nexus PKI Produktbeskrivning nexus PKI

Transkript

1 PKI (Public Key Infrastructure) skyddar affärskritisk information, kommunikation och IT-processer mot till exempel obehörig åtkomst, dataläckage, spioneri, identitetsstöld och bedrägeri samt överbelastningsattacker. nexus, som är teknikledande inom PKI, erbjuder lösningar i världsklass för utfärdande, validering och delegerad livscykelhantering av PKI-baserade identiteter för internt bruk, för internet och för molnanvändare samt för t ekniska komponenter, för alla branscher, kritiska infrastrukturer och leverantörer av tjänster oavsett skala. PKI infrastruktur med publik nyckel PKI (Public Key Infrastructure) är världens mest generiska, mest skalbara och mest kompatibla säkerhetsteknik som ger användare enskilda personer och enheter digitala identiteter (certifikat) för informations- och kommunikationssystem. Användare kan använda sina digitala identiteter för olika ändamål, som autentisering, digitala signaturer och kryptering. I PKI tilldelas respektive användare ett nyckelpar och ett certifikat. En nyckel är en uppsättning digitala data som används till kryptografiska operationer, som signering eller kryptering. Användarens unika nyckelpar består av en privat och en publik nyckel. Den privata nyckeln är hemlig och lagras enbart på användarens enhet (smartkort, dator, telefon eller annan enhet). Det är matematiskt omöjligt att räkna ut den privata nyckeln som passar till den publika så att denna kan göras allmänt känd. Den publika nyckeln kombineras med användarens identitetsuppgifter och giltighetsinformation i ett certifikat som fungerar Vad är ett digitalt certifikat? Ett digitalt certifikat består av följande: uppgifter om certifikatägarens identitet certifikatägarens unika publika nyckel certifikatets giltighetsperiod den digitala signaturen för certifikatsutfärdaren. 1

2 Säkerhetstjänster som stöds av PKI: Användarautentisering Autentisering av dataursprung Integritetsskydd av data Oavvislighet Sekretess som användarens digitala identitetskort. Certifikatsutfärdaren (CA) signerar och publicerar certifikatet digitalt. CA-signaturen godkänner användarens innehav av den öppna nyckeln och motsvarande privata nyckel. Användarautentisering För användarautentisering skickar den validerande eller förlitande parten (t.ex. en enhet eller tjänst som användaren vill logga in på) en uppsättning slumpmässiga testdata till användaren. Användarens enhet signerar digitalt dessa testdata i sin tur, dvs. kombinerar dem med den privata nyckeln i enlighet med en signaturalgoritm. Signaturen är unik vad gäller den privata nyckeln, så att endast användaren kan skapa signaturen för testet. Med hjälp av den öppna nyckeln i användarens certifikat kan den förlitande parten verifiera att testet verkligen undertecknades med motsvarande privat nyckel. I så fall har användaren autentiserats. Testet ändras för varje autentisering för att förhindra uppspelningsattacker. Digitala signaturer En digital signatur ger belägg för att signerade data kommer från certifikatinnehavaren. Den digitala signaturen skapas och verifieras på samma sätt som vid autentisering, förutom att användbara data signeras i stället för slumpmässiga testdata. Eftersom signering är en enkelriktad funktion är det inte möjligt att hitta andra data som resulterar i samma signatur. Därför är det praktiskt taget omöjligt att förfalska signerade data och 2

3 därför är integriteten för uppgifterna skyddad. Användarens unika signatur utgör tillsammans med integriteten för signerade data grunden för juridiskt giltiga oavvisliga elektroniska signaturer. Kryptering Kryptering av data görs med hjälp av den öppna nyckeln i användarens certifikat enligt en krypteringsalgoritm. Krypterade data kan dekrypteras endast med hjälp av motsvarande privata nyckel, som finns hos certifikatsägaren. Utan att känna till den privata nyckeln är det omöjligt att återställa data. På så sätt skyddas uppgifterna. TILLGODOSE BEHOVEN FÖR MODERN ID-HANTERING Skalbarhet Skalbarhet är den största fördelen med PKI jämfört med andra tekniker för autentisering. Skalbarhet baseras på följande egenskaper: Bara en uppsättning offentlig information (den publika nyckeln) behövs för validering, vilket gör det möjligt att frikoppla utfärdandet av identitet från valideringen av identitet utan att ha säkra processer för distribution av hemlig systeminformation och utan kvarvarande säkerhetsrisk att dela detta i olika system. Därför kan valideringen delegeras till någon annan organisation än CA, och även till användarna, medan identifieringsuppgifterna (dvs. de privata nycklarna) förblir opåverkade. 3

