Hem Knowledge base PKI
Knowledge Base

PKI för säker inloggning

Knowledge Base

Varför PKI?

En korrekt och säker inloggningsprocess börjar med en unik adekvat identitet som varken kan manipuleras eller förvrängas. Identiteten ska inte vara möjlig att förfalska, hacka eller på något sätt replikera.

Inloggning till alla system som önskas bör medges och identiteten måste kunna förseglas om den stjäls eller missbrukas. Den unika identiteten bör inte enbart fungera som inloggningsuppgift till datorer och kritiska system. Den bör dessutom tillåta inloggning till molnbaserade tjänster såväl som till applikationer i en läsplatta eller mobiltelefon. Sist men inte minst, identiteten för inloggning bör vara snabb och enkel att använda.

Traditionella inloggningsuppgifter som användarnamn och lösenord uppfyller inte alls den ovan beskrivna säkerhetsnivån. Hacking och stöld är ofta möjligt utan att den som utför det behöver överväga att använda mer kraftfulla metoder. 

Användning av unika individuella identiteter knyter användaren personligen till de resurser som används vid varje unikt ögonblick. Att spåra aktiviteter utförda under ett grupp-login till en enskild användare kan vara komplicerat, eller till och med inte genomförbart. Följaktligen, säkerheten är en betydande drivkraft för att säkerställa säkra IT-system i framtiden. Att använda teknik med PKI är ett sätt att vara på rätt spår.

Vilka behov uppfylls med PKI?

Med PKI uppnås isolering och konfidentialitet genom att använda kryptering. En publik nyckel och en överensstämmande personlig nyckel som används i par och dekrypterar informationen. Du behöver båda lika mycket för att genomföra det. 

En digital signatur tillhandahåller autentisering och identifiering. Ett certifikat intygar användarens identitet till en Förlitande part (RP, Relying Party) och om signaturen är giltig blir andra tjänster tillgängliga.

Informationens innehåll ska inte ändras, med andra ord måste dataintegriteten säkerställas. Digitalt undertecknad information måste vara möjlig att verifiera för en mottagare som använder den publika delen av PKI-nyckeln. Om verifieringen lyckas, vet mottagaren att innehållet har förblivit oförändrat sedan det ursprungligen undertecknades. 

PKI integrerar datakonfidentialitet, autentisering och dataintegritet genom användning av certifikatutfärdare (CA), digitala certifikat och kryptografi för publika nycklar till en enda nätverkslösning, komplett och säker som helhet.

Primärt och viktigast, PKI är en teknik för autentisering. Genom att använda en publik och en hemlig nyckel i kombination tillåter PKI dataintegritet, datakonfidentialitet och hantering av nycklar såsom det beskrivs ovan.

 

Vad uppnås genom att använda PKI?

Eftersom din identitet kommer att vara säker och okränkbar om PKI används för autentiseringsändamål, visar sig de tänkbara användningsområdena att vara näst intill obegränsade.

Certifikat för PKI är mycket praktiska när de används som informationsbärare på smarta kort eller ett USB. På det här sättet uppnår du säkra förbindelser och certifikatbaserad autentisering till system och servrar. Kryptering, dekryptering och digital signering av epost och formulär för användande med mobila klienter, läsplattor, webb och skrivbordsdatorer är fler möjligheter. I mikrosegmenterade nätverk som använder Zero Trust är delarna i "nätverket" oberoende av varandra och inga traditionella beroenden baserade på tillit existerar. Då autentiserar sig kommunicerande enheter mot varandra medan sessionen är aktiv. Det kan utföras genom att utväxla PKI-certifikat med varandra. "Sakernas Internet" (Internet of Things, IoT) är en framväxande teknik där mikrosegmentering enligt idén med Zero Trust är applicerbar och till vilken tillgång ofta är säkrad genom användande av PKI.

