Im Jahr 2016 wird der Bedarf an vertrauenswürdigen digitalen Identitäten für die allgemeine Sicherheit im globalen Internet von größter Bedeutung sein. Da sich Unternehmen weiterhin gegen Cyberangriffe wappnen und das Internet der Dinge (IoT) absichern wollen, erlebt die Public Key Infrastructure (PKI) als wirtschaftliche, zuverlässige und bewährte Technologie, die eine sichere und leistungsstarke Lösung bietet, einen Aufschwung.
Vorhersage 1: PKI wächst exponentiell und entwickelt sich zum De-facto-Standard für digitale Identifizierung, Authentifizierung und Verschlüsselung.
Warum glauben wir das? Während SSL/TLS nach wie vor häufig für sicheres Surfen im Internet verwendet wird, hat CSS eine weit verbreitete Verwendung von "hausgemachten" PKI für kommerzielle Anwendungen zur Authentifizierung von Daten, Geräten, Anwendungen und Benutzern festgestellt. Da Unternehmen Zugang zu Cloud-basierten Produkten, Diensten und Tools anbieten, ist der Bedarf an SSL/TLS weiterhin groß. Die Thales Ponemon 2015 PKI Global Trends Study zeigt, dass die größten Trends, die die Nutzung von PKI im Jahr 2015 vorantrieben, Cloud-basierte Dienste, Mobile Device Management und mobile Anwendungen waren. Trotz der in den letzten zwei Jahren festgestellten Schwachstellen, darunter Heartbleed, FREAK, POODLE und Apple Man-in-the-Middle, ist PKI nach wie vor das vertrauenswürdige Rückgrat für die Ausstellung starker kryptografischer Schlüssel für SSL/TLS Zertifikate.
Was bedeutet dies für Unternehmen? Jedes Unternehmen muss bei der Nutzung, Ausstellung, Überwachung und Berichterstattung von SSL /TLS/PKI-Umgebungenproaktiv vorgehen . CSS Research hat festgestellt, dass fast 12 % aller im Internet veröffentlichten Zertifikate zu Geräten und nicht zu Websites gehören. Eine ordnungsgemäß implementierte und verwaltete PKI bietet einen hochsicheren, kostengünstigen Rahmen für die Ausstellung vertrauenswürdiger Zertifikate für eine Vielzahl von Anwendungsfällen. Aus diesen Gründen richten Unternehmen routinemäßig ihre eigene interne PKI ein, und viele verwalten Millionen oder mehr Zertifikate, um digitale Identitätsauthentifizierung, Verschlüsselung und Signierung für Cloud-Dienste, mobile Geräte und mobile Anwendungen anzubieten.
Vorhersage 2: PKI wird sich als das beste Verfahren für die Identifizierung, Authentifizierung und sichere Kommunikation für IoT Geräte durchsetzen.
Warum glauben wir das? Unternehmen bringen immer wieder IoT Innovationen auf den Markt, um Kundenprodukte und -dienstleistungen anzupassen, damit sie schneller, besser und leichter zugänglich werden. Diese Innovationen helfen den Unternehmen, ihren Umsatz zu steigern, die betriebliche Effizienz zu verbessern, gesetzliche Vorschriften zu erfüllen, die Sicherheit zu erhöhen und Vermögenswerte zu schützen. Verizons State of the Market The Internet of Things 2015 sagt voraus, dass der Markt von IoT von 1,2 Milliarden Verbindungen im Jahr 2014 auf 5,4 Milliarden Verbindungen im Jahr 2020 wachsen wird. Wenn sie nicht ordnungsgemäß identifiziert, authentifiziert und gesichert werden, können IoT Geräte eine Vielzahl von Bedrohungen für Unternehmen darstellen und verstärken. Cyber-Bedrohungen, Ausfälle und Datenschutzverletzungen werden erhebliche Auswirkungen auf den Umsatz und den Ruf wachsender Unternehmen weltweit haben.