4 CA signerar användarcertifikaten så att deras autenticitet kan verifieras av den förlitande parten. Därför kan användarcertifikaten lagras i eller överföras via icke-säkra anläggningar, vanligen i X.500/LDAP-kompatibla katalogservrar. För att verifiera autenticiteten hos användarcertifikaten behöver den validerande parten endast en autentisk kopia av CA-certifikatet, även kallat tillitsankare, trust anchor. På detta sätt kan CA-certifikatet etablera tillit för certifikat för ett godtyckligt och ständigt föränderligt antal användare. Själva CA-certifikaten kan signeras av en annan CA för att bygga upp en tillitshierarki och därmed ytterligare öka skalbarheten. CA kan korscertifiera certifikatutfärdare i andra hierarkier och etablera tillit på detta sätt mellan olika CA-hierarkier, så kallade PKI-öar. Säkerhet PKI-säkerhet bygger på kryptering med öppen nyckel, en av de största uppfinningarna inom matematiken på nittonhundratalet. Offentliga nyckelalgoritmer och protokoll analyseras av en bred krets av forskare, vilket är den bästa möjliga säkerhetsgarantin. Det centrala för PKI är att inga systemhemligheter behöver delas mellan de validerande instanserna och användarenheterna för ömsesidig validering av identifieringsuppgifterna. Detta gör det 4

5 inte bara praktiskt, utan teoretiskt säkert mot komprometterande attacker mot nycklar i produktions- eller valideringssystem, något som har orsakat stora skador på senare tid för kunder och leverantörer av symmetriska nyckelbaserade RFID- och OTP-autentiseringstoken. Jämfört med system som baseras på symmetriska nycklar är uppdateringen av systemnycklar (återutfärdande av systemnycklar) enklare: endast autenticiteten, inte sekretessen, hos systemnyckeln (dvs. den publika nyckeln) behöver säkerställas i distributionsprocessen, något som kan uppnås på många olika sätt, bland annat med hjälp av out-of-band-mekanismer, till exempel publicering av fingeravtryck. Livscykelinformation Livscykelinformation är en inbyggd funktion i PKI. Varje certifikat har en giltighetstid inkodad i det certifikat som kontrolleras av den validerande parten. Utöver detta kan certifikat återkallas om den privata nyckeln komprometterats eller av annat skäl inte längre behövs. Det finns standardiserade sätt för den förlitande parten att förvissa sig om återkallningsstatus för ett certifikat: antingen genom en spärrlista (CRL) som normalt publiceras i en katalog, eller genom en OCSP-tjänst (Online Certificate Status Protocol). En spärrlista innehåller följande: Namnet på utfärdande CA Serienummer för spärrlistan Giltighetsperiod för spärrlistan Tidpunkt för nästa CRL-publicering Lista över återkallade certifikat, inklusive dessa uppgifter: certifikatets serienummer orsak till återkallningen (kompromettering eller annat) tidpunkt en för återkallningen Digital signatur för certifikatsutfärdaren. 5

6 Identitetsfederationer Identitetsfederation innebär möjlighet för system att utbyta och kombinera användaridentitetsdata mellan system och organisationer. Certifikaten innehåller användaridentitetsdata i standardiserad form med X.501-katalogattribut (representation av användardata i LDAP-liknande kataloger) och kan på detta sätt överföra användarinformation mellan system i ett kompatibelt format. EXEMPEL PÅ ANVÄNDNING AV PKI Enhetsinfrastrukturer PKI används traditionellt för SSL/TLS och IPSec-säkerhet i virtuella privata nätverk (VPN), brandväggar, routrar och andra nätverksprodukter. Den nya LTE-standarden för mobila internettjänster i bredband föreskriver PKI-säkrad kommunikation längs fasta kablar i mobilnätet. PKI säkrar kommunikationen inom många andra typer av tekniska infrastrukturer, som mellan elektroniska resehandlingar och betrodda dokumentläsare (epass, eid) samt smarta mätsystem. Företags-PKI PKI används allmänt i vanliga tillämpningar som de flesta organisationer använder för smartkortsinloggning, samlad inloggning (SSO), klient-server-kommunikation via SSL/TLS, mejl- och dokumentsignering och -kryptering, maskinautentisering i företagsnätverk samt för VPN-säkerhet. Bankärenden på Internet Smarta kort ger stark tvåfaktorsautentisering i tillämpningar som utför transaktioner med större belopp och/eller är exponerade på internet, och därmed är i fokus för IT-brottsligheten. Många andra offentliga nättjänster är skyddade med stark PKI-baserad autentisering, när det höga beloppet eller den juridiska relevansen av transaktionerna så kräver. 6

