コンテンツ
取り除く:
PKIの複雑さと初期費用により、いくつかの組織がPKIを採用することを思いとどまらせていますが、他の多くの大規模な組織が移行を進めています。
すべてがつながっています。 iPad、iPod、iPhone、さらには固定電話はすべて、インターネットと呼ばれるこの比較的新しいフロンティアに接続されています。情報へのアクセス性は非常にありふれたものになっているため、状況によって誰かがアカウントのチェック、アカウントのチェック、またはオンデマンドでのページ表示を許可しない場合、一般的な反応は誰かが一時的に腕や脚の使用を失うことに似ています。最初に不信が入り、パニックに陥り、それからその接続を回復するための本格的な決定が行われます。
しかし、「連絡を取り合う」ことを望むのは自然なことかもしれませんが、セキュリティに関する懸念も生じます。結局のところ、上記のすべてのアカウントが24時間年中無休でエンドユーザーに利用可能であれば、それらのアカウントも詐欺師にも利用できるのでしょうか?さらに、これらのアカウントのセキュリティは、主に私たちの管理外です。セキュリティを確保するために世界のすべてのデューデリジェンスを使用するかもしれませんが、反対側でサーバーを操作する人はどうでしょうか?
セキュリティ業界では、これらの懸念に対処するための多くの試みがありました。公開鍵インフラストラクチャ(PKI)は、この調査で重要な鍵の1つです。それで、あなたのデータはどれだけ安全ですか?ここでは、それを保護するために設計されたPKIテクノロジーを詳しく見ていきます。 (暗号化キーの詳細については、暗号化キー管理とデータセキュリティのベストプラクティス10を参照してください。)
PKIとは
公開鍵インフラストラクチャとは、デジタル証明書を介した通信に関係するハードウェア、ソフトウェア、人員、およびその他のエンティティのセットです。より具体的には、PKIの大部分は公開キー暗号化(PKE)として知られる概念です。これは、可燃性エンジンが自動車産業のバックボーンであるのと同様に、PKIのバックボーンです。 PKEは、PKIを機能させる重要なコンポーネントです。
カラフルな類推はさておき、PKI / PKEとは正確に何であり、どのようにセキュリティソリューションを提供できますか?良い質問。公開キー暗号化(公開キー暗号化とも呼ばれる)は、公開キーの交換によるsの認証と暗号化で構成されます。これらの公開鍵は通常、デジタル証明書と呼ばれます。それらはエンドユーザーの秘密キーと数学的な関係があります。これは通常、Diffie-Hellman暗号化アルゴリズムまたはRSAアルゴリズムに基づいています。リモートで:
(A * B)C mod N
どこ:
A =エンドユーザー1
B =エンドユーザー2
C =セッションキー
N =素数
バグやストレスなし-あなたの人生を破壊することなく人生を変えるソフトウェアを作成するためのステップバイステップガイド
誰もソフトウェアの品質を気にしない場合、プログラミングスキルを向上させることはできません。
数学的関係が確立され、2つ以上の関係者間で公開鍵が交換された後、暗号化された通信を(少なくとも理論的には)交換できます。さらに、すべての関係者は、(再び、理論的に)デジタル署名を介して相互に認証できます。
とても簡単に聞こえますよね?すべての深刻さにおいて、PKIは、少数のユーザーが相互に通信する環境で実践すると、実際にはかなり効果的かつ効率的ですが、企業内でPKIを実装する場合、いくつかの重要な問題が発生します。 (インターネットの安全性の詳細については、インターネットをプライベートに保つための9つのヒントを参照してください。)
公開鍵インフラストラクチャの長所と短所
正しく実装すると、PKIは他のセキュリティソリューションでは簡単に一致しないレベルのセキュリティを提供できます。このレベルのセキュリティを可能にするPKIの主な利点の1つは、否認防止と呼ばれる概念です。ネットワークセキュリティの観点から、否認防止とは単に、相互に安全に通信したい2人以上のユーザーが、秘密鍵、パスワード、秘密ハンドシェイクなどを復号化するために必要なものを交換する必要がないという考えを指します。この特性は、公開鍵と秘密鍵のペアの間の数学的関係を作成する上記の暗号化アルゴリズムによるものです。基本的に、各エンドユーザーは自分の秘密キーの機密性に責任を負いますが、他のセキュリティソリューションは、秘密キー、パスワード、その他の機密情報が保存される中央リポジトリを維持します。
通常PKIの主な欠点と呼ばれるのは、ネットワークのオーバーヘッドです。 PKIに関連するネットワークオーバーヘッドは、他のセキュリティソリューションと比較するとかなりのものです。たとえば、公開キーと秘密キーのペアが生成および交換される上記のアルゴリズムは、大量のネットワークリソースを消費する場合があります。
PKIには、単に公開キーと秘密キーを交換するだけではありません。たとえば、有効な証明書と無効な証明書を適切に追跡するには、証明書失効リスト(CRL)を維持する必要があります。典型的な企業環境では、一定量の人事異動が現実であり、セキュリティ管理者は、誰が誰にネットワークにアクセスする権限を持たないのかを把握する必要があります。特定の組織内でエンドユーザーの雇用が終了した場合、従業員のネットワークアクセスは取り消されるべきであるという唯一の常識です。ただし、これらのCRLはどこかに保存および維持する必要があります。つまり、ご想像のとおり、より多くのネットワークリソースが消費されます。
PKIの未来
現在、公開鍵インフラストラクチャは、民間産業内で実装するための小さな作業とはみなされていません。 PKIの複雑さは、初期コストと相まって、いくつかの組織が努力することを思いとどまらせています。しかし、国防総省は近年、PKIへの十分に文書化された移行を行っており、その努力に多大な時間と財宝を投じています。これに、政府の情報セキュリティセクターとのビジネスを行うことに依存している民間請負会社の数を追加し、PKIにある程度の永続性があるという感覚を簡単に得ることができます。
PKIはここにいるのですか?確かにそのように思われ、コースの反転を引き起こす可能性のある唯一のシナリオは、セキュリティの脆弱性が発見され、悪用され、公表されることを伴います。