Was bedeutet das für Unternehmen? Eine sichere Authentifizierung für IoT Geräte muss skalierbar und kostengünstig sein. Herkömmliche Methoden der digitalen Authentifizierung sind möglicherweise nicht so sicher, kostengünstig oder effizient für die Art und Menge der Geräte, Daten, Personen und Anwendungen, die authentifiziert, verschlüsselt oder signiert werden müssen. Und der Erwerb von Zertifikaten von Drittanbietern trägt immens zu den Produkt-/Dienstleistungskosten bei. "Letztendlich besteht ein zunehmender Bedarf, Identität und Schlüssel miteinander zu verbinden, und digitale Zertifikate bieten immer noch eine hoch skalierbare Möglichkeit, dies zu tun", erklärt Ted Shorter, CTO von CSS. Es mag zwar relativ einfach erscheinen, eine Zertifizierungsstelle einzurichten, aber die Ressourcen und das Fachwissen, die für die Planung, Implementierung und Verwaltung einer hoch vertrauenswürdigen PKI-Umgebung erforderlich sind, sind rar und teuer. Darüber hinaus erkennen Unternehmen, die eine große Anzahl von Zertifikaten ausstellen, den Bedarf an Lösungen zur Überwachung und Verwaltung von Zertifikaten, um das Risiko des Ablaufs und der böswilligen Nutzung zu mindern.
Vorhersage 3: Verstöße gegen die Zertifizierungsstelle (CA), Implementierungsfehler und Man-in-the-Middle-Angriffe (MiTM) werden schlimmer werden, bevor sie besser werden.
Warum glauben wir das? Mit der zunehmenden Verwendung digitaler Zertifikate steigen auch die Möglichkeiten für böswillige Versuche, auf sie zuzugreifen und sie zur Verletzung von Daten und Systemen einzusetzen. Es gibt mehrere bekannte Beispiele, bei denen Hacker in eine Zertifizierungsstelle eingedrungen sind, um gefälschte Zertifikate auszustellen. Malware kann verwendet werden, um Zertifikate zu kompromittieren, wie im Fall von Superfish, wo die Adware ein selbst generiertes Root-Zertifikat im Windows-Zertifikatsspeicher installierte und die von HTTPS-Websites vorgelegten SSL Zertifikate durch ein eigenes Zertifikat ersetzte, wodurch Hacker möglicherweise Zugriff auf sensible Daten und Aktivitäten erhielten. Darüber hinaus gibt es immer wieder neue und kreative Beispiele für MiTM-Angriffe auf Browser, die Cloud, Apps, mobile Geräte, WiFi und IoT . Mit dem Aufkommen leicht verfügbarer, preiswerter Tools sind selbst unbedarfte Cyberkriminelle in der Lage, diese Art von Angriffen durchzuführen.
Was bedeutet das für die Unternehmen? Es handelt sich um eine anspruchsvolle Umgebung, die einen proaktiven Ansatz erfordert. Die zunehmende Gefahr von Sicherheitsverletzungen gefährdet Verbraucher und Unternehmen. Gleichzeitig steigen die Anforderungen an die Einhaltung von Vorschriften und Bestimmungen, was Unternehmen dazu veranlasst, die Bedeutung der Sicherheit bei der Produktgestaltung zu überdenken. Unternehmen werden bei der Implementierung, Verwaltung und Überwachung von PKI-Richtlinien, -Prozessen und -Technologien immer wachsamer, um wichtige Vermögenswerte, Kunden und Einnahmen zu schützen. Die Einführung und Aufrechterhaltung strenger Richtlinien für die PKI-Umgebung ist von entscheidender Bedeutung, insbesondere in Bezug auf die Sicherung von PKI-Schlüsseln. Unternehmen, die direkte Kontrolle über ihre Zertifikate haben, sind besser in der Lage, zertifikatsbezogene Schwachstellen zu erkennen und darauf zu reagieren. Unternehmen, die ihr eigenes zentralisiertes Inventar, die Überwachung und das Management aller Zertifikate pflegen, haben ein deutlich geringeres Risiko für ihren Betrieb. Schließlich können etablierte und eingehaltene PKI-Protokolle, Hardware Security Modules (HSM) Key Management Appliances, Zertifikatsmanagement software und verwaltete PKI-Services dazu beitragen, Implementierungsprobleme zu vermeiden sowie Sicherheitsverletzungen, Ausfälle und Betrug zu reduzieren.
Vorhersage 4: Googles Zertifikatstransparenz und Zertifikatsanheftung werden helfen, Zertifikatsmissbrauch zu erkennen.
