktligen, för att arbeta på den enskilda medarbetarnivån, var organisationer tvungna att distribuera tokeninfrastruktur, som, som vi nämnde ovan, kan vara betungande. Med denna nya tjänst implementeras digitala signaturer för enskilda medarbetare utan att själva hantera HSM (och utan risk för att förlora tokens till anställda).

Typiska Användningsområden:

• Underteckna dokument eller kod i stora mängder.
• SSL (beroende på serverkonfiguration).
• CA-infrastruktur för att köra din egen CA (root CA, underordnad CA, RFC 3161 tidsstämpelserver) offline eller online (root CA fungerar vanligtvis offline).

Framtida viktiga lagringsmetoder

Eftersom fler och fler enheter ansluter till nätverket med behov av autentisering och säker kommunikation, vänder sig många utvecklare och tillverkare till PKI-baserade lösningar. I sin tur leder detta till nya överväganden, krav och tekniker för att skydda privata nycklar. Nedan följer två trender som vi ser inom detta område.

Trusted Platform Module (TPM)

IoT har skapat ett problem där många anonyma interagerande enheter gör det lättare för hackare att fånga upp meddelanden eller utge sig för enheter. TPM används under produktion för att skydda kryptografisk nyckel och därför för att på ett tillförlitligt sätt identifiera enheten.

Under produktionen genereras ett par privata och offentliga nycklar. Den offentliga nyckeln skickas till en certifieringsmyndighet för att signera och utfärda ett digitalt certifikat. Den privata nyckeln lämnar aldrig enheten. Den lagras på chipet och kan inte exporteras / kopieras / förstöras. Nu är certifikatet enhetspasset och den säkra privata nyckeln utgör maskinvaroroten till förtroende.

Fysiskt icke-klonbara funktioner (PUF)

PUF-teknologi i kombination med Trusted Execution Environment (TEE) är en attraktiv lösning när det krävs billigt, lätt att integrera och extremt säkert nyckelskydd. PUF tillsammans med PKI utgör en komplett identifieringslösning.

Vår partner Intrinsic ID har utvecklat ett SRAM PUF-baserat nyckelberedningssystem som producerar unika, förfalskade och kopieringssäkra enhetsidentifierare på hårdvarunivå. Med hjälp av våra certifikatmyndigheter översätter vi dessa identifierare till digitala identiteter och lägger till PKI-funktioner. Således tilldelas varje enhet ett unikt, kloningsskyddat nyckelpar som inte lagras på enheten när den stängs av, men enheten kan återskapa denna nyckel på begäran. Detta skyddar mot en attack på en avstängd enhet.

Nyckelcertifiering

Om nycklar på något sätt överförs till en avlägsen plats bör de kontrolleras vid mottagandet för att se om de har manipulerats under överföringen. Detta kan göras manuellt eller med någon form av digital signatur.

Offentliga nycklar är avsedda att publiceras eller delas med andra användare och måste certifieras som tillhörande nyckelparets ägare. Certifiering utförs med en central certifieringsmyndighet (CA). I det här fallet tillhandahåller CA en digital signatur på den offentliga nyckeln, som gör att CA kan lita på att den offentliga nyckeln tillhör nyckelparets ägare (se figur 5).

Figur: 5. Certifiering av den offentliga nyckeln på certifikatkontoret

Utan korrekt certifiering av nyckeln och dess ägare kan en angripare injicera sina egna nycklar och därmed övervinna skyddet av all överförd och autentiserad information.

De offentliga nycklarna till ett offentligt nyckelpar kräver inte integritetsskydd. De kräver endast integritetsskydd genom användning av certifikat. Den privata nyckeln till det offentliga nyckelparet måste alltid hållas hemlig.

Om en angripare får en kopia av den privata nyckeln kan han läsa all konfidentiell trafik som riktas till ägaren av nyckelparet, samt digitalt signera informationen som ägaren till nyckelparet. Skyddet av den privata nyckeln måste omfatta alla kopior av den. Därför måste filen som innehåller nyckeln skyddas samt alla arkivmedier som filen kan skrivas på. På de flesta system implementeras nyckelskydd genom användning av lösenord. Detta skydd hjälper till att skydda nycklar från oavsiktlig spionprogram, men inte från en gemensam riktad attack. Lösenordet som används för att säkra nyckeln måste väljas noggrant för att motstå brute force attacker. i alla fall det bästa sättet Nyckelskydd är främst för att förhindra att en angripare får åtkomst till nyckelfilen.

Det är nödvändigt att skydda alla nycklar i systemet med de hemliga nycklarna. Om nyckeln finns i en fil måste den här filen skyddas var den än befinner sig (inklusive arkiverade media). Om nyckeln finns i minnet måste du vara försiktig för att skydda minnesutrymmet från att utforskas av användare eller processer. På samma sätt i fallet med en dumpning (återställning av data till hårddisk) kärna måste kärnfilen skyddas eftersom den kan innehålla en nyckel.