Public key infrastructure (PKI) är idag ett mycket vanligt sätt att kryptera, dekryptera och säkra kommunikationen på det öppna Internet. Teknologin är implementerad i många webbläsare. I organisationers nätverk är PKI också mycket vanligt förekommande för att säkra intern nätverkskommunikation och åtkomst till nätverksenheter. Det här med att PKI används för att göra lokala nätverk säkra är vanligt eftersom PKI stöds av Microsoft Active Directory, som är allmänt spritt, mycket använt och känt. Mjukvara på webservrar, i operativsystem, på andra typer av servrar och i mycket annan nätverksutrustning har inbyggt stöd för PKI.

Användning av certifikat sparar tid och följaktligen pengar. Med traditionella inloggningsuppgifter som användarnamn och lösenord innebär det att lösenord måste bytas ut regelbundet, exempelvis varje 60:e dag, för att upprätthålla säkerhetsnivån. Certifikat har en livslängd på upp till 20 år. Att bli kvitt återställande av lösenord sparar mycket arbete för IT-supporten.

Säkerhetsmässigt, om en nyckel stjäls eller går förlorad, utan den andra halvan är den stulna nyckeln helt värdelös.

Det är väldigt bekvämt för folk att använda en PKI-nyckel. Vid slutet av dagen har du sparat mycket tid på att använda den genom att snabbt och enkelt ha loggat in på din arbetsstation och inte ha behövt att upprepat skriva ditt användarnamn och lösenord om och om igen.

Att logga in på skrivbordsdatorer med hjälp av certifikat har en mycket viktig fördel eftersom det i grunden bestämmer och identifierar den unika användaren av datorn. Det innebär också att användare inte kan dela certifikat lika lätt som när det gäller lösenord och du uppnår tillförlitlighet men självklart inte förnekbarhet.

SSL och PKI

En mycket stor del av den krypterade kommunikationen över HTTP som har erhållit ett certifikat ifrån en certifikatutfärdare (CA - Certificate Authority) är säkerställd genom användande av TLS/SSL protocol. Ja verkligen, SSL-certifikat är ett av de vanligaste certifikaten som används. Mer eller mindre, alla digitala certifikat med PKI är byggda på protokollstandarden X.509.

SSL och PKI fungerar tillsammans, i korta drag, först genom att webbläsaren tar emot en kopia av webbserverns asymmetriska publika nyckel. Därefter svarar webbläsaren till webbservern, efter att ha genererat en symmetrisk sessionsnyckel som är krypterad med hjälp av den asymmetriska nyckeln ifrån webbservern. För det tredje, webbservern använder dess unika asymmetriska originalnyckel för att dekryptera sessionsnyckeln. Nu har en digital association skapats mellan webbservern och webbläsaren och de kan utbyta krypterad information över en säkrad kanal. Public key infrastructure står som värd för eller skapar den grund på vilken webbläsaren och webbservern utbyter information.

Möjliga nackdelar med PKI

Incidenter relaterade till dålig hantering och mänskligt slarv orsakar olyckligtvis avbrott och stillestånd. Det är ett växande problem. Misslyckande med att upprätthålla en bra hantering av certifikat och nycklar försvagar förtroendet för organisationer som driver PKI-nätverk. Slarvigt säkrade nycklar och certifikat missbrukas av hackare vilket betyder att "den mörka sidan" verkligen bokstavligt har infiltrerat betrodda nätverk och försvagat deras säkerhet. 

När certifikatutfärdare (CA) har blivit komprometterade och äventyrade på grund av dålig nyckelhantering kan de användas av hackare för nätfiskeattacker och för att leverera skadliga program. CA och RA måste nogrannt hanteras och ses efter för deras förmåga att hantera och autentisera information om publika nycklar. Om inte, är den säkra webbkommunikationen som förlitar sig på betrodda enheter bara imaginär.

Nya IT-regler och policyer inom företag bemöts ofta genom lägga till fler lager av kryptering för att säkra särskilda nätverksenheter som kritiska servrar och även IoT-enheter. Detta faktum ökar kostnaden för nätverkshantering och hanteringen av nycklar och certifikat.

