Bölüm 9. İyi şifre. Sayfanızı nasıl koruyabilirsiniz? sosyal ağ Hırsızlıktan? 9.1. İyi bir şifre seçmek birçok kullanıcının 1, 1234, qwerty gibi şifreleri kullanır ve sonra nedenlerini şaşırttı. posta kutusu Veya bilgisayar korsanının sosyal ağında bir sayfa. Cevap basit - ona

Bu özelliği, metninde değiştirilmek istemeyenler için koruyun. Belge Koruma düğmesini tıklatırsanız ve biçimlendirme ve düzenlemeyi sınırlamak için bir komut seçin, ek bir panel görünecektir (Şek. 1.115). Yapabileceğiniz resimden nasıl görebilirsiniz?

Dizüstü bilgisayar dizüstü bilgisayar nasıl korunur - Ürün yeterince güçlü. Bununla birlikte, bir dizüstü bilgisayarı yok edebilecek dış dünyada birçok durum var. Garip görünebilir, ancak çoğu dizüstü bilgisayar çok önemsiz koşullarla ölür. Nic

- (anti-vandal kabin) (ENG. Koruyucu dolap) Telekomünikasyon kabini, telekomünikasyon ekipmanlarının yerleştirilmesi ve korunması için (sunucular, yönlendiriciler, anahtarlar, modemler, telefon istasyonlarıOptik çapraz unsurları ... ... ... wikipedia

Elektronik anahtar - Bu terimin başka değerleri var, elektronik tuşa (değerler) bakın. Elektronik anahtar (ayrıca donanım anahtarı, bazen İngilizce'den Dongl. Dongle) donanımYazılımı (yazılım) ve verileri korumak için tasarlanmış ... ... ... wikipedia

Pgp - philip tsimmermann geliştirici tarafından oldukça iyi Gizlilik Philip Tsimmermann çoklu dilde yazılı linux sistemi, Mac OS X, Windows First Sayı 1991 Web Sitesi ... Wikipedia

Cipher Vernama - (Diğer Başlık: Tek Kullanımlık Dizüstü Bilgisayarların İngilizce One Time Pad Şeması) Kriptografi Simetrik Şifreleme Sisteminde, 1917'de T Major Joseph Moborn ve Hilbert'de icat edildi. Cipher Vernama ... ... ... wikipedia

Donglamak - Elektronik anahtar (ayrıca donanım anahtarı, bazen İngilizce'den donanım. Dongle) Yazılımı (yazılımı) korumak için donanım aracı ve kopyalama, yasadışı kullanım ve yetkisiz dağıtım. ... ... Wikipedia

Algoritma farklı - Algoritma Diffi Helmana (İngilizce Diffie Hellman, DH) algoritması, iki tarafın dinlemeden korunmasız kullanılmasını kullanarak ortak bir gizli anahtar elde etmesini sağlar, ancak Değişim Kanalından korunur. Bu anahtar kullanılabilir ... wikipedia

Kurtarılmamış şifre - (Vername Kodu) - Şifrelemede, mutlak şifreleme direncine sahip bir tam sistem sınıfı, "tek kullanımlık not defteri / gömlekleri" olarak bilinir. İçerik 1 Yaratma Tarihçe 2 Açıklama ... Wikipedia

Algoritma Diffi - Helmana - (İngilizce. Diffie Hellman, DH) Algoritması, iki tarafın dinleme yaparak korunmasız kullanımı, ancak ikame, iletişim kanalından korunarak ortak bir gizli anahtar almasını sağlayan algoritma. Bu anahtar, daha fazla değişimi şifrelemek için kullanılabilir ... ... wikipedia

Wpa - ve WPA2 (Wi Fi Korumalı Erişim) güncelleştirilmiş bir cihaz sertifikası programıdır kablosuz iletişim. WPA teknolojisi koruma teknolojisini değiştirmeye geldi kablosuz Ağlar Wep WPA'nın avantajları veri güvenliğini güçlendiriyor ... Wikipedia

