![[Webinar-Zusammenfassung] Sicherung der PKI der nächsten Generation](https://www.keyfactor.com/wp-content/uploads/securing-next-gen-pki-blog-img.png)
PKI-Implementierungen haben sich weiterentwickelt und ausgeweitet, um mehr geschäftskritische Infrastrukturen und Anwendungen als je zuvor zu schützen, und haben sich als sichere und kostengünstige Technologie für neue Initiativen wie Cloud, Service Mesh und IoT etabliert.
Sehen Sie sich das On-Demand-Webinar an oder lesen Sie die nachstehenden Highlights, um von Keyfactor CSO Chris Hickman und Senior Director of IoT Product Management, Ellen Boehm, praktische Ratschläge für die Bewertung einer internen PKI im Vergleich zu einer PKI as-a-Service zu erhalten.
Wie haben sich die Anwendungsfälle der PKI im Laufe der Jahre entwickelt?
Aufgrund ihres breiten Anwendungsspektrums ist die PKI zum De-facto-Standard für viele verschiedene Arten von Sicherheitsanwendungen geworden, von Unternehmen bis IoT.
PKI an sich ist zwar keine neue Technologie, aber die Anwendungsfälle werden immer vielfältiger, so dass sich eine Diskussion darüber anbietet, nach welcher Art von PKI Sie suchen sollten, um Ihr Unternehmen oder Ihre Geräte zu schützen.
Und dieses Gespräch beginnt damit, zu verstehen, was die PKI heute umfasst: Zertifizierungsstellen (die die Zertifikate tatsächlich ausstellen), hardware Sicherheitsmodule (zur sicheren Speicherung des Schlüsselmaterials), einen Identitätsspeicher und die nachgelagerten Teile des Lebenszyklusmanagements zur Automatisierung und Verwaltung des Austauschs von Schlüsseln, Roots of Trust und mehr.
Vor Jahren, als die Technologie noch langsamer und einfacher war, wurden PKIs für spezielle Anwendungen entwickelt, z. B. wenn jemand die Sicherheit von Wi-Fi verbessern oder Zertifikate zur Sicherung von Websites verwenden wollte.
Im Laufe der Zeit begannen die Unternehmen jedoch, dieselbe PKI für mehr als einen Anwendungsfall zu verwenden, was die Verwaltung schwierig und kostspielig machte... wenn sie nicht korrekt verwaltet wurde.
Obwohl die PKI erweitert und weiterentwickelt wurde, um eine Vielzahl von Anwendungsfällen abzudecken - darunter auch Dinge wie DevOps -bleibt sieeine Kerntechnologie zur Sicherung von Unternehmen und der wachsenden Welt von IoT. Daher ist es wichtig zu verstehen, welche Art von PKI für Ihren spezifischen Anwendungsfall zu implementieren ist.
Wie unterscheidet sich die PKI-Implementierung für IoT Gerätehersteller von einer typischen Unternehmens-PKI?
Obwohl das Volumen der Zertifikate und die Zahl der einzelnen PKI-Nutzungsfälle sowohl bei den Unternehmens-PKIs als auch bei IoT zugenommen hat, hat insbesondere die Welt von IoT von der Entwicklung profitiert. Aufgrund einer ähnlich schnellen Expansion und Entwicklung verläuft die Welt der sicheren IoT parallel zur Entwicklung der PKI.
Einer der großen Unterschiede zwischen PKI für IoT und Unternehmen ist der Lebenszyklus. Während die Kernpunkte der PKI - Methoden, Verfahren, das Endergebnis in Form eines Zertifikats usw. - dazu dienen, die Sicherheit von Geräten während ihres gesamten Lebenszyklus zu gewährleisten, muss die PKI bereits bei der Entwicklung, Herstellung und Bereitstellung des Geräts sorgfältig durchdacht werden, damit das Gerät so lange wie möglich sicher bleibt.
Darüber hinaus erfordert die PKI für IoT eine ordnungsgemäße Verschlüsselung der in den Geräten befindlichen Schlüssel, eine etablierte Firmware-Signierung und digitale Signaturen, um die Geräte über ihre gesamte Lebensdauer hinweg zu erhalten, egal wo sie sich befinden. Die Daten müssen im Ruhezustand und bei der Übertragung verschlüsselt werden, und es muss eine Signaturprüfung auf der Grundlage der PKI erfolgen, um sicherzustellen, dass alle zu installierenden Updates authentisch sind, bevor sie installiert werden.