7 E-legitimationer Flera länder, stora banker och teleoperatörer har infört elektroniska identiteter (eid) för sina kunder. Dessa e-legitimationer kan användas för autentisering och juridiskt oavvisliga signaturer och är allmänt erkända inom olika tillämpningsområden (t.ex. medborgartjänster, internetbanker, e-handel) även över nationsgränserna. Juridiska signaturer och långsiktig validering Elektroniska signaturer påskyndar juridiska förfaranden, möjliggör papperslösa processer utan mediebrott och förbättrar användarens bekvämlighet samt ekonomi i företaget. I EU erkänns elektroniska signaturer av lagstiftningen som juridiskt giltiga under förutsättning att motsvarande eid är ett kvalificerat certifikat, dvs. ger den högsta nivån av säkerhet för användarens identitet. Signerade juridiska dokument måste vara verifierbara under en lång tid (10 30 år). För långsiktig validering måste så kallade avancerade signaturer skapas, vilka innehåller utöver undertecknarens elektroniska signatur motsvarande certifikatskedja, återkallningsinformation och en tidsstämpel som avser tidpunkten för signeringen. Dessa medger validering av signaturen, även om eid under tiden löper ut eller eid-utfärdaren inte längre tillhandahåller återkallningsinformation. Juridiska signaturer måste arkiveras långsiktigt i ett säkert arkiv med regelbunden tidsstämpling av allt signaturinnehåll. Trust center Trust center är datacentraler med hög säkerhet som har implementerat en certifikatsutfärdare (eller flera, för olika företagskunder). Trust center tillhandahåller registrering med hög säkerhet av användare, certifiering, återkallanden samt tjänster för återkallningsstatus till företags- och privatkunder. För att göra det enkelt för tillämpningar att använda PKI-baserade identiteter inför avancerade Trust center gradvis tjänster för validering, autentisering, signaturer och tidsstämpling, vilka används av företagskunder via API:er. 7

8 NYA UTMANINGAR Förutom de traditionella användningsfallen kan man observera nya framväxande tillämpningsområden och scenarier för PKI-teknik, vilka beskrivs nedan. Öppna organisationer kräver säkra identiteter IT-tjänster används i allt större utsträckning från molnet (t.ex. SalesForce) och användarna använder enheter (datorer, surfplattor, telefoner) och enskilt valda molntillämpningar (som Google) i sitt arbete. Samtidigt förväntar man sig snabba, obyråkratiska registreringsrutiner och enkel tillgång till alla resurser inom olika tillämpningsområden. Allt detta gör att organisationerna står inför problemet att brandväggar och VPN inte längre utgör gränserna för säkerhetsdomänen, utan växer över organisationens nätverksdomän och över poolen med interna tillämpningar och datorer. Sådana öppna organisationer behöver därför en ny säkerhetsstrategi. Säker identifiering av användare och enheter med en för risken lämplig säkerhetsnivå är grundläggande i en sådan strategi. 8