Tek kullanımlık defter

Shipoblot - Vernama şifreleme (diğer başlık: ENG. Bir zaman pedi tek kullanımlık dizüstü bilgisayar şemaları) Kriptografi simetrik şifreleme sisteminde, 1917'de T Major Joseph Moborn ve Hilbert'de icat edildi. Cipher Vername ... ... wikipedia

PKI tabanlı çözümlerin popülaritesi büyümeye devam ediyor - daha fazla site HTTPS'ye gidiyor, işletmeler kullanıcıların ve bilgisayarların kimlik doğrulaması için dijital sertifikaları uyguluyor, S / MIME uzunluğu ve şifrelemesini kanıtladı e-postave kimlik avını önlemek için mesajların kaynağını kontrol etmenin bir yolu olarak. Ancak bu uygulamalarda şifreleme ve kimlik doğrulama, uygun anahtarlar olmadan pratik olarak anlamsızdır.

Sertifika yetkilisi (CA) veya kendinden imzalı bir sertifikadan dijital bir sertifika verilirken her seferinde, bir çift kapalı ve açık anahtar oluşturmanız gerekir. En iyi uygulamalara göre, gizli anahtarlarınız korunmalı ve iyi ... Gizli! Birisi onları alırsa, sertifikanın türüne bağlı olarak, kuruluşunuzun sertifikası ile adres çubuğunda kimlik avı siteleri oluşturabilir, kimliğini doğrulayacaktır. kurumsal Ağlar, sizin için kendinizi yayınlamak, yüzünüzdeki uygulamaları veya belgeleri imzalayın veya şifreli e-postalarınızı okuyun.

Çoğu durumda, gizli anahtarlar çalışanlarınızın kişisel sertifikalarıdır (ve sonuç olarak, kuruluşun kişisel verilerinin bir parçası), böylece korumaları biyometrik kimlik bilgilerini kullanırken parmak izlerini korumaya eşittir. Hakwar'ın parmak izi almasına izin vermeyeceksiniz? Gizli tuşlarla aynı.

Bu makalede, kapalı anahtarları korumak ve saklamak için seçenekleri tartışacağız. Gördüğünüz gibi, bu seçenekler sertifika (lar) türüne ve nasıl kullandığınıza bağlı olarak biraz farklı olabilir (örneğin, SSL / TLS sertifikaları için öneriler son kullanıcı sertifikaları için önerilerden farklıdır).

Sertifika / Anahtar Mağazaları ve Tarayıcıları

Bazılarında işletim sistemleri Ve tarayıcılar sertifika tonozları veya tuşları vardır. Bunlar, yerel olarak bilgisayarınızda yerel olarak bir çift kapalı ve açık anahtarın sertifikasının bir parçası olarak sakladığı yazılım veritabanlarıdır. Bu tür bir anahtar depolama oldukça popülerdir: birçok uygulama burada otomatik olarak hizalanabilir anahtarlar ve her seferinde sertifika dosyasını manuel olarak belirtmeniz gerekmez, bu nedenle bu oldukça uygun bir seçenektir.

Bu seçeneğin başka bir artı özelleştirilmesi oldukça kolaydır. Kapalı anahtarın dışa aktarımını etkinleştirebilir / devre dışı bırakabilirsiniz, bunun için açın. güvenilir koruma (Sertifika kullanarak her seferinde şifre girişi) ve kapalı tuşa aktarılırsa yedekleri oluşturabilirsiniz. Ek olarak, Windows'ta dolaşım profillerini açtığınızda, sertifika profile eklenir ve bu profille başka bir bilgisayarın girişinde mevcut olur.