Welche Enrollment-Schnittstellen benötigt eine moderne PKI, um IoT Anwendungsfälle zu unterstützen? Welche Authentifizierung und Autorisierung unterstützt Keyfactor für das IoT initiale Enrollment?
Während einige IoT -Geräte sich über SCEP und EST anmelden können, übernimmt Keyfactor die Generierung von Schlüsseln für die Zertifikatsregistrierung mit Hilfe eines in die Firmware Ihrer Geräte integrierten Orchestrator-Frameworks. Einmalige Registrierungen auf IoT werden je nach hardware und den erforderlichen Anforderungen eingerichtet.
Keyfactor verwendet ebenfalls eine clientseitige Zertifikatsauthentifizierung für die anfängliche Geräteauthentifizierung. Dies bedeutet, dass ein privater Schlüssel im Gerät verbleibt und ein mathematisch erzeugter und zugehöriger öffentlicher Schlüssel für den Austausch verwendet werden kann.
Dies ermöglicht eine gegenseitige Authentifizierung, bei der sich sowohl der Client als auch der Server oder zwei Geräte gegenseitig authentifizieren können, wobei die besten Sicherheits- und IoT Praktiken eingehalten werden.
Was bedeutet "offline", und was ist der Grund für eine Offline-Root?
Offline bedeutet offline - zu keinem Zeitpunkt seines Bestehens ein Netz berührt zu haben. Es gibt keine unterschiedlichen Grade von Offline.
Der Grund für einen Offline-Root ist, dass der Root niemals kompromittiert werden kann und es keinen Netzwerkpfad gibt, der auf ihn zugreifen kann, wodurch er vollständig von allem isoliert ist, was ihn in Gefahr bringen könnte.
Eine Offline-Wurzel stellt jedoch eine operative Belastung dar, so dass es darauf ankommt, die richtige Balance für Ihr Unternehmen zu finden.
Letztendlich wird eine Root-Zertifizierungsstelle bei einem internen oder externen Audit unter die Lupe genommen und muss vollständig offline sein, d. h. sie darf zu keinem Zeitpunkt mit einem Netzwerk in Berührung kommen und muss manuell umgestellt werden. Auch wenn dies ein entmutigender Prozess zu sein scheint, ist die Inanspruchnahme von Managed PKI Services (PKI-as-a-Service) einer der erschwinglichsten, sichersten und effizientesten Wege für Unternehmen und IoT Hersteller.
Welche Auswirkungen hat das Auslaufen einer Root-CA und was bedeutet das für ein Unternehmen? Einen Hersteller?
Bescheinigungen müssen einfach ablaufen. Das ist eine Selbstverständlichkeit, so wie auch der Führerschein oder der Reisepass ablaufen.
Die Verifizierung läuft nach einer gewissen Zeit ab und muss erneut nachgewiesen werden, um das Vertrauen und die Gültigkeit des Zugriffs zu beweisen.
Und dass dieses Vertrauen die Grundlage für das Funktionieren der PKI ist.
Wenn eine Stammzertifizierungsstelle ausläuft, muss entweder die Stammzertifizierungsstelle neu ausgestellt oder der Schlüssel der Stammzertifizierungsstelle neu geschrieben werden, und in beiden Fällen muss das Vertrauen in das neue Krypto-Schlüsselmaterial für die Geräte, die mit ihr verbunden sind, neu hergestellt werden.
Dazu müssen Sie in der Lage sein, diese neuen Zertifikate oder neu geschriebenen Zertifikate an die betroffenen Geräte zu verteilen.
Auf der Unternehmensseite gibt es verschiedene Möglichkeiten, dies zu tun, je nachdem, wie Ihr Unternehmen aussieht. Aber wenn man es nicht effizient und effektiv macht, wird es am Ende zu einem Ausfall oder einer Beeinträchtigung kommen.
Wenn es um IoT geht, nehmen Sie irgendetwas, das mit dem Internet verbunden ist, wie z. B. Insulinpumpen, die von einem Hersteller produziert werden und dann einfach an Menschen in der ganzen Welt verteilt werden. Oder Fahrzeuge oder irgendetwas, das absichtlich so gebaut wird, dass es mit dem Internet verbunden werden kann und dann einfach losläuft und sein Leben lebt.
Es kann für Ihr Unternehmen erhebliche Gewährleistungskosten bedeuten, wenn Sie jedes dieser Dinge einzeln physisch anfassen müssen, um auf den Code zuzugreifen und den privaten Schlüssel zu aktualisieren. Mit einem strategischen Ansatz können Sie Identitäten erstellen und diese dann aktualisieren und über die gesamte Lebensdauer hinweg in großem Umfang aufrecht erhalten.