Ett mycket vanligt, betydande och dessutom välkänt problem är brist på personalförsörjning för att stödja PKI.

Några belackare till PKI-tekniken ifrågasätter, inte utan grund, varför och av vilken anledning en CA är betrodd och vem bestämde att den skulle vara betrodd? Är säkerhetsnivån på den kontrollerande datorn som använder den publika icke hemliga nyckeln tillräckligt bra? CA använder publika nycklar och vad händer om denna CA är hackad och "fienden" planterar en av sina egna nycklar till CA? Det skulle sluta i att angriparen kan utfärda egna certifikat och dessa skulle verka som om de är OK och legitima.

Ett användningssätt är att en speciell certifikatstruktur med ett CA som bara utfärdar certifikat arbetar tillsammans med ett RA (Registration Authority) är på ett sätt mindre säker än att använda än ett ensamt CA som auktoritet och utfärdare. I uppsättningen med CA och RA är CA inte innehålls- och attributmyndighet men följaktligen är det möjligt för CA att förfalska ett certifikat med användarinnehåll. Självklart är inte CA tillåten att göra på det sättet eftersom det säkerligen finns ett starkt förtroendekontrakt, men det är fortfarande en möjlighet.

Vad behövs för en PKI implementation?

För att tillhandahålla nycklar och certifikat till en effektiv PKI-lösning finns det ett antal tjänster och funktioner som måste vara förverkligade:

Läs mer om vad som behövs

PKI på SecMakers sätt

Vi på SecMaker tillhandahåller ett komplett utbud av produkter för att erbjuda förhöjd säkerhet med hjälp av tekniken i PKI.

En produkt som vi erbjuder är Net iD Portal (NiP). Det är en applikation för livscykelshantering som förenklar hanteringen av smarta kort, enheter, certifikat och användare för en organisation.

Dessutom är Net iD Portal en applikation som förenklar livscykelshanteringen av bärare som innehåller PKI-certifikat och nycklar. Bärarna kan utgöras av smarta kort, säkerhetsnycklar, mobiler med mera. Net iD Portal är ett hanteringsverktyg som tillhandahåller en översikt av de bärare som används på olika slutenheter, till exempel användare och servrar, i fråga om utfärdande och återkallande. Hela kedjan mellan användare, bärare, nycklar och certifikat hanteras med hjälp av Net iD Portal.

I organisationers infrastruktur sammankopplar Net iD Portal certifikattjänsten och databastjänsten. Webbaserade grafiska gränssnitt (GUI) finns för administratörer, tjänstemän och slutanvändare som har fått tillgång till funktionerna i Net iD Portal. Det grafiska gränssnittet för NiP ansvariga (Officers) som används för hantering av slutanvändares smarta kort och certifikat tillåter tillgång till och möjliggör autentisering till organisationens nätverk. Dessutom är undertecknande och kryptering av dokument funktioner som kan tillhandahållas genom samma grafiska gränssnitt, NiP Officer GUI.

Beroende på efterfrågan och krav på hög tillgänglighet kan Net iD Portal installeras under många olika arkitekturer hos servrar.

 

Vad SecMaker uppnår

För våra kunder är säkerhetsinformationen lika viktig som i den offentliga vården. Att informationen endast når den avsedda mottagaren måste säkerställas. Kombinerat med den integrerade tjänsten Singelinloggning (Single Sign On, SSO) är informationen möjlig att nå ifrån vilken kompatibel enhet som helst på nätverket. Tiden och arbetet det sparar kan inte underskattas vad gäller flexibilitet och det faktum att inte vara tvungen att i all oändlighet behöva repetera inloggningsförfarandet.