9 Sakernas internet Fler och fler WAAS-tillämpningar förlitar sig på mobil maskintill-maskin-kommunikation (M2M) över internet: anläggningsoch maskinparkshantering, transporter, trafikledning, patientvård. Via mobilkommunikation kan mobila enheter som fordon, containrar och varor utbyta information inte bara med en central server, utan också med varandra, vilket skapar ett nytt paradigm för mobila tillämpningar förväntas fler än 200 miljarder enheter att vara anslutna till internet och generera merparten av datatrafiken. Säker identifiering och säker kommunikation är avgörande för säkerheten, tillförlitligheten och i slutänden framgången för M2M-tillämpningarna. Kritisk infrastruktur Kritisk infrastruktur omfattar organisationer och anläggningar inom försvar, finans, hälsovård samt kommunikation, industri, transport och försörjning som är oundgängliga för den nationella säkerheten, det vill säga uppfyllandet av grundläggande mänskliga behov och kontinuitet i den nationella ekonomin. Kritisk infrastruktur måste skyddas från manipulering, internt sabotage och denial-of-service-attacker från dagens internet med kommersiell och statligt organiserad IT-brottslighet och genomförbara cyberkrigsscenarier. Identiteter med hög kvalitetssäkring och starka åtgärder för åtkomstkontroll är relevanta delar i en effektiv försvarsstrategi. Ekonomi i PKI-tjänster Värdet på en säkerhetsteknik är relaterat antingen till den risk och den skada som säkerhetsöverträdelser kan leda till eller till den affärsnytta som direkt produceras (t.ex. genom att man ersätter pappersbaserade processer eller förkortar säljprocessen). Kostnaden för varje tillämpad säkerhetsteknik måste stå i proportion till dessa affärsrisker och värderingar. Kostnadseffektiva metoder för autentisering med PKI som att använda programvarutoken till datorer eller mobila enheter kan avsevärt höja 9

10 säkerheten för lågrisktransaktioner på nätet till rimliga kostnader. Samtidigt kräver juridiskt giltiga signaturer och försvarstillämpningar smarta kort med hög säkerhet, smarta microsd-kort eller SIM-kort som autentiserings- och signeringsenhet. Ett Trust Center måste kunna hantera olika risknivåer med lämpliga kostnadsnivåer. Privat engångsnyckel (OTPK) OTPK-teknologin erbjuder ett ekonomiskt alternativ för PKIbaserade digitala signaturer utan någon kostnadskrävande signeringsenhet, vilket gör digitala signaturer överkomligt prissatta för tillfälligt bruk, som inkomstdeklaration eller tecknande av försäkringsavtal. I denna strategi genereras en privat nyckel (en OTPK) hos en central signeringstjänst som används till en enda digital signatur. Före signeringen identifieras användaren med lämplig säkerhetsnivå, vilken kan fastställas genom att man visar upp en e-legitimation eller hänvisar till ett giltigt avtal med en teleoperatör. Efter lämplig autentisering kan användaren använda signeringstjänsten. Sekretess på internet Communities på Internet lockar miljarder. En typisk internetanvändare är medlem i några communities och konsument av betaltjänster eller kostnadsfria tjänster (som Google, Amazon och ebay). Förutom direkta angrepp på användare och identitetsuppgifter (trojaner, nätfiske, social engineering osv.) och tillhörande bedrägerier kan identitetsinformationen missbrukas på internet även på flera andra sätt: oönskad profilering av användare kommersiell användning av identiteter eller profilinformation utan uttryckligt medgivande från konsumenten okontrollerad tillgång till identitetsdata och personlig information via internettjänster från obehöriga eller oavsiktliga användare. På grund av att missbruk ofta förekommer blir internetanvändare och nationella myndigheter mer och mer medvetna om 10

11 dessa säkerhetsaspekter. Följaktligen växer det fram en efterfrågan på lämplig teknik som hjälper internetanvändarna att skydda sina identiteter och privata uppgifter, helst utan att begränsa kvaliteten på tjänster och användarvänligheten. Anonymitet En möjlig motåtgärd mot att röja identitetsuppgifter för otillförlitliga tjänster är anonymitet. En elektronisk identitet kan bära en unik och slumpmässig pseudonym i stället för verkliga identitetsuppgifter och därmed frikoppla användarens verkliga identitet i ansökningssammanhang från den kontextspecifika digitala identiteten. Samtidigt säkerställer den anonyma identiteten för affärsparten (t.ex. en onlinebutik) att användaren finns som juridisk person. Den verkliga användaridentiteten kan inhämtas av en betrodd betaltjänst eller av en domstol vid en juridisk tvist. Olika pseudonymer kan användas i olika sammanhang och för olika tillämpningsområden så att användaren inte kan kännas igen, något som förhindrar profilering eller insamling av dataidentiteter. Användarcentrerad identitetshantering Med användarcentrerad identitetshantering får användaren ett sätt att styra vilka identitetsuppgifter som överlämnas till en tillämpning. Här kan PKI bidra genom att utfärda ett attributcertifikat med (partiell) information om användaridentiteter eller en redovisning av ålder, yrke eller fullmakter på användarens begäran, vilken kan användas i olika affärssammanhang. Dessutom kan användaren välja att inte publicera sina certifikat. Nexus PKI-plattform PKI-experten nexus tillhandahåller branschledande produkter för utfärdande, validering och delegerad livscykelhantering av PKI-identiteter och branschledande som på ett säkert sätt identifierar användaren och stöder ett brett utbud av säkerhetstjänster, som användarautentisering, autentisering av data- 11

