it-swarm-id.com

Penerapan Sertifikat Digital: menggunakan dua sertifikat untuk setiap pengguna?

Di lingkungan perusahaan besar saya telah menemukan pendekatan penyebaran untuk Sertifikat Digital di mana setiap pengguna mengeluarkan dua (2) pasangan kunci:

Satu untuk menandatangani dokumen, email, dll. Yang sepenuhnya "pribadi" (mungkin disimpan hanya olehnya dalam kartu pintar misalnya)

Satu untuk enkripsi. Untuk menghindari situasi ketidaktersediaan pengguna, memeras dll. Enkripsi oleh pasangan kunci yang terakhir ini dapat dielakkan oleh sistem manajemen kunci (menggunakan kebijakan yang sesuai, dll.)

Pendekatan ini seharusnya melindungi dari penandatanganan administrator sebagai pengguna, tetapi saya menemukan skenario penggunaan tertentu membuat segalanya menjadi rumit. Misalnya. bagaimana dengan mengirim email yang ditandatangani dan dienkripsi? Dua kunci publik dikelola untuk setiap pengguna dalam daftar kontak?

Jadi, apakah ini keseluruhan desain yang disukai (dan banyak digunakan)? Atau haruskah kita menggunakannya dalam kasus-kasus tertentu di mana pencegahan peniruan identitas merupakan prioritas tertinggi?

47
George

Dalam organisasi yang waras, sebenarnya perlu memiliki dua kunci berbeda, satu untuk masuk dan satu untuk enkripsi.

Ketika Anda menerima beberapa data terenkripsi (mis. Email terenkripsi, seperti dalam S/MIME atau PGP ), Anda biasanya menyimpan data terenkripsi (itulah yang terjadi secara default untuk email). Oleh karena itu, jika kunci pribadi Anda menjadi "tidak tersedia", Anda tidak dapat lagi membaca data yang disimpan sebelumnya: ini adalah situasi kehilangan data. "Tidak tersedianya" kunci pribadi dapat terjadi dalam berbagai bentuk, termasuk kegagalan perangkat keras (anjing Anda mengunyah kartu pintar Anda sampai mati) atau kegagalan "perangkat keras" (pemegang kunci tertabrak bus, atau dipecat secara tidak resmi, dan penggantinya harus dapat baca email bisnis yang diterima sebelumnya). Untuk menghilangkan risiko kehilangan data melalui kehilangan kunci, cadangan kunci pribadi harus disimpan di suatu tempat (misalnya dicetak di atas kertas, di brankas) (ini sering disebut escrow ). Dengan kata singkat: kunci enkripsi HARUS escrow.

Kehilangan tanda tangan pribadi tidak berarti kehilangan data apa pun. Tanda tangan yang sebelumnya dihasilkan terus diverifikasi. Memulihkan setelah kehilangan kunci tanda tangan melibatkan mendapatkan kunci baru, dan hanya itu. Jadi tidak ada kebutuhan kuat untuk cadangan kunci di sini. Di sisi lain, tanda tangan biasanya dimaksudkan untuk memiliki nilai hukum (ada sedikit gunanya meminta tanda tangan jika Anda tidak dapat menggunakannya melawan penandatangan, jika nanti ia gagal memenuhi janjinya). Nilai hukum tergantung pada ketidakmungkinan bagi individu lain selain pemilik kunci untuk menghasilkan tanda tangan; ini tidak tercampur dengan baik sama sekali dengan escrow pada kunci. Karenanya, kunci tanda tangan TIDAK HARUS escrow.

Karena sebuah kunci tidak dapat di-escrow dan non-escrow secara bersamaan, Anda memerlukan dua kunci.

88
Thomas Pornin

Menggunakan kunci berbeda untuk penandatanganan dan enkripsi cukup umum. Pastikan untuk menandai kunci dengan tepat.

Namun, kunci penandatangan khusus akan tidak menawarkan perlindungan nyata terhadap administrator jahat. Admin dapat memanipulasi aplikasi yang melakukan penandatanganan. Catatan ini bahkan berlaku untuk smartcard: Administrator dapat memanipulasi aplikasi yang berbicara dengan pembaca smartcard dan mengirimkan data yang dimanipulasi kepadanya.

Pembaca kartu smard dengan tampilan menawarkan perlindungan, misalnya. transfer uang. Namun, dalam kebanyakan kasus bisnis, informasi yang ditandatangani tidak cocok dengan tampilan tetapi merupakan file pdf.

12