it-swarm-korea.com

조직의 PKI를 아웃소싱 할 때의 장단점은 무엇입니까?

조직의 PKI (공개 키 인프라)를 아웃소싱 할 때의 장단점을 찾고 있습니다. 실제로 아웃소싱할지 여부에 대한 답은 환경과 조직에 달려 있음을 이해합니다. 아웃소싱 PKI와 관련된 위험은 무엇이며 아웃소싱 PKI와 관련하여 기술적 문제가 있습니까?

7
sdanelson

PKI를 아웃소싱하는 은행과 협력 할 때 내가 직면 한 주요 위험 중 하나는 루트 인증서의 보호입니다. 업무상 중요한 것을 보호하기 위해 PKI에 의존하는 경우 PKI 공급자가 루트 인증서에 대한 보안을 보장하기를 원합니다.

클라이언트가이를 사용하도록 설득하는 데 도움이되는 많은 메커니즘을 사용하여이를 위해 실제로 노력하는 소수의 공급자가 있습니다. 경험을 통해 저는이 압력판, 망막 스캐너, 이중 동기화 된 키, 사람 함정, 루트 액세스에 대한 비디오 적용 범위, 공급자에게 부여 된 부분 액세스 권한 및 일부 사용자에게 포함됩니다. 제임스 본드 영화.

또 다른 문제는 연결에 관한 것입니다. 실시간 서비스에 PKI를 사용하는 경우 공급자와의 연결이 끊어지면 서비스 거부가 발생합니다. 귀하와 귀하의 고객 또는 다른 사용자에 대한 탄력적 인 링크가 있는지 확인하십시오.

4
Rory Alsop

PKI를 아웃소싱하는 가장 큰 장점은 사용자가 직접 할 필요가 없다는 것입니다. PKI를 유지하는 것은 복잡하므로 비용이 많이 듭니다. 전문 기업은 호스팅 된 여러 PKI를 통해 비용을 상호화할 수 있습니다.

PKI 유지와 관련된 큰 비용은 다음과 같습니다.

  • 물리적 호스팅 : 적어도 루트 CA는 물리적으로 안전한 공간에 있어야하며, 하드웨어 보안 모듈 을 사용하는 것이 좋습니다. 지금까지 가장 저렴한 하드웨어는 아닙니다. 방을위한 사무실 공간, 비디오 카메라, 경비원, 성질이 나쁜 개 ... 높은 반복 비용을 의미합니다. PKI의 루트 키 집중 보안에 대한 요구 (암호화가 작동하는 방식 : 키의 보안이 전체 보안으로 확장 됨)를 기억하십시오. 공격자.

  • 관리 절차 : PKI는 본질적으로 공개 키를 물리적 ID에 바인딩하는 시스템입니다. 이는 각 인증서 등록에 대해 요청자가 물리적으로 식별되는 절차를 실행하는 것을 의미합니다 (신원 개념이 상황과 관련이 있음). 이것은 반드시 컴퓨터가 아닌 요소를 포함합니다. 인간 간의 상호 작용. 직원은 비싸다. 또한 PKI와 관련된 대부분의 작업은 보안 및 책임을 보장하는 방식으로 구성되어야합니다. 주요 행사 . 단순히 이러한 절차를 정의하고 기록하는 것은 어려운 작업입니다.

  • 법적 배포 : 인증서는 법적 가치를 가질 수 있으며, 많은 경우 그 법적 가치 때문에 정확하게 구상되고 있습니다 (예 : 수기 서명을 대체하는 방법). 디지털 서명으로 종이없는 프로세스 달성). 법적 가치를 얻기 위해 무엇을해야하는지 아는 것은 "변호사 직업"이라는 의미에서 매우 기술적 인 주제입니다. 일부 관할권에서는 공통 기준 평가가 필요합니다.

그래서 제 조언은 "기본적으로"아웃소싱하는 것입니다. 보안 PKI에 내재 된 복잡성 (암호화 및 법적 의미 모두에서 "보안")은 거의 항상 광범위하게 과소 평가됩니다.

3
Thomas Pornin

PKI 인프라가 도움이 될 수 있습니다.

요구 사항이 무엇인지 정확히 모르겠지만 10-20 년 동안 루트 인증서를 생성하고 클라이언트 용 CRL을 게시 한 다음 특정 키 서명을 위임하기위한 키 서명 "하위 CA"를 생성 할 수 있습니다. 키 길이, 서명 할 키 유형, 최대 기간 등과 같이 키 서명에 대한 특정 제한이있는 작업 (x509 세부 정보 확인).

이렇게하면 위임을 통해 소유자가 루트 CA를 보호 할 수 있으며 언제든지 위임을 취소하려는 경우 위임 된 CA에 대한 CRL을 게시 할 수 있습니다.

이제 궁극적으로 제어 할 수 있으며 루트 CA를 설정하고 오프라인으로 설정할 수 있으며 공용 인증서 체인과 공용 루트 CA 만 필요합니다.

이렇게하면 아웃소싱 작업을 계속 수행 할 수 있지만 성의 열쇠에 대한 통제권은 그대로 유지합니다.

1
Troy Rose