Datenschutzverletzungen sind Teil unserer täglichen Nachrichten geworden. Wir brauchen nur Anthem, Sony, Staples, UPS, Kmart, Target, Neiman Marcus, eBay, Home Depot, Apple iCloud und J.P. Morgan Chase zu erwähnen, und die meisten von uns wissen, dass diese Firmennamen auch mit weithin veröffentlichten Cyberangriffen in Verbindung gebracht werden.
Kürzlich gab es Neuigkeiten über Superfish, eine SSL Man-in-the-Middle-Adware, die selbstsignierte Zertifikate erstellen kann.
Die meisten von uns wissen, wie man prüft, ob ein Dollarschein echt oder gefälscht ist, aber wissen wir auch, wie man prüft, ob eine Website mit ihrem Zertifikat gefälscht ist?
Die Fähigkeit, eine sichere Internetverbindung zu erkennen, ist äußerst wichtig, da die Fälle von Online-Betrug von Jahr zu Jahr erheblich zugenommen haben.
Eines der grundlegenden Dinge, die jeder Benutzer tun kann, ist, das Vorhängeschloss-Symbol in der Statusleiste des Browsers zu überprüfen und das vorgelegte Zertifikat zu verstehen. Wenn Sie sich die Zertifikate der Websites ansehen, denen wir am meisten vertrauen und die wir am häufigsten nutzen, wie z. B. Google, Yahoo, PayPal usw., können Sie die Vertrauenskette mit mindestens zwei oder drei Stellen erkennen. Es ist wichtig zu prüfen, von wem das Zertifikat ausgestellt wurde.
Zertifikate werden von einer Behörde ausgestellt, und es stellt sich die Frage, ob Sie der Behörde vertrauen, die das Zertifikat ausgestellt hat.
Eine der Hauptfunktionen der obersten Zertifizierungsstelle ist die Ausstellung von Kettenzertifikaten für untergeordnete Zertifizierungsstellen, wodurch das erste Glied in der Vertrauenskette geschaffen wird. Dann gibt es eine Vertrauensbeziehung zwischen dem Endteilnehmerzertifikat und der untergeordneten Zertifizierungsstelle. Im Falle eines SSL -Zertifikats stellt das Endteilnehmer-Zertifikat die Verbindung zwischen einem Website-Eigentümer und dem Website-Domainnamen dar. Das SSL Zertifikat wird zusammen mit dem Kettenzertifikat auf dem Webserver installiert. Wenn ein Benutzer die durch das SSL -Zertifikat geschützte Website aufruft, leitet der Browser die Überprüfung des Zertifikats ein und folgt der Vertrauenskette zurück zum eingebetteten Stammzertifikat.
Es ist technisch nicht schwierig, ein SSL -Zertifikat zu erstellen, aber die Schwierigkeit besteht darin, dass es von einem autorisierten Unternehmen signiert sein muss, das zu den vertrauenswürdigen Stammzertifikaten gehört.
Diese gehören den verschiedenen Zertifizierungsstellen und sind durch eine starke kryptografische Authentifizierung geschützt. Der Trick besteht also nicht darin, das Zertifikat zu erstellen, sondern jemanden dazu zu bringen, ihm zu vertrauen. Aus diesem Grund ist die Stammzertifizierungsstelle (Root CA) der wichtigste und anfälligste Teil einer Public Key Infrastructure (PKI). Es überrascht nicht, dass CAs zum Ziel von Angriffen geworden sind.
Da ein gefälschtes Zertifikat nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert ist, wird es von den gängigen Webbrowsern nicht als gültig angesehen software; ein zunehmender Teil des Online-Banking-Verkehrs stammt jedoch von Anwendungen und anderen Nicht-Browsern software , die die Gültigkeit von SSL Zertifikaten möglicherweise nicht angemessen prüfen. Daher muss jedes Gerät, das auf den Netzverkehr zugreift, geschützt werden, und der professionelle Einsatz von PKI ist die Antwort darauf.
Cyberkriminalität ist im Wesentlichen eine Möglichkeit für Hacker, ihre Fähigkeiten unter Beweis zu stellen und den Code zu knacken, auch wenn die Technologie fortschreitet und scheinbar immer stärker wird. Daher ist die Verschlüsselung von Daten die wichtigste Schutzmethode, die der US-Finanzsektor in diesem Jahr eingeführt hat. Die digitale Sicherheit ist zu einem solchen Thema geworden, dass die Vereinigten Staaten Chipkarten und POS-Terminals einführen, die dem Europay-, MasterCard- und Visa-Standard entsprechen.
Ab Oktober 2015 haftet ein Kartenaussteller oder Händler, der EMV nicht unterstützt, für Betrug, der sich aus kompromittierten Magnetstreifentransaktionen ergibt. Offenbar hat sich bereits ein Umdenken dahingehend vollzogen, dass die Zukunft in der Verschlüsselung liegt. Warum ist ein Chip sicherer als ein Magnetstreifen?
Der erste offensichtliche Schutz, den der Chip bietet, ist die Verhinderung des Klonens. Wenn Sie beispielsweise in einem Restaurant mit Ihrer Magnetstreifenkarte bezahlen, geben Sie Ihre Karte normalerweise dem Kellner, nachdem er die Rechnung gebracht hat. Der Kellner bearbeitet dann die Transaktion an der Kasse, was bedeutet, dass Sie Ihre Karte mehrere Minuten lang nicht im Blick haben - genug Zeit, um Ihre Karte zu klonen, falls einer der Restaurantmitarbeiter ein Gauner ist. Bei einer Chipkarte wird ein tragbares POS-Gerät benötigt, oder der Kunde geht zur Kasse und hat die Karte die ganze Zeit im Blick.
