ОО нас RRadio Record ССообщить новость ЗЗаписаться к врачу ППогода в Тамбове gismeteo / go68 TTV программа ФФотоконкурс " Зверополис"

Варианты хранения криптографических ключей

Бизнес

Использование решений на основе PKI продолжает расти - больше сайтов, чем когда-либо, переходят на HTTPS, предприятия используют цифровые сертификаты в качестве фактора аутентификации для пользователей и машин, S/MIME доказывает свою ценность как вариант шифрования электронной почты, так и способ подтвердить источник писем для противодействия фишингу, но шифрование и аутентификация, лежащие в основе этих приложений, могут быть полностью подорваны, если надлежащее управление ключами не выполняется.Более подробно об одной из таких систем рассказал в своей статьеHidden Files, где описана система джакарта токен.

Каждый раз, когда выдается цифровой сертификат, независимо от того, из ЦС или самоподписанный, должна быть сгенерирована пара открытого ключа. Лучшая практика показывает, что ваш личный ключ должен оставаться в безопасности! Если кто-то завладеет им, в зависимости от типа сертификата, то они могут создавать фишинг-сайты с сертификатом вашей организации в адресной строке, аутентифицироваться в корпоративных сетях, выдавая себя за вас, подписывать приложения или документы на ваше имя или читать зашифрованные письма.

Во многих случаях ваши личные ключи - это данные ваших сотрудников, и их защита приравнивается к защите ваших отпечатков пальцев при использовании биометрических учетных данных. Варианты защиты и хранения секретных ключеймогут незначительно отличаться в зависимости от типа сертификата и того, для чего вы его используете.

Несколько операционных систем и браузеров предоставляют сертификаты или хранилища ключей. Это программные базы данных хранят вашу общедоступную или приватную пару ключей. Этот тип хранилища ключей довольно популярен, потому что многие приложения связаны автоматически, вместо того, чтобы каждый раз искать файл сертификата. Поэтому это довольно удобный для пользователя вариант.

Еще одна привлекательность такого варианта - это легкость настройки - вы можете включить/отключить экспорт частного ключа, включить более сильную защиту секретного ключа (будет запрашиваться пароль каждый раз, когда используется ваш сертификат), и вы можете создавать резервные копии, если ваш закрытый ключ экспортируется. Кроме того, для пользователей Windows, включив профиль-роуминг, ваш сертификат привязывается к вашему профилю и доступен для использования, даже если вы пользуетесь чужим компьютером, но с этим профилем.