12 Interna och externa användare Security Client IT- och telekomsystem och enheter Industrianläggningar och kritisk infrastruktur Sakernas internet, M2M Tillverkning av smarta kort Självserviceportal Ledningsportal Nyckel- och PIN-hantering OCSP responder API:er för certifikathantering Certifikatutfärdare Valideringsserver Tidsstämpelserver Identitetsutfärdande och livscykelhantering Centrala PKI-funktioner Validering av identitetsanspråk -plattform ursprung samt integritetsskydd, datakryptering och elektroniska signaturer. Den omfattande och flexibla plattformen ger följande: central certifikatutfärdare med hög säkerhet samt nyckelhantering webbaserat, delegerat identitetsutfärdande samt processer för livscykelhantering validerings- och tidsstämplingstjänster olika API:er för certifikathantering och validering en PKI-säkerhetsklient som möjliggör användning av smarta kort och programvarubaserade token på alla datorer och webbläsarplattformar. kan hämta användaridentitetsdata från företagskatalogen eller från andra användardatakällor. PKI-identitetsuppgifter kan utfärdas för registrerade användare och enheter i assisterad eller automatiserad driftsform. Olika PKI-identitetsenheter stöds: smarta kort, smarta USB-token, identitetsfiler och programvarutoken i värdsystemets säkra lager. är utformat att hantera multitenancy: Samma tjänsteplattform kan användas för flera företagskunder med åtskiljande av användare och domäner. Våra system används ofta med certifikatutfärdare och respektive domäner. nexus 12

13 PKI-plattform är skalbar i alla rimliga storlekar och är plattformsoberoende. PKI-plattformen har visat sig vara ytterst effektiv och tillförlitlig i storskaliga distributioner med miljontals identitetsinnehavare. Den certifierade säkerheten är betrodd av nationella Trust Center och finansiella institutioner med säkerhetskritiska infrastrukturer världen över. FÖRDELAR MED NEXUS PKI Tillgänglighet -plattform erbjuder användarvänliga och tidseffektiva säkerhetstjänster med förlitande tillämpningar så att hög säkerhet kan implementeras utan att någon arbetseffektivitet går förlorad. Självbetjäningstjänster, olika språk och aviseringar gör det möjligt för användarna att själva hantera sina identitetsuppgifter när de så önskar. Hantering av identitetsuppgifter kan delegeras till valfria roller och platser i organisationen samt till företagskunder. Snabb återställning av PIN-koder, avblockering och ersättning av kort när man tappat sitt kort, glömt det hemma, det har blivit skadat eller spärrat eller när man glömt koden. Olika sätt för autentisering kan användas för hanteringsoch självbetjäningsportaler. Användbarhet Årtionden av arbete med PKI har gett säker, enkel och användarvänlig leverans och hantering av identiteter där den tekniska PKI-nivån är osynlig för användarna. Enkelhet är det primära för identitetsportaler och användning. Ett intuitivt gränssnittet där man utan tekniskt kunnande snabbt kan lära sig systemet och använda det smidigt och säkert. Påminnelser och aviseringar med URL-innehåll och engångsidentiteter hjälper användarna att snabbt utföra åtgärder som krävs i systemen. 13

