[CTO-Interview] Die Entwicklung von Unternehmen zu PKI as-a-Service

Es ist keine leichte Aufgabe, eine sichere, skalierbare und gut funktionierende Public-Key-Infrastruktur (PKI) aufrechtzuerhalten. Aus diesem Grund beginnen viele Unternehmen, ihre alte PKI zu überdenken und zu einer Enterprise PKI as-a-Service zu wechseln.

Ich hatte kürzlich die Gelegenheit, mich mit Dr. Ed Amoroso, dem Principal Analyst und CEO von TAG Cyber, zusammenzusetzen, um über das Wiederaufleben der PKI in Unternehmen und IoT zu sprechen.

Sehen Sie sich mein gesamtes Video an und lesen Sie Teile des Transkripts unten.

Wir haben vor etwa acht Jahren mit PKI as-a-Service begonnen, also genau zu der Zeit, als wir unsere Plattform software eingeführt haben. Sowohl das "as-a-Service"-Angebot als auch die Zertifikatsverwaltung entstanden aus den unbefriedigten Bedürfnissen, die wir in unserem Kundenstamm sahen.

Obwohl Sie digitale x.509-Zertifikate von öffentlichen Anbietern kaufen können, benötigen die meisten Unternehmen auch eine privat verwurzelte PKI für Wi-Fi, Webdienste und interne Geräte. Das bedeutet, dass Unternehmen keine gut funktionierende, gut strukturierte und skalierbare PKI aufrechterhalten können, indem sie ihre Unternehmens-PKI "einrichten und vergessen".

Manchmal müssen sie transparent sein, weil etwas Schreckliches passiert ist. Wir haben Kunden, die vor der Einführung von PKI as-a-Service ihre PKI versehentlich falsch konfiguriert hatten.

Ein Kunde hatte zum Beispiel eine eigene interne PKI zur Verschlüsselung von Laptops und Desktops eingerichtet. Dann wurde die gesamte IT ausgelagert, und bei dieser Umstellung ging das gesamte Fachwissen darüber verloren, wo alle Schlüssel gespeichert waren und wie die Archivierung funktionierte. Dies führte dazu, dass buchstäblich mehr als 70.000 Laptops und Desktops nicht entschlüsselt werden konnten.

Unabhängig davon, ob Sie Ihre eigene PKI betreiben oder ob wir das für Sie tun, müssen Sie einen vollständigen Bestand aller Schlüssel haben.

Nun, Zertifikate sind einem Führerschein oder einem Reisepass sehr ähnlich. In beiden Fällen besteht eine der Gemeinsamkeiten darin, dass es ein vorher festgelegtes Verfallsdatum gibt.

Im Falle eines Reisepasses oder eines Führerscheins kann das aus verschiedenen Gründen geschehen. Vielleicht hat sich Ihre Adresse geändert oder Sie sind gealtert und sehen nicht mehr so aus wie auf dem Foto in Ihrem Führerschein. Dieses vordefinierte Erneuerungsdatum führt dazu, dass man einen Plan haben muss, wie diese Dinge aktualisiert werden.

Bei digitalen Zertifikaten sollten Sie die Sache wirklich ganzheitlich betrachten:

• Wie stelle ich die Bescheinigungen aus?
• Wie bringe ich sie dorthin, wo sie hingehören?
• Wann können sie verwendet werden?
• Wer darf sie bekommen?
• Welche Protokollierung und Richtlinien habe ich dafür?
• Wer darf das Zertifikat widerrufen und dafür sorgen, dass es nicht mehr als vertrauenswürdig gilt?

Und dann, wenn das Zertifikat ausläuft, müssen Sie natürlich wissen, wer für die Aktualisierung des Zertifikats verantwortlich sein wird. Und natürlich gibt es Produkte wie Keyfactor, die bei all diesen Teilen des Lebenszyklus helfen können.

Die Automatisierung spielt in diesem Erneuerungszyklus eine entscheidende Rolle und kann dazu beitragen, Ausfallzeiten und Ausfälle zu vermeiden.

Das ist es.

PKI gibt es schon lange, aber in letzter Zeit ist die Zahl der Anwendungsfälle explosionsartig gestiegen, sowohl im Unternehmen als auch auf IoT.

Was wir auf IoT sehen, ist das Konzept, dass Dinge, die noch nie einen Netzwerk-Stack hatten, jetzt kommunizieren können. Sobald man kommunizieren kann, muss man in der Lage sein, Dinge wie Authentifizierung zu tun.

Woher weiß ich, dass mein Gesprächspartner seriös ist? Woher weiß ich, dass die Informationen, die ich sende, sicher sind? Woher weiß ich, dass ein Firmware-Update, das ich veröffentliche, rechtmäßig ist? Wenn Sie ein Firmware-Update für einen Herzschrittmacher oder eine Insulinpumpe herausgeben, sollten Sie sicherstellen, dass diese authentisch sind.

Die meisten Unternehmen, die sich mit der IoT Authentifizierung beschäftigen, berücksichtigen jedoch nicht die Aktualisierbarkeit im Lebenszyklus ihrer Geräte.

Der Grund für das Auslaufen von Zertifikaten ist nicht, den Menschen das Leben schwer zu machen. Es liegt daran, dass der Algorithmus und der Schlüssel mit der Zeit unsicher werden. Und das gilt eben auch für IoT Geräte.

Es mag schwierig sein, einen Schlüssel auf einem Gerät von IoT zu aktualisieren, aber das entbindet Sie nicht von der Tatsache, dass die verwendete Kryptographie in etwa fünf bis zehn Jahren unsicher sein wird. Wir können so etwas vorhersagen, weil die Algorithmen, die wir vor fünf oder zehn Jahren verwendet haben, heute nicht mehr sicher sind.