Bu seçeneği seçmeye karar verirseniz, birkaç yönü göz önünde bulundurmalısınız. Öncelikle, Kapalı Anahtarı Sınırsız olarak işaretleseniz bile, bazı yardımcı programlar bu korumayı atlayabilir (yani ihracatın imkansızlığı garanti edilmez). Buna ek olarak, eğer biri senin altında çalışsaydı muhasebeVe güçlü kapalı anahtar korumasını içermediniz (sertifikayı kullanırken şifre), daha sonra sertifikanızı kullanabilirler. Son olarak, özel anahtarınız dışa aktarılırken işaretlendiyse, bilgisayarınız için birisi onu ihraç edebilecektir. Gizli bir anahtar korumanız bile olsa bile, işlem yaparken şifre sormaz.

Ve son: Chrome ve IE, Firefox'un kendi sertifika deposuna (Mozilla'dan) varken, Windows sertifika depolamasını kullanırken. Bu, Windows deposunda bir sertifikayı alırsanız, daha sonra Chrome ve IE'yi otomatik olarak bulur ve yani bir Firefox bulunmasının olduğu anlamına gelir.

Tipik uygulamalar:

• Dijital imza için uygulamalar (örneğin, Adobe Acrobat., Microsoft Outlook ve Office, Windows Sertifika Departmanı [Özel]) erişecektir.
• Microsoft IIS Server ayrıca Windows Sertifika Depolamasında [Bilgisayar için Genel] SSL sertifikalarını da arar.
• Müşteri kimlik doğrulaması (kullanıcı veya bilgisayar), ayarlara bağlı olarak, çoğu zaman Windows sertifikası depolamasını ifade eder.
• Windows'ta İmza Kodu (Uygulamalar ve Sürücüler).

Dosya.pfx i.jks (anahtar depoları)

Dosyayı uzak sunucuya kaydetmeye karar verirseniz, özellikle erişimi kısıtlamakla ilgilenmelisiniz. Birisi erişirse, sertifikanızı kullanabilirsiniz. Benzer şekilde, bu dosyaların kolay kopyalanmasına ve dağıtımına özellikle dikkat etmelisiniz. Sizin için büyük bir kolaylık olmasına rağmen, ancak aynı zamanda bir saldırgan, anahtarınızın deposuza erişebiliyorsa, bir kopya yapacaktır. Kapalı anahtar şifrenin kopyalanan dosyayı verimli bir şekilde kullanmak için hala gereklidir. Bu kullanmak için başka bir nedendir güvenilir şifreler Sermaye harfleri, sayıları içeren 15 ve daha fazla karakterden Özel semboller. Bu depolama seçeneğiyle, başka bir şeyi düşünmeniz gerekir: Son kullanıcı, dosyanın bulunduğu ve doğru bir şekilde kaydedilmiş olup olmadığı açısından daha fazla sorumluluk üst üste bindirilmiştir.

Şifreleme ekipmanı veya depolamayı kullanamazsanız windows tuşları (Yukarıda açıklanan), ancak yine de güvenliği geliştirmek istiyor (sadece bir bilgisayara anahtar depolama dosyasını yerleştirmek yerine), bu dosyayı güvenli bir yerde yatacak bir flash sürücüye kaydedebilirsiniz. Tabii ki, bazı kolaylıklar burada kaybedilir, bu nedenle imzayı sık sık kullanırsanız, erişimi kolaylaştırmak için dosyayı yerel olarak saklamak isteyeceksiniz.

Tipik uygulamalar:

• Bir Windows veya Java kodunu imzalama.
• FDA ESG ve IRS, Amerikan Sivil Servisleriyle güvenli iletişim için USE.PFX'i kullanın.
• Bazı Web sunucuları (örneğin, Apache Tomcat veya JBoss).

Kriptografik belirteçler ve akıllı kartlar

Yukarıda rasgele belirtildiği gibi, ayrı bir donanımda gizli bir anahtarı saklarsanız güvenliği artırabilirsiniz. Ama orada büyük fark Kriptografik belirteçlerin veya akıllı kartların kullanımı ile standart flaş sürücüleri arasında. Kriptografik ekipmanla, anahtar ekipmanın kendisinde üretilir ve ihraç edilmez. Kapalı anahtar, cihazı asla bırakmaz, bu da erişimi ayıklamayı ve ödün vermeyi zorlaştırır.