 

Hur passar det här in i framtidens teknologier

En av de främsta styrkorna med att använda PKI-teknik i nätverk är flexibiliteten och att åtkomst levereras baserat på användaridentitet, inte en IP-adress som i traditionella VPN-nätverk. När molntekniken utvecklas och framträder alltmer anpassar teknologier sig till den och bland de tekniker som redan har anpassat sig till idén bakom molntekniken finns Secure Access Service Edge (SASE) som i sin tur har antagit Zero Trust-metoden. I Zero Trust är åtkomst tillåten efter godkänd verifiering och av den anledningen tillhandahåller PKI den flexibilitet som gör den här processen möjlig.

Vad gäller området IoT (Internet of Things) framstår PKI som en viktig teknik för identitetshantering. För IoT-enheter som drivs och hanteras med hjälp av en molnbaserad lösning är dataintegritet, autentisering och kryptering grundläggande delar som kan lösas genom och kombineras med användandet av principen för Zero Trust. Dock, IoT är ett område som ännu inte är i full blom och sådana lättviktiga lösningar som att bifoga ett certifikat är på väg att anpassas eftersom utrymme hårdvarumässigt, för minne och mikrokretsar, är mycket begränsat. Omvänt, användare behöver veta att själva IoT-enheterna är autentiska och inte bedrägliga. IoT-enheter måste unikt identifieras och en allmän åsikt är att särskilt PKI-certifikat fungerar mycket bra för att uppfylla det. Med PKI-certifikat uppnås stark identifiering som också har god beständighet i syftet att identifiera en enhet. Det är också möjligt att förse certifikatet med information, så kallade attribut, för att skickas med som t.ex. extra information om användaren. För underhålls- och livscykeländamål kan en IoT-enhet utrustad med PKI-certifikat uppdateras och bytas ut när det behövs.

Kunder inom IoT-området vill att teknik för säkerhet ska kunna skalas upp kostnadseffektivt och snabbt. När plattformen för PKI är implementerad är utökning av den en ganska bekväm process. PKIs arkitektur kan byggas skalbart och har ett ramverk för säkerheten som stödjer IoT-distributioner på ett bra sätt den kommande tiden. Det kommer att ske även då vi är på väg mot mer sammansatta och komplexa system för provisionering och identitetshantering. 

Givetvis vet ingen säkert, men algoritmen som PKI baseras på är förmodligen kapabel att skydda en IoT-enhet upp till 10-15 år och vara motståndskraftig mot överträdelser som utförs med hjälp av mycket avancerade datorer och tekniker.

 

PKI som en långsiktig lösning

All infrastruktur inom IT bör övervägas att vara långsiktig så långt som det är möjligt. PKI återbetalar sig eftersom den möjliggör att många affärsapplikationer kan utföra sina funktioner och affärer elektroniskt och på ett säkert sätt. Att göra affärer är inte längre bara att på traditionellt sätt underteckna kontrakt när du träffar din affärspartner öga mot öga. Signeringen av dokument och kontrakt är elektroniska och för att göra detta möjligt är det väldigt kritiskt att identiteten på den enhet där transaktionen utförs går att säkerställa utan tvekan.

En av fördelarna med PKI, som använder sig av asymmetrisk kryptering, är att det underlättar leverans av och minskar antalet nycklar som används jämfört med symmetrisk kryptering. När PKI används behövs bara ett enda nyckelpar per person som använder systemet medan symmetrisk kryptering använder en unik nyckel för varje person som det ska kommuniceras med. Enkelheten med PKI tillhör framtiden!

 

I slutändan handlar det om.... funktion och flexibilitet

PKI är alltid PKI. Under tiden som du har läst den här bloggen har du insett att det inte är en fråga om var, när och hur. PKI fungerar mer eller mindre oberoende av geografi, tid och rum. Flexibiliteten tycks vara oändlig och det är vad som ger PKI en enorm fördel. Hälso- och sjukvården, molnet, Zero Trust, traditionella VPN-nätverk......PKI-tekniken gör sitt jobb överallt. 

Har du fler frågor?

Tveka inte på att höra av dig så ger vi dig svar.