it-swarm-korea.com

PKI 솔루션 공급 업체 선택

(X.509-) PKI 솔루션에서 무엇을 찾고, 다음과 같은 제약 조건이 주어 졌을 때 그 솔루션을 찾는 이유는 무엇입니까?

  • 사용 가능한 프로그래밍/sw- 엔지니어링은 제한적 방법을 알고 있습니다 (예 : "몇 개의 Perl 스크립트가있는 OpenSSL"은 실행 가능한 접근 방식이 아님).
  • 프로세스가 합리적으로 잘 이해 됨 (예 : 인증서 수명주기)
  • 일부 (루트/중간) 인증서는 금전적 가치가 높으므로 그에 따라 보호되어야합니다 (HSM?).
  • 위임 된 관리 권한을 사용하여 여러 조직에서 "몇 개의 임시"ID를 처리합니다.
  • 하드웨어 기반 솔루션 (스마트 카드 또는 기타)이 곧 요구 사항으로 등장 할 것입니다.
  • 온-프레미스 자체 호스팅 솔루션

나는 "일반적인 용의자"로부터 몇 가지 후보를 확인했지만 약간의 의심이 있습니다 (시장이 지난 몇 년 동안 거의 성숙하지 않은 것 같습니까?). 따라서 나는 후보자의 이름을 밝히지 않고 편견없는 의견을 요구할 것입니다.

9
Matthias Leisi

전체 공개 : 저는 전압 보안 을 위해 일합니다. 판매 정보를 제공 한 다음 "실수로"웹 사이트로 안내하는 것보다 앞서 언급하는 것이 더 낫다고 생각합니다. 이것은 어떤 식 으로든 회사가 후원하는 응답은 아니지만 내 견해가 편견이 없음을 자유롭게 인정합니다. 나는이 응답에 대한 누출을 최소화하려고 노력할 것이지만, 적절한 수준의 회의적으로 읽으십시오.

비대칭 암호화 체계의 근본적인 문제는 암호화가 아니라 키 관리입니다. 따라서 PKI 시스템을 구별하는 것은 동일한 암호화의 보안이 아니라 사용자 프로비저닝, 삭제 및 일반 시스템 관리의 용이성입니다.

따라서 비대칭 암호화 공급 업체에 대해 물어볼 질문은 다음과 같습니다.

  1. 암호화 된 데이터의 새 수신자를 시스템으로 가져 오는 프로세스는 무엇입니까?
  2. 개인 키는 어떻게 저장, 보호 및 백업됩니까?
  3. 자격 증명은 어떻게 관리됩니까?
  4. 이름 변경은 어떻게 처리됩니까? (예 : 누군가 결혼하여 이름 및 시스템 로그온 변경 : 영향이있는 경우 무엇입니까?)
  5. 내부자가 회사 외부로 데이터를 밀수하는 방법으로 암호화 기능을 사용하지 않도록 데이터 손실 방지 장치로 암호화 된 데이터를 스캔하려면 어떻게해야합니까?

[~ # ~] 편집 [~ # ~]

(매출이 너무 많이 느껴졌 기 때문에 원래 생략했던 것입니다 -y)

위의 질문을하는 이유 :

  1. 대부분의 PKI 시스템은 데이터를 보내기 전에 수신자가 공개/개인 키 쌍을 만들어야합니다. 이것은 사람들이 모든 수신자에 대해 암호화 할 수있는 시스템의 임시 사용을 금지합니다.
  2. 개인 키를 분실하면 해당 공개 키로 암호화 된 데이터가 손실됩니다. 이야기의 끝. 심각한 PKI 시스템에는 손실 된 개인 키를 검색하기위한 몇 가지 메커니즘이 있습니다. 이것이 키 데이터베이스 인 경우 이것이 어떻게 보호되는지 생각하고 자주 백업되는지 확인해야합니다. 또한 고 가용성을 위해 솔루션이 여러 데이터 센터에 존재해야하는 경우 복제를 고려하십시오.
  3. 이것은 간단합니다. 사용자가 개인 키에 액세스하려면 일종의 인증 자격 증명을 제공해야합니다. 이것이 기존 인증 방법에 어떻게 통합 될 수 있는지 물어보십시오.
  4. Mary Jones가 결혼 (또는 이혼)하여 Mary Smith가된다고 상상해보십시오. "Mary Smith"의 신임 정보를 사용하여 이전에 "Mary Jones"에 대해 암호화 된 데이터에 액세스 할 수 있어야합니다. PKI 시스템은이 경우를 적절하게 처리해야합니다. 대안은 "Mary Jones"에 대해 암호화 된 모든 데이터를 찾아 해독 한 다음 "Mary Smith"를 위해 다시 암호화하는 것입니다. 왝.
  5. 기본적으로 DLP 장치는 암호화 된 데이터의 일반 텍스트에 액세스 할 수 있어야합니다. 이것이 어떻게 이루어질 수 있는지 물어보십시오.
5
Dave Mulligan