20070304y Cybertrust PKI für IdM Identity Managementl
|
|
|
»manage
it«
als
|
PKI für das Identity Management Der Schlüssel zu Sicherheit, Stärke und Integrität Auch für das Identitätsmanagement und die Zugangskontrolle sollten Unternehmen auf wohlüberlegte und vor allem auch langfristig angelegte Strategien, beispielsweise mit PKI, setzen. So können sie die notwendigen Maßnahmen zum Schutz ihrer kritischen Informationen und Geschäftsprozesse ergreifen, ohne die eigenen Ressourcen übermäßig zu beanspruchen und damit vom Kerngeschäft abzulenken.
m realen Leben beruht Vertrauen auf gesellschaftlichen, gesetzlichen und geschäftlichen Wechselbeziehungen, die zum Teil über Generationen gereift sind. In der heutigen Geschäftswelt muss sich das Vertrauen allerdings häufig anders beweisen: Es steigt und fällt mit der Sicherheit von Passwortzugängen, Kreditkartendaten oder auch – etwa bei der Gesundheitskarte – von Smart-Cards. Bei der Etablierung und Sicherung von Benutzer-Identitäten müssen Unternehmen bei ihrer Geschäftstätigkeit heute wesentlich genauer hinsehen, da mit größeren Zugriffsmöglichkeiten auf ihr Netzwerk – im Zuge der notwendigen Öffnung gegenüber Partnern oder Kunden – natürlich auch die Sicherheitsrisiken wachsen. Unternehmen werden allein schon durch die steigende Anzahl gesetzlicher Richtlinien, sei es Sarbanes-Oxley oder auch Basel II, gezwungen, eine größere Sorgfalt walten zu lassen. Dienstleister mit Lösungen für Identitätsmanagement und Verschlüsselung versprechen hier Hilfe – ihre Lösungen sollen Vertraulichkeit, Integrität, sichere Authentifizierung und Verbindlichkeit von wichtigen Informationen gewährleisten. Gerade im Behördenbereich und bei sicherheitsrelevanten Anwendungen finden in diesem Zusammenhang derzeit Public Key Infrastructures (PKI) ein starkes Interesse: Immer mehr Länder sehen PKI-basierte Services als grundlegend für ihre nationale Identitäts-Infrastruktur an. Heutzutage setzen bereits einige Regierungen richtungsweisend, im Rahmen groß angelegter, nationaler Smart-Card-Projekte auf PK-Infrastrukturen. Ein Pionier-Projekt, das gemeinsam mit Cybertrust entwickelt wurde, ist hier beispielsweise das erste erfolgreiche nationale elektronische Ausweis-Projekt auf PKI-Basis, der belgische Personalausweis. Zu weiteren wichtigen aktuellen PKI-Projekten von Cybertrust gehören beispielsweise die italienische Gesundheitskarte für die Region Lombardei, der elektronische Personalausweis in Estland oder der elektronische Ausweis für die finnische Einwohnermeldebehörde. PKI-Systeme sind auch im Bankenbereich populär, hierzu zählt etwa das preisgekrönte norwegische BankID-System auf Basis der Cybertrust PKI-Lösung oder auch, gerade in der Entstehung, ein neuer nationaler elektronischer Marktplatz für das Land Luxemburg (in Zusammenarbeit mit LuxTrust). Steigender Einfluss der PKI PKIs gewinnen als Strategie für das Identitätsmanagement und Zugangsmanagement zunehmend an Bedeutung, da sie Unternehmen die Möglichkeit bieten, wichtige Daten digital zu signieren und gleichzeitig zu verschlüsseln, so dass diese nur von Personen dechiffriert oder betrachtet werden können, die ein passendes digitales Zertifikat besitzen. PKI ist keine neue Technologie und wird bereits seit mehreren Jahrzehnten für Applikationen im Bereich des Verteidigungswesens, der Geheimdienste und der Wirtschaft eingesetzt. Mit der besonderen Möglichkeit, Daten sowohl digital signieren als auch verschlüsseln zu können, zählt PKI wohl zu den wertvollsten Lösungen für das Identitäts- und Zugangsmanagement, die heute auf dem Markt sind. Andere gebräuchliche Zugangsmanagement-Instrumente sind Benutzernamen und Passworte, einmalige oder Multi-Faktor-Token zur Authentifizierung und biometrische Merkmale wie Fingerabdrücke oder Iris-Scans. Diese Instrumente sind jedoch nicht so effektiv wie PKI, da sie in der Regel keine Verschlüsselung von Daten ermöglichen. Darüber hinaus sind sie als elektronische Signatur nicht geeignet. Da die Kostenreduktion in den Sicherheitsstrategien der meisten CFOs und CSOs eine vorrangige Rolle spielen, ermöglicht die vielseitige Funktionalität der PKI-Technologie eine wirtschaftliche Nutzung der hausintern bereits vorhandenen technischen Einrichtungen und verbessert gleichzeitig die Sicherheitsprozesse zum Schutz kritischer Daten. Traditionell werden die PKI-Zertifikate hausintern erzeugt und gepflegt, wofür eine gewisse Anzahl von Sicherheitsexperten innerhalb der Organisation benötigt werden. Bei diesem Konzept ist ein