Sikring av offentlig nøkkelinfrastruktur

For et drøyt år siden ble Nye retninger innen krypto for BEGRENSET publisert her på Sikkerhetsbloggen. Der stod det at nøkkelforvaltning for BEGRENSET skal skje ved hjelp av asymmetrisk krypto og offentlig nøkkelhierarki (Public Key Infrastructure (PKI)).

For de fleste er PKI et mangehodet troll, men nå har Microsoft publisert et dokument som kaster solskinn på trollet og dermed kanskje gjør det lettere å angripe; Securing Public Key Infrastructure. Dokumentet ble publisert 16. mai, men ble ikke omtaltMicrosofts sikkerhetsblogg før 11. juni.

Det at det er Microsoft som står bak dokumentet bør ikke skremme lesere vekk. Det er påfallende ‘lite’ i dokumentet som direkte peker på Microsofts produkter; verken deres sertifikattjener eller andre tjenester.

Dokumentet beskriver mange sider av PKI som er viktig å tenke på både før man setter opp egen PKI og underveis i sikringen og driften av PKIen. Både hierarki og antall nivåer blir diskutert, i tillegg til fysiske sikkerhetstiltak, sertifikattyper og bruk av Hardware Security Module (HSM) – i tillegg til en rekke andre emner.

Ill.: Colourbox.com

Ill.: Colourbox.com

Når det gjelder algoritmevalg peker dokumentet til rapportene til NIST [1] og ENISA [2]. NSM presenterte bruk av elliptisk kuve-basert krypto i Sikkerhetsbloggens innlegg Etablering av PKI som møter NSMs funksjonelle krav i november 2012. NSM har fortsatt ønske om bruk av ECDSA som signaturalgoritme i sertifikater og vil forlate bruk av RSA-baserte signaturer de kommende årene.

Les igjennom blogginnlegget hos Microsoft og last ned dokumentet. Det vil være et godt utgangspunkt for etablering av PKI internt i egen organisasjon eller for videre dialog med NSM om man ønsker å benytte en PKI for beskyttelse av gradert informasjon.

 

[1] NIST Special Publication 800-57 Recommendation for Key Management Part 1 (Revision 3)
[2] Algorithms, Key Sizes and Parameters Report – 2013 Recommendations

About Lars Olaussen

Lars Olaussen er sjefingeniør i Nasjonal sikkerhetsmyndighet, avdeling for teknologi, seksjon for kryptoutvikling. Hans ansvarsområde er råd- og veiledning og krav- og tiltaksutvikling innen elektronisk identifikasjon, kryptoløsninger og nøkkelforvaltning for beskyttelse av lavgradert og annen sensitiv, men ugradert informasjon.
This entry was posted in Fysisk sikkerhet, Informasjonssikkerhet, Internettsikkerhet, Kryptografi. Bookmark the permalink.