Zweitens sind Chipkarten in den meisten Teilen der Welt der Standard, weil sie nicht nur schwieriger zu klonen sind, da sich die Daten auf Chipkarten ständig ändern, was es extrem schwierig macht, sie zu isolieren, zu extrahieren und zu fälschen, als ihre Vorgänger mit Magnetstreifen, sondern auch, weil Chipkarten sich vor allem dadurch unterscheiden, dass sie eine ausgeklügelte Verschlüsselung direkt in den Chip eingebaut haben. Wenn Sie eine Chipkarte eintauchen, anstatt sie durchzuziehen, kommuniziert sie in einer geheimen Sprache mit dem Zahlungsterminal, um sicherzustellen, dass Sie auch wirklich bezahlen.
Offensichtlich funktioniert die Verschlüsselung. Richtig implementierte starke Kryptosysteme sind eines der wenigen Dinge, auf die man sich verlassen kann, insbesondere im Zahlungsverkehr und auch beim Schutz der übrigen von Ihnen gespeicherten und gesendeten Daten.
Für welche Art der Verschlüsselung wollen wir uns also entscheiden? Die grundlegendste Angriffsmethode für jede Chiffre ist die Brute-Force-Methode, also das Ausprobieren jedes Schlüssels, bis der richtige gefunden ist. Die Länge des Schlüssels bestimmt die Anzahl der möglichen Schlüssel und damit die Durchführbarkeit dieser Art von Angriff. Die Stärke der Verschlüsselung ist direkt mit der Schlüssellänge verbunden. Jeder realistische Algorithmus gilt als "stark genug", wenn es länger dauert, das Material zu entschlüsseln, als die Informationen mit den zu diesem Zeitpunkt verfügbaren Ressourcen wert sind. Wenn die Informationen zum Beispiel meine Pläne für das morgige Abendessen beinhalten, ist es wahrscheinlich, dass mein Verschlüsselungsalgorithmus einen Angreifer nur 24 Stunden aufhalten muss, denn dann ist das Ereignis vorbei.
Da wir die Erschwinglichkeit von Computerkapazitäten berücksichtigen müssen, die mit der Zeit zunehmen und den Aufwand für einen erfolgreichen Angriff auf den Algorithmus verringern können, gilt für die meisten Unternehmen die Faustregel, dass die von ihnen verwendete Verschlüsselung auch in 20 Jahren noch sicher sein sollte.
Unabhängig davon, ob wir verschiedene Bundes- und Landesgesetze in den USA einhalten müssen, wie z. B. den Datenschutz, oder ob wir große finanzielle Verluste vermeiden wollen, ist die Erkenntnis der großen Notwendigkeit eines angemessenen Verschlüsselungsschutzes von größter Bedeutung. Microsoft bietet den Nutzern in bestimmten Windows-Editionen eine integrierte Festplattenverschlüsselung an, und es gibt viele andere großartige Produkte, die Ihre Verschlüsselungsanforderungen erfüllen.
Wenn einem Unternehmen die Integrität seiner Daten und Systeme am Herzen liegt, muss es entweder eine PKI mit geeigneten Kontrollmechanismen einrichten oder einen vertrauenswürdigen Drittanbieterdienst nutzen. Andernfalls ist ein Unternehmen ungeschützt und zunehmend verwundbar.
Die Root-CA steht an der Spitze der Zertifikatshierarchie. Da sie die Schlüssel enthält, die für die gesamte Zertifikatsinfrastruktur verwendet werden, müssen diese Schlüssel geschützt werden. Wenn sich ein Angreifer Zugang zu diesen Schlüsseln verschafft, ist die gesamte Zertifikatsinfrastruktur gefährdet.
Daher muss die Root-CA unbedingt auf einem eigenständigen Server ohne Netzwerkkarte oder mit deaktivierter Netzwerkkarte installiert werden. Die Zertifikate der Stammzertifizierungsstelle müssen auf Datenträgern transportiert werden. Da die Root-CA nicht mit dem Netzwerk verbunden ist, trägt dies zum Schutz der Root-CA-Zertifikate vor Angriffen bei.
Für höchste Sicherheit können Root-CA-Schlüssel zusätzlich durch ein Hardware Sicherheitsmodul (HSM) geschützt und in einem Tresor aufbewahrt werden, nachdem die Root-Key-Zeremonie abgeschlossen und von allen Beteiligten unterzeichnet wurde.
Bei PKI-Verpflichtungen mit CSS wählen wir die richtige Verschlüsselung für Ihre Art von Geschäft. SHA ist zum Beispiel ein beliebter Hash-Algorithmus, der von der Mehrheit der SSL Zertifikate verwendet wird. Da es aufgrund der gestiegenen Rechenleistung immer schwieriger wird, den SHA1-Hash zu knacken, verwendet und empfiehlt die CSS, von nun an nur noch SHA 256 zu verwenden. Wir wählen hardware Sicherheitsmodule, die den Federal Information Processing Standard wie FIPS 140 Level 2 und Level 3 erfüllen.
Unsere PKI-Implementierungslösung wird Unternehmen als Dienstleistung angeboten, die es ihnen ermöglicht, ihre Daten sorgenfrei zu verschlüsseln und zu sichern. Zu diesem Service gehört unser einzigartiges Produkt namens Certificate Management System (CMS), das führende Produkt für die Ausstellung und Verwaltung von Zertifikaten über Geräte und Dienste hinweg. CMS verwendet einen VSCEP-Dienst (Validated SCEP™), der ein Patent für die hochsichere Ausstellung von PKI-Zertifikaten erhalten hat, und verwendet eine Verschlüsselung auf Spaltenebene innerhalb der MS SQL-Datenbank, die eine wesentliche Rolle bei der Sicherung Ihrer Daten spielt.