Warum glauben wir das? Die Branche braucht neue Werkzeuge und Technologien, um den Missbrauch von Zertifikaten zu erkennen. Das Projekt Certificate Transparency von Google ist ein offenes, öffentliches Rahmenwerk, das es ermöglicht, auf seinen grundlegenden Komponenten aufzubauen oder darauf zuzugreifen, um SSL Zertifikate zu überwachen und zu prüfen. Die Überwachung in nahezu Echtzeit hilft bei der Erkennung von SSL Zertifikaten, die fälschlicherweise von einer Zertifizierungsstelle ausgestellt wurden oder böswillig von einer ansonsten unanfechtbaren Zertifizierungsstelle erworben wurden. Sie ermöglicht es auch, Zertifizierungsstellen zu identifizieren, die abtrünnig geworden sind und böswillig Zertifikate ausstellen.
Beim Aufbau einer SSL -Verbindung prüft die SSL -Sitzung, ob das Zertifikat eines Servers eine gültige Vertrauenskette bis zum Stammzertifikat aufweist und ob der Hostname mit dem angeforderten Zertifikat übereinstimmt. Die SSL -Sitzung prüft nicht, ob das Zertifikat tatsächlich dasjenige ist, das ursprünglich vom rechtmäßigen Eigentümer auf dem Server installiert wurde. Das Anheften von Zertifikaten bietet eine Lösung zur Verbesserung der Überprüfung der Legitimität eines Zertifikats, indem das Zertifikat des Servers angeheftet wird (dadurch entfällt die Notwendigkeit, die CA-Kette oder das Vertrauen zu validieren) oder das CA-Zertifikat angeheftet wird, das zum Signieren des Server-Zertifikats verwendet wird (dadurch wird das Vertrauen auf Zertifikate beschränkt, die von einer begrenzten Anzahl von CAs signiert wurden), um das Risiko zu minimieren, einem Zertifikat von einer kompromittierten CA zu vertrauen. Im Wesentlichen wird damit die Möglichkeit geschaffen, entweder "nur diesem Zertifikat" zu vertrauen oder "nur von diesem Zertifikat signierten Zertifikaten" zu vertrauen.
Was bedeutet dies für Unternehmen? CISOs müssen sicherstellen, dass ihre Organisationen mit den Initiativen führender Anbieter auf dem Laufenden bleiben. Die Hauptvorteile des Google-Projekts für Zertifikatstransparenz liegen in der verbesserten Branchenkonformität und -aufsicht für öffentlich und privat verwurzelte CAs. Das Tool hat seinen Wert bereits unter Beweis gestellt, indem es nicht autorisierte, von Symantec ausgestellte Zertifikate aufgedeckt hat, die es den Zertifikatsinhabern ermöglichen, sich in betrügerischer Absicht als sichere Google-Webseiten auszugeben. Unternehmen können diese Art von Tools nutzen, um Nachforschungen anzustellen und Überwachungstools zu erstellen, die ihnen bei der Einhaltung von Branchenvorschriften und der Überwachung helfen, sowie zum Schutz kritischer Werte - Daten, Geräte, Anwendungen und Menschen. Was das Zertifikats-Pinning betrifft, so haben Entwickler mobiler Anwendungen begonnen, diese Methode zu übernehmen, um das Risiko des Abfangens von Verbindungen durch Dritte zu verringern.
Vorhersage 5: SHA-1 wird ausgenutzt werden, um aus einem echten Zertifikat ein "voll gültiges" gefälschtes Zertifikat zu machen.
Warum glauben wir das? Die Forschung liefert weiterhin Beweise dafür, warum der SHA-1-Signaturalgorithmus schwach ist und wann er wahrscheinlich durch eine Hash-Kollision geknackt werden kann. Hochrechnungen über den Rechenaufwand, die finanziellen Kosten und die Zeit, die zum Knacken von SHA-1 benötigt werden, haben sich im Laufe der Jahre deutlich verringert. Während das Hashing verschiedener Nachrichten zu eindeutigen Hashes führen sollte, können tatsächliche Kollisionen dazu führen, dass für verschiedene Nachrichten derselbe Hash-Wert erzeugt wird, was zur Erstellung gefälschter Zertifikate ausgenutzt werden kann. Im Jahr 2012 schätzte man, dass eine SHA-1-Kollision im Jahr 2015 Kosten in Höhe von 700.000 US-Dollar verursachen könnte. Heute gehen dieselben Experten davon aus, dass eine solche Kollision im Jahr 2018 nur noch 173.000 Dollar kosten würde. Eine andere Schätzung geht davon aus, dass eine Freestart-Kollision innerhalb weniger Monate mit einer ähnlichen Computerleistung wie Amazons EC2-Cloud zu Kosten zwischen 75.000 und 120.000 US-Dollar durchgeführt werden könnte, obwohl dieser spezielle Angriff Einschränkungen bei der Formatierung vorsieht, die bei einem X.509-Zertifikat nur schwer zu erfüllen wären.