NOT: Daha önce oluşturulmuş olan özel anahtarı daha da korumak istiyorsanız (i.e. belirteçte değil), ardından belirteç'e aittir ve ardından Original.PFX'i silebilirsiniz.

Bir belirteç ile, bir şifre girmek için her bir sertifika kullanıyorsanız. Bu, birisi belirteçlerinizi alırsa bile, hala bir şifreye ihtiyaç duyacak. Tokkenteki anahtar depolama, birden fazla kopya oluşturma ve dışa aktarma / alma işlemini geçmesi gerekmeden, aynı sertifikayı birden fazla bilgisayarda güvenle kullanabileceğiniz anlamına gelir. Kriptografik ekipman, bazı sektörel ve devlet yönetmelikleri için gerekli olan FIPS ile uyumludur.

Tabii ki, bu seçeneği seçmeye karar verirseniz, akılda tutulması gereken diğer bazı hususlar vardır. Beliren yönetiminin ek zorluklarına ek olarak, bu seçenek sertifikayı kullanarak her seferinde bir parola girme gerekliliği nedeniyle bu seçenek otomatik montajlarla çalışmayabilir. Yedekleme sertifikası oluşturmanın bir yolu yoktur, çünkü kapalı anahtar ihraç edilmez (ek güvenlik eksikliği). Son olarak, bazı senaryolarda, bu depolama seçeneği sadece imkansızdır. Örneğin, uzman cihazlar belirteçleri veya akıllı kartları desteklemezse. Veya çalışanların bilgisayara fiziksel erişime sahip olmadığı durumlarda ve uzak terminallerle çalışın.

Tipik uygulamalar:

Düzenleyici gerekliliklere uygunluk, kriptografik belirteçlerin kullanımının ana nedenlerinden biridir.

• Genişletilmiş Kontrol Kodunun (EV) 'nin CA / Browser forumun önerilerine uygun olarak imzalanması için gereklidir.
• Minimum CA Güvenlik Konseyi şartlarına uygun olarak standart kod imzası için önerilir. Sertifikasyon merkezlerinin, kriptografik ekipmanı sertifika verme için ana seçenek olarak önermesi gerekir. Şifreleme ekipmanı verilmezse, müşteri bazı çıkarılabilir ekipmanlarda (imzalandıktan sonra kaldırılan) özel bir anahtarı saklayacak bir anlaşma imzalamalıdır.
• Dijital imza için gerekli ve güvenilir durum adobe programları, Adobe onaylı güven listesinin (AATL) gereklerine uygun olarak.
• Bireysel ülkelerdeki FDA ve dijital imza gereksinimlerinden CFR 21 Bölüm 11 gibi sektörel kurallar genellikle sahibinin tek mülkiyetinde olan gizli anahtar hakkında konuşurlar. Kriptografik ekipman üzerindeki depolama bu gereksinimleri karşılar.

Donanım Şifreleme Modülleri (HSM)

HSM, özellikle ayrı belirteçlere güvenmek istemiyorsanız veya çok ağır görünüyorsa, başka bir donanım depolama çözümüdür. Tokenler manuel giriş veya bireysel uygulamalarda daha fazla yönlendirilirken (örneğin, az miktarda belge veya kod, VPN veya diğer ağlarda kimlik doğrulaması imzalayın), ardından HSM API'leri sağlar, otomatik iş akışlarını ve otomatik montajı destekler. Ayrıca FIPS gereksinimlerine de uyuyorlar ve genellikle belirteçlerden daha yüksek bir derecelendirme sağlarlar.

