Encryption Key Management (Kryptografie-Schlüsselverwaltung)
Die Verwaltung von Schlüsseln für die Kryptografie umfasst eine Reihe von Aufgaben im Zusammenhang mit dem Schützen, Speichern, Sichern und Organisieren von kryptografischen Schlüsseln.
Vernichtende Datenverluste und gesetzliche Compliance-Anforderungen haben zu einem dramatischen Anstieg des Einsatzes von Verschlüsselung in Unternehmen geführt. Ein Betrieb kann mehrere Dutzend verschiedene und möglicherweise inkompatible Verschlüsselungs-Tools verwenden, die Tausende von Schlüsseln generieren. Das IT-Team muss jeden davon sicher aufbewahren, schützen und abrufen.
Es gibt verschiedene Bemühungen um Standards für die Verwaltung von kryptografischen Schlüsseln. Das bekannteste ist das Key Management Interoperability Protocol (KMIP), das von Anbietern entwickelt und bei der Organisation for the Advancement of Structured Information Standards (OASIS) eingereicht wurde. Das Ziel von KMIP besteht darin, Benutzern zu ermöglichen, ein beliebiges Verschlüsselungsgerät an jedes Schlüsselverwaltungssystem anzuschließen.
Arten kryptografischer Schlüsselverwaltung
Bei der Verschlüsselung kommen komplizierte Algorithmen zum Einsatz; sie wandeln Daten in Ströme scheinbar zufälliger alphanumerischer Zeichen um. Es gibt zwei grundlegende Arten von kryptografischen Algorithmen: symmetrisch (privater Schlüssel) und asymmetrisch (öffentlicher Schlüssel).
Symmetrische Schlüsselalgorithmen verwenden einen einzigen Schlüssel, um die Kommunikation zu sichern und Vertrauen, Integrität und Authentifizierung zu erreichen. Ein privater Schlüssel ist eine Variable, die mit einem Algorithmus zum Verschlüsseln und Entschlüsseln von Code verwendet wird. Unternehmen müssen den Algorithmus nicht geheim halten, aber den Schlüssel.
Asymmetrische Algorithmen stellen jedem Benutzer einen öffentlichen Schlüssel und einen privaten Schlüssel zur Verfügung. Benutzer können den öffentlichen Schlüssel frei verteilen, während der private Schlüssel geheim bleibt. Diese Schlüsselpaare erreichen alle vier Ziele der Kryptographie: Vertraulichkeit, Integrität, Authentifizierung und Unwiderlegbarkeit. Eine Infrastruktur mit öffentlichem Schlüssel unterstützt das Verteilen und Identifizieren von öffentlichen Verschlüsselungsschlüsseln, die es Benutzern und Computern ermöglichen, Daten sicher über Netzwerke wie das Internet auszutauschen und die Identität der anderen Partei zu überprüfen.
Speicherung und Sicherung von Verschlüsselungsschlüsseln
Schlüsselverwaltung hat das Ziel, kryptografische Schlüssel vor Verlust, Beschädigung und unberechtigtem Zugriff zu schützen. Es gibt verschiedene Wege, dieses Ziel zu erreichen, einschließlich der regelmäßigen Änderung der Schlüssel und der Kontrolle, wie Schlüssel zugewiesen werden und wer sie erhält. Darüber hinaus müssen Organisationen prüfen, ob ein Schlüssel für alle Sicherungstypen verwendet werden sollte oder ob jeder Typ einen eigenen Schlüssel benötigt.
Die Bedeutung der Schlüssel für den sicheren Betrieb eines Rechenzentrums kann nicht genug betont werden. Fehlt eine sorgfältige Überwachung beim Erstellen, Speichern, Handhaben und Löschen von Schlüsseln, können Unbefugte darauf zugreifen. Wenn Schlüssel verloren gehen oder beschädigt werden, kann dies zum Verlust des Zugriffs auf Systeme und Daten führen sowie ein System völlig unbrauchbar machen, es sei denn, es wird neu formatiert und neu installiert.
Tipps zum Verwalten von kryptografischen Schlüsseln
- Die Verwaltung von Schlüsseln ist nicht einfach: Wenn Sie Daten verschlüsseln, muss jemand die Schlüssel verwalten und Sie müssen über festgelegte Verfahren zur Schlüsselwiederherstellung verfügen.
- In großen Unternehmen müssen Schlüsselmanagementprozesse mit den gleichen Standards, Regeln und Qualitätsstufen auf mehrere Geschäftsfunktionen angewendet werden können.
- Sie sollten feste Ansprechpartner für Ihre Schlüssel haben; Verteilen Sie diese Aufgabe nicht auf das Administrationsteam generell, ohne konkrete Verantwortliche zu bestimmen.
- Stellen Sie sicher, dass das zentrale Schlüssel-Repository gut geschützt ist.
- Entscheiden Sie, ob Ihre technologischen Partner eine Rolle bei der Schlüsselverwaltung spielen sollen, zum Beispiel, ob Sie das Generieren von Schlüsselpaaren, der Wiederherstellen von Schlüsseln und den Treuhandzugriff auf einen externen Anbieter auslagern möchten.
- Entscheiden Sie, ob Sie für Aspekte der Schlüsselverwaltung das Vier-Augen-Prinzip anwenden möchten.
- Entscheiden Sie, ob Ihr Security-Team Schlüssel und Verschlüsselungsrichtlinien verwalten soll. In der Praxis liegt das Schlüsselmanagement während der Entwicklung meistens direkt bei den Projektmitarbeitern, wird jedoch bei der Implementierung an die Sicherheit übergeben.
Es ist wichtig, dass mehr als eine Person für das Speichern, Sichern, Referenzieren und Rotieren von Verschlüsselungsschlüsseln verantwortlich ist. Die Rollen der Hauptakteure sollten definiert werden, und die Richtlinie zur Verwaltung von Schlüsseln sollte für jeden auf einer Intranet-Site zugänglich sein.
Eine große Herausforderung ist, dass häufig ein zentrales Tool zur Verwaltung fehlt. Ein von einem Anbieter erworbenes Schlüsselverwaltungssystem kann die Schlüssel eines anderen Anbieters nicht verwalten, da jeder die Verschlüsselung auf etwas andere Weise implementiert.