Was bedeutet das für Unternehmen? Sowohl große als auch kleine Unternehmen sind heute verwundbar, und die Reaktion auf eine Sicherheitsverletzung kann sich als kostspielig erweisen und schnell in die Millionenhöhe gehen. Die Abhilfemaßnahmen können sich auf Millionen von Dollar belaufen. 173.000 Dollar und/oder ein paar Monate Rechenleistung sind für Cyber-Kriminelle durchaus erschwinglich. Mit geringeren Kosten und zunehmenden Fortschritten bei der Rechenleistung und der Kryptoanalyse ist es eine Frage des "wann" und nicht des "ob" eine SHA-1-Kollision auftritt. Aber es reicht nicht aus, nur einen Hash abzugleichen, die wahre Magie liegt in der Erstellung einer "exakten Kopie" eines Zertifikats. Sobald bewiesen ist, dass ein "voll gültiges" gefälschtes Zertifikat aus einem echten Zertifikat erstellt wurde und in der freien Wildbahn lebt, wird die Branche die Umstellung auf SHA-2 beschleunigen. CSS Research gibt an, dass der Anteil der mit SHA-1 signierten Zertifikate bei über 51 % aller im Internet veröffentlichten Zertifikate liegt. Shorter merkt an: "Wir haben zwar noch keinen SHA-1-Zertifikatskollisionsangriff in freier Wildbahn gesehen, aber es ist klar, dass der SHA-1-Algorithmus extrem anfällig ist und ständig schwächer wird. Unternehmen sollten die Umstellung auf SHA-2 abgeschlossen haben oder gerade dabei sein. Dieses Risiko der weiteren Verwendung von SHA-1-Zertifikaten ist für jedes Unternehmen zu groß, um es zu ignorieren."
Vorhersage 6: PKI Managed Services werden zunehmen und sich als beste Praxis durchsetzen.
Warum glauben wir das? Laut der Thales Ponemon 2015 PKI Global Trends Study gibt die Mehrheit der Unternehmen an, dass sie nicht wissen, wie sie die Komplexität von PKI bewältigen sollen - oder dies nicht wollen. Shorter stellt fest: "Wir sehen eine Zunahme der PKI-Anwendungsfälle, die durch Compliance und Sicherheit getrieben werden, obwohl die Unternehmen nicht wissen, wo sie sich für PKI-Fachwissen hinwenden sollen."
Was bedeutet das für die Unternehmen? PKI wird sich zu einem zentralen Vermögenswert entwickeln, der sowohl professionelles Management als auch spezialisierte Dienstleistungen erfordert. PKI-Experten mit den spezifischen Kenntnissen über Technologie, Richtlinien und Prozesse, die für den Aufbau und die Aufrechterhaltung eines hohen Maßes an Vertrauen erforderlich sind, sind rar, und viele Unternehmen wollen (oder können) solche speziellen Talente nicht beschäftigen. Der Mangel an erfahrenen Mitarbeitern gefährdet die PKI und die von ihr abhängigen Anwendungen, Daten, Geräte und Personen. Cloud-basierte "Security as a Service"-Optionen werden immer beliebter, da Unternehmen versuchen, ihre Bedürfnisse, ihr internes Fachwissen und ihre Budgets in Einklang zu bringen - und sich oft dafür entscheiden, die Verwaltung komplexer oder nicht zum Kerngeschäft gehörender Technologien an Experten auszulagern.
Haben Sie Fragen zur digitalen Identität?
Wenn Sie die Optionen für die Implementierung und Verwaltung von PKI abwägen, sollten Sie mit CSS sprechen. Unsere CSS Research-, Professional Services- und Entwicklungsteams bestehen aus Experten auf dem Gebiet der digitalen Identität. Seit über einem Jahrzehnt sind wir vertrauenswürdige Sicherheitsberater für mehr als die Hälfte der Fortune 500-Unternehmen.