Geleneksel olarak, HSM, temel gereksinimleri ve SLA'ları yönetmek ve sağlamak için nitelikli kaynaklar gerektiren yerel fiziksel cihazlardır. HSM Bakımı, geçmişte bu teknolojinin yayılmasını engelleyen pahalı ve kaynak yoğun bir süreç olabilir. Neyse ki, son yıllarda, yerel bakıma ihtiyaç duymadan yerel HSM'nin avantajlarını sağlayan HSM Cloud modülleri ortaya çıkmıştır.

Bir örnek, Microsoft Azure Cloud'da, Cloud HSM'deki Cloud HSM'deki şifreleme anahtarlarını Microsoft'tan depolayan tanıdık bir anahtar kasa hizmetidir. Eğer varsa küçük organizasyonBu, kendi HSM'nizi satın almanıza ve yönetmenize izin vermez, o zaman bu, GlobalSign de dahil olmak üzere kamu sertifikalandırma merkezleriyle entegre olan harika bir çözümdür.

Belgelerin imzalanmasıyla bir versiyonu düşünüyorsanız, son zamanlarda kullanıldığı yeni bir dijital imzalama hizmeti hizmeti başlattık. bulut depolama Kapalı tuşlar için HSM. Yeni hizmetin tüm çalışanların bireysel imzalarını desteklediğini belirtmekte fayda var. Geçmişte, imza için çoğu HSM çözeltisi sadece bireyler (örneğin, muhasebe, pazarlama, finans) düzeyinde tanımlayıcılar tarafından desteklenmiştir (örneğin, John DW). Sonuç olarak, bireysel çalışanların düzeyinde çalışmak için kuruluşlar, yukarıda belirttiğimiz gibi, burtensome olabileceği belirteçlerin thruster'ı dağıtmak zorunda kaldılar. Bu yeni hizmetle, bireysel çalışanların dijital imzaları, HSM'yi bağımsız olarak yönetme ihtiyacı olmadan (ve çalışanlar tarafından belirteç kaybı riski olmadan) uygulanmaktadır.

Tipik uygulamalar:

• Belgelerin veya kodun büyük miktarlarda imzası.
• SSL (sunucu yapılandırmasına bağlı olarak).
• Çevrimdışı veya çevrimiçi olarak kendi CA'nın (root CA, alt CA, RFC 3161 zaman etiketi sunucusu) çalışması için CA altyapısı (kuralı olarak Root CA, çevrimdışı çalışır).

Gelecekteki anahtar depolama yöntemleri

Daha fazla ve daha fazla cihaz, kimlik doğrulama ihtiyacı ve güvenli veri alışverişi gerekliliği ile ağa bağlıyken, birçok geliştirici ve üretici PKI tabanlı çözümlere dönüşür. Sırayla, bu, kapalı anahtarları korumak için yeni hususlara, gereksinimlere ve teknolojilere yol açar. Aşağıda bu alanda gördüğümüz iki eğilim var.

Güvenilir Platform Modülü (TPM)

IOT, bir çok anonim olarak etkileşim cihazı, bilgisayar korsanlarının mesajları veya cihaz kimliğinin kimliğine bağlanmasını kolaylaştırdığında bir sorun yarattı. TPM modülü, koruma için üretim aşamasında tanıtıldı kriptografik anahtar Ve bu nedenle cihazın güvenilir bir şekilde tanımlanması için.

Üretim sırasında, buhar kapalı ve açık anahtarlardan üretilir. Genel anahtar, bir dijital sertifika imzalamak ve yayınlamak için sertifika yetkilisine gider. Kapalı anahtar cihazdan çıkmaz. Çip üzerinde depolanır ve ihraç edilemez / kopyalanamaz / tahrip edilemez. Artık sertifika bir cihaz pasaportudur ve korumalı özel anahtar, güvenin donanım kökenini oluşturur.

Fiziksel Bağlantısız İşlevler (PUF)

Güvenilir bir uygulama ortamı (TEE) ile birlikte PUF teknolojisi, ucuz, entegre edilmesi kolay ve ultra güvenli anahtar koruması gerekirse çekici bir çözümdür. PKI ile birlikte PUF, tanımlama için ayrıntılı bir çözüm oluşturur.

