Hlavní navigace

Šifrování dat mýtů zbavené (2)

28. 8. 2009

Sdílet

Správná autentizace (ověření proklamované totožnosti uživatele) je nedílnou součástí bezpečnosti IT systémů. Pokud se do systému dostane přes autentizační proces nepovolaná osoba, je pak veškeré šifrování k ničemu. Proto dnešní kódovací programy podporují moderní metody autentizace jako PKI či čipové karty, popřípadě USB tokeny.

Dokončení včerejšího článku

 

 Autentizace versus šifrování

PKI (Public Key Infrastructure) představuje soubor entit, které v rámci firmy zajišťují přístupový a datový management pomocí digitálních certifikátů. Prakticky to znamená, že jsou zaměstnancům vydány certifikáty s příslušným oprávněním. Certifikát, respektive odpovídající asymetrický klíč, se pak používá pro přihlášení do OS, pro šifrování, digitální podpis a k dalším účelům.

Vzhledem k tomu, že certifikát je velmi důležitý identifikační prvek a jeho zneužití se přímo nabízí, je bezpečnější jej přímo generovat (nebo alespoň uložit) na čipové kartě nebo USB tokenu, které využívají vícefaktorovou autentizaci. Certifikát je pak na tokenu chráněn zpravidla PINem a volitelně také biometrickými údaji.

U systémů FE zpravidla existuje možnost uložit šifrovací klíč do bezpečného úložiště (tokenu). Klíč pak nejde bez znalosti PINu použít, popř. exportovat. Zároveň se dají tokeny využít k zálohování.

Pokud šifrovací řešení DE podporuje PKI, příslušný certifikát na tokenu umožní přihlášení do OS i v rámci pre-boot autentizace (viz výše). Lze nastavit, zda se bude uživatel hlásit pouze tokenem, pouze heslem anebo zda bude moci využívat obě možnosti. V některých aplikacích lze vygenerovat sdílený klíč (heslo, které zná jen token a systém) a ten použít k přihlášení v rámci pre-boot autentizace.

Na trhu existují kvalitativně i funkčně rozdílná kryptografická řešení a každý administrátor má pochopitelně jiné požadavky. V tomto článku jsme se pokusili poukázat na kritéria, podle kterých se může daná organizace rozhodovat, než do zmíněných produktů investuje svůj čas i peníze.

bitcoin_skoleni

 

Tento článek vyšel v tištěném SecurityWorldu 1/2009.