Dokončení včerejšího článku
Autentizace versus šifrování
PKI (Public Key Infrastructure) představuje soubor entit, které v rámci firmy zajišťují přístupový a datový management pomocí digitálních certifikátů. Prakticky to znamená, že jsou zaměstnancům vydány certifikáty s příslušným oprávněním. Certifikát, respektive odpovídající asymetrický klíč, se pak používá pro přihlášení do OS, pro šifrování, digitální podpis a k dalším účelům.
Vzhledem k tomu, že certifikát je velmi důležitý identifikační prvek a jeho zneužití se přímo nabízí, je bezpečnější jej přímo generovat (nebo alespoň uložit) na čipové kartě nebo USB tokenu, které využívají vícefaktorovou autentizaci. Certifikát je pak na tokenu chráněn zpravidla PINem a volitelně také biometrickými údaji.
U systémů FE zpravidla existuje možnost uložit šifrovací klíč do bezpečného úložiště (tokenu). Klíč pak nejde bez znalosti PINu použít, popř. exportovat. Zároveň se dají tokeny využít k zálohování.
Pokud šifrovací řešení DE podporuje PKI, příslušný certifikát na tokenu umožní přihlášení do OS i v rámci pre-boot autentizace (viz výše). Lze nastavit, zda se bude uživatel hlásit pouze tokenem, pouze heslem anebo zda bude moci využívat obě možnosti. V některých aplikacích lze vygenerovat sdílený klíč (heslo, které zná jen token a systém) a ten použít k přihlášení v rámci pre-boot autentizace.
Na trhu existují kvalitativně i funkčně rozdílná kryptografická řešení a každý administrátor má pochopitelně jiné požadavky. V tomto článku jsme se pokusili poukázat na kritéria, podle kterých se může daná organizace rozhodovat, než do zmíněných produktů investuje svůj čas i peníze.
Tento článek vyšel v tištěném SecurityWorldu 1/2009.