14 Hanterbarhet, ekonomi Delegerad självservice av identiteter frigör IT-personalen till annat. Multitenancy minskar kostnaderna: Ett och samma system kan betjäna flera företag genom att användare och domäner hålls åtskilda. Webbteknik eliminerar behovet av installationer och uppgraderingar hos kunden. nexus erbjuder egenutvecklade standardprogram med delade underhållskostnader och långsiktig livscykel. Produkterna finns som på-platsen-program med licenseller hyresavtal eller som Software as a Service. Andra tillämpningar Produkterna fungerar direkt med vanliga säkerhetstillämpningar: datorinloggning, webbautentisering, säkra mejl, VPN-säkerhet, dokumentsignering och kryptering. Kompatibilitet är kompatibelt med relevanta internationella teknikstandarder. Olika API:er och flexibel konfigurering möjliggör integrering i alla identitetslösningar och förlitande tillämpningar. Våra PKI-produkter är plattformsoberoende och hanterar operativsystem, databaser, kataloger, HSM och smartkortsprodukter från de större leverantörerna. Efterlevnad CommonCriteria EAL3 + certifierad säkerhet. Säkerhetsarkitektur, stark tvåfaktorsautentisering, rollbased åtkomstkontroll och hörbarhet bidrar till regelefterlevnad. Flexibla rolldefinitioner och konfigurerbara autentiseringsnivåer är till hjälp när man anpassar säkerhetspolicyerna efter organisationsstrukturer och risker. 14

15 Användarerfarenheter av nexus sätter användarna i fokus. Användbarhet och enkelhet är våra ledande designprinciper. Alla autentiseringsuppgifter levereras smidigt till olika användarenheter. Aviseringar påminner användarna om aktuella åtgärder i livscykeln. Många olika autentiseringsmetoder för att komma in i självserviceportalen. Det intuitiva och snygga gränssnittet döljer tekniken och gör PKI hanterbart för alla. I en nödsituation finns snabb hjälp till hands på plats eller i självserviceportalen. Varför nexus? nexus är pionjär och teknikledare inom PKI med ansedda kunder inom offentlig sektor, försvar, bank, industri och bland certifierade trust center. Man har flera miljoner användare och årtionden av PKI-erfarenhet och en mogen, tillförlitlig teknik. Suite omfattar alla komponenter för utfärdande, validering och livscykelhantering av PKI-baserade identiteter. Hög säkerhet, kostnadseffektiva processer, användarvänlighet och enkelhet är våra viktigaste designprinciper. Genom hög flexibilitet i integrering och konfigurering kan våra system anpassas till kundernas behov i olika miljöer och scenarier. 15

16 Suite: nexus Certificate Manager Innehåller kärnfunktioner för PKI med hög säkerhet som certifikatutfärdare, PIN- och nyckelhantering samt central smartkortsproduktion. Stöd för olika certifikatformat, t.ex. publik nyckel och certifikatattribut med X.509 samt kortverifierbara CV-certifikat. nexus Credential Manager Det centrala verktyget för att implementera effektivt och användarvänligt utfärdande av identiteter och processer för livscykelhantering i organisationer med delegering och självservicefunktioner. Certifikat och nycklar kan levereras på smarta kort eller i programtoken. nexus OCSP Responder En onlinetjänst för validering av parterna för att kontrollera återkallningsstatus för certifikat med snabba svarstider, noll latens och hög servicekapacitet. nexus Personal Security Client En middleware för smarta kort som kan utformas efter företagsbehov och som fungerar med olika kort på olika plattformar för att aktivera PKI-säkerhet i klientprogram, t.ex. för datorinloggning med smarta kort, mejl, dokumentkryptering och signering samt SSL-/TLS-autentisering. Med webbläsarpluginer blir det enkelt att implementera säkerhetstillämpningar online med säker autentisering och dokumentsignering. nexus Timestamp Server En tidstämplingstjänst som följer standarder för tillämpningar som bygger på betrodda belägg för ett dokuments existens till exempel en juridiskt giltig signatur eller ett anbud vid en viss tidpunkt. Portwise Validation Server En tjänst för validering av identitetsanspråk och digitala signaturer så att förlitande tillämpningar inte behöver implementera dessa funktioner, utan kan förlita sig på en tillförlitlig central tjänst. PortWise Validation Server stöder olika format för nationella eid och bank-eid, PKCS # 7, XML och PDF-signaturer samt framtagning av avancerade signaturer för långsiktig arkivering och validering. 16