Ochrona Infrastruktury PKI i Kluczy CA przy Użyciu Utimaco HSM
Od chwili, gdy certyfikaty stały się tak istotnym składnikiem biznesowych transakcji elektronicznych, diametralnie wzrosła waga utrzymania integralności tych świadectw oraz infrastruktury klucza publicznego (PKI) jako całości. Naruszenie klucza głównego CA neguje wiarygodność transakcji finansowych, procesów biznesowych i skomplikowanych systemów kontroli dostępu. Znaczenie solidnego systemu zabezpieczeń staje się oczywiste, gdy weźmiemy pod uwagę problemy, jakie sprawia nadzór nad kontrolą dostępu i zarządzaniem uprawnieniami w stale rosnącej sieci komputerów, a także obawy związane z prywatnością i bezpieczeństwem w sieciach korporacyjnych i Internecie.
Elastyczny, wytrzymały system zabezpieczeń musi odpowiadać określonym kryteriom bezpieczeństwa. Są to:
- identyczność danych
- integralność,
- prywatność,
- uwierzytelnienie,
- kontrola dostępu,
- niezaprzeczalność.
Na szczęście technologia kryptograficzna oferuje tu sprawdzone rozwiązania: szyfrowanie kluczem asymetrycznym i podpisy cyfrowe w ramach struktury bezpieczeństwa PKI.
Klucz Prywatny – ochrona klucza głównego CA
Bezpieczne przechowywanie kluczy prywatnych jest nieodłącznym elementem systemu ochrony w kryptografii kluczy asymetrycznych stosowanej w PKI. Jeśli dostęp do klucza prywatnego uzyska niepowołana osoba, a więc ktoś poza jego właścicielem, model zabezpieczeń PKI ulega destrukcji. Dlatego w środowisku PKI, szczególnie gdy infrastruktura ta jest integralną częścią procesów biznesowych, transakcji finansowych lub systemu kontroli dostępu, klucze prywatne muszą być strzeżone z najwyższą starannością. Ponieważ klucz prywatny CA gwarantuje wiarygodność wszystkich certyfikatów w ramach PKI, określa się go mianem klucza głównego – to on bowiem decyduje o zaufaniu do każdej tożsamości (certyfikatu) w PKI. Kompromitacja klucza prywatnego oznacza naruszenie sieci zaufanej struktury drzewa certyfikatów. Sprzętowy moduł bezpieczeństwa (HSM) jest dedykowanym urządzeniem działającym w połączeniu z serwerem hosta CA, zapewnia on bezpieczną lokalizację sprzętową do przechowywania klucza głównego urzędu certyfikacji lub kluczy prywatnych podrzędnych urzędów certyfikacji. Jest oddzielnie zarządzany i przechowywany poza systemem operacyjnym.