İçsel Kimlik Ortağımız, donanım düzeyinde benzersiz, sahte ve kopyalama cihaz tanımlayıcıları üreten böyle bir SRAM PUF anahtar hazırlama sistemi geliştirmiştir. Sertifika hizmetlerimizi kullanarak, bu tanımlayıcıları PKI yetenekleri ekleyerek dijital sertifikalara dönüştürürüz. Dolayısıyla, her cihazın, devre dışı bırakma durumundaki cihazda saklanmayan bir çift anahtarın klonlanmasına karşı korumalı, ancak cihaz bu anahtarı istek üzerine yeniden oluşturabilir. Engelli cihazın saldırısına karşı korur.

Belgelendirme tuşları

Anahtarlar bir yollarla bir yollardaysa, uzak yere iletilirse, iletim işlemi sırasında müdahaleye maruz kalmadıkları konuyla ilgili makbuz üzerine kontrol edilmeleri gerekir. Bu manuel olarak yapılabilir veya bir miktar dijital imza kullanabilir.

Aç tuşları, diğer kullanıcılara yayınlamak veya iletmek için tasarlanmıştır ve sahip olunan anahtar çifti sahibi olarak sertifikalandırılmalıdır. Sertifika, Merkez Sertifika Bürosu (Sertifika Yetkilisi, CA) kullanılarak gerçekleştirilir. Bu durumda, CA açık anahtar üzerinde bir dijital imza sunar ve bunun sayesinde, CA'nın güvenle, genel anahtarın anahtar kelime sahibine ait olduğu gerçeğini algılar (bkz. Şekil 5).

İncir. 5. Sertifika Bürosu'ndaki Genel Anahtar Belgelendirme

Anahtarın ve mal sahibinin doğru sertifikası olmadan, bir saldırgan kendi anahtarlarını tanıtabilir ve böylece iletilen tüm ve kimliği doğrulanmış bilgilerin korunmasının üstesinden gelebilir.

Aç tuşları Açık anahtar çifti gizlilik koruması gerektirmez. Sertifikaların kullanımı yoluyla sadece bütünlük korumasının sağlanmasını gerektirir. Açık anahtar çifti'nin gizli anahtarı her zaman gizlice tutulmalıdır.

Saldırgan gizli anahtarın bir kopyasını alırsa, anahtar çifti sahibine verilen tüm gizli trafiği, aynı zamanda anahtar çifti'nin sahibi olarak dijital imzalama bilgilerini okuyabilirsiniz. Gizli anahtarın korunması, tüm kopyalar için geçerli olmalıdır. Bu nedenle, anahtarı içeren dosya, bu dosyanın kaydedilebileceği herhangi bir arşiv ortamının yanı sıra korunmalıdır. Anahtar koruma sistemlerinin çoğu, şifreler kullanılarak uygulanır. Bu koruma, anahtarları rastgele casus eylemlerden koruymanıza izin verir, ancak eklem yönlü bir saldırıdan değil. Anahtarı korumak için kullanılan şifre, saldırılara zorla güçlenerek iyice seçilmelidir. fakat en iyi yol Anahtar koruması, her şeyden önce, bir saldırganın bir anahtar dosyaya erişmesini önler.

Gizli tuşları kullanarak tüm anahtar tuşlarını korumak gerekir. Anahtar dosyada bulunursa, bu dosya olmadığı herhangi bir yerde (arşiv taşıyıcıları dahil) korunmalıdır. Anahtar bellekti ise, bellek alanını araştırmalardan kullanıcılar veya süreçler tarafından korumak için önlemler almak gerekir. Benzer şekilde, bir dökümü durumunda (verilerin deşarjı) hdd) Çekirdek, Kernel dosyası, anahtarını içerebileceği için korunmalıdır.