最佳的PKI滑模–以及如何克服它们

有效的PKI管理的重要性

公钥基础结构(PKI)是硬件和软件服务的框架,用于创建和管理公钥和私钥以及与其相关的数字证书,以提供授权的和不可靠的标识。 公钥基础设施 允许用户以及联网的设备和服务通过Internet和公司网络安全地交换数据,同时能够有效地验证和识别每个通信方。此外,有效的PKI可以防止攻击者拦截公司数据。

在现代数字业务环境中,数字证书提供的服务包括安全的在线银行业务,加密的电子邮件,在线交易的身份验证和不可否认性以及在云平台中保护数据迁移。

公钥基础设施还确保合规性。数据保护和隐私法规要求使用强大的加密和身份验证机制来保护企业在其网络上处理和存储的敏感,个人和受监管数据。 公钥基础设施已被证明是捍卫数据隐私的成熟,有效的手段。

有效的PKI给任何组织带来的可信赖性取决于其在整个生命周期中管理和维护加密密钥和相关证书的安全性和完整性的能力。不良的密钥和证书管理通常是导致加密过程中断的主要原因。

有效的PKI管理必须考虑证书和密钥生命周期的所有阶段,包括颁发,使用,保护,吊销,续签和退役。生命周期管理中的空白会降低PKI的可信赖性,并使企业容易遭受高昂的停机费用。

常见的PKI管理错误

使用过时的安全协议

自从引入SSL协议并采用HTTPS以来,加密技术发生了许多变化,研究人员发现了弱点和漏洞。这些漏洞使企业容易受到攻击和数据泄露。最新版本 TLS安全协议 为TLS 1.3,而所有不支持TLS 1.1的版本均已弃用。此外,还有许多其他用于保护HTTPS传输的安全协议,例如RC4或 SHA-1,已被破坏和妥协。使用过时的协议就像锁定前门并将钥匙留在其中。企业应强烈考虑迁移到TLS 1.2或(甚至更好)TLS 1.3,AES或3DES以及SHA-2系列的任何变体。

快捷键的使用

密钥用于加密和解密信息,以防止窃听。这些密钥是数学算法,它们的长度决定了它们的强度-攻击者考虑该算法所需的时间。随着计算能力的提高,越来越多的密钥变得更弱,因为对于一个坏角色来说,猜测私有密钥更加可行。这种威胁使得需要更大长度的密钥-需要存储更多位。

十年前,1024位RSA密钥是获得足够安全性的最低要求。今天,2048位是标准,但是随着量子安全性的到来,这也将变得过时。企业需要确保其密钥足够强大以应对当今的挑战,并且需要计划未来的升级以保持强大的PKI。

使用自签名证书

密钥和证书是从受信任的颁发和获得的 证书颁发机构(或CA)。但是,有时组织会发布自己的自签名密钥和证书。这样做的最常见原因是进行测试。

软件开发人员会自签名证书以测试应用程序。只要不忘记将这些自签名证书用于生产,这是安全的常规做法。一旦这些证书大量使用,它们将变得非常危险,因为这些证书不可靠,存储不安全并且无法跟踪。这是一种致命的组合,任何坏演员都可以利用它来冒充,创建流氓证书并造成严重破坏。

密钥和证书保护不良

密钥只有在安全存储的情况下才能牢固使用。许多公司选择将密钥存储在普通电子表格或USB中,而不是使用适合用途的硬件安全模块(HSM)或软件库/密钥存储。不使用强力保护装置将使任何人都无法访问钥匙以窃取或复制它们。如果我们将它们与缺乏访问控制和最低特权策略相结合来确定谁可以获取这些密钥,那么最终将导致PKI损坏,从而使公司面临许多威胁。

如果恶意行为者可以访问加密密钥,则他们可以轻松窃取或破坏敏感信息,对恶意代码进行代码签名并诱骗人们将看似合法的软件下载到他们的系统中。密钥存储不足会给客户带来风险,并将严重损害声誉。

按键旋转不频繁

CA强制缩短了证书的使用期限,以确保证书的完整性,并最大程度地减少泄露或恶意证书的影响。当前寿命设置为13个月,而优良作法则是每六个月或更短的时间间隔轮换证书。许多公司已经在选择证书的使用期限,该期限可短至几天。

尽管我们都知道轮换证书的必要性和重要性,但很少有人轮换关联的密钥。尽管密钥没有到期日期,但强烈建议我们也旋转它们。旋转密钥可以帮助企业防止犯罪分子使用泄露的密钥来伪装和冒充合法网站,从而诱使客户信任恶意实体的凭据。定期旋转密钥可以增强业务安全性,但是不幸的是,这不是常见的做法。

缺乏自动化

自动化提高了效率,并消除了容易出错的过程。 公钥基础设施自动化可帮助企业简化证书和密钥管理–可​​以查看有多少证书,谁是所有者,续订和吊销证书。自动化PKI所提供的最大优势是限制了人为干预并减少了代价高昂的错误的机会。

尽管PKI自动化有很多好处,但是企业还是采用手动流程来管理其PKI结构。随着每个组织中证书的爆炸式增长,手动管理会导致未跟踪的孤立证书,这些证书最终将过期,从而造成破坏性的停机。手动PKI是不可靠且不受信任的PKI,应始终避免。

解决方案:集中式自动化PKI

公钥基础结构必须依靠坚实的基础,否则它将崩溃。企业需要遵守行业最佳实践,以使结构安全,有效和高效。公司政策需要明确定义角色和职责,建立管理实践和程序。此外,这些政策必须得到遵守和执行。

所有企业都必须具有集中式自动化PKI管理程序,特别是对于拥有大量证书和密钥进行管理的大型组织而言。这是获得可靠框架以保护证书和业务安全的唯一方法。您不必了解加密算法,就可以了解弱PKI管理程序引入的安全漏洞会将优势转化为大多数企业无法承担的责任。

AppViewXCERT +如何帮助您

AppViewXCERT+ 通过自动化PKI管理的每个步骤来帮助组织。它以最少的人力投资来发现,库存,供应,续订和吊销证书,并通过支持使证书管理变得异常容易 ACME,SCEP和EST协议。它与平台无关,并提供多供应商支持,因此您可以从一个平台管理所有与PKI相关的活动。

标签

头像

关于作者

AppViewX

阅读更多来自该作者的内容

想要更多精彩的内容?

订阅我们的博客可在收件箱中获取技术提示,行业新闻和思想领导文章!

最受欢迎

| 5分钟阅读

最佳的PKI滑模–以及如何克服它们

| 5分钟阅读

为什么加密对医疗保健行业至关重要

| 2分钟阅读

使用AppViewX进行网络发现

| 4分钟阅读

确保证书基础结构安全的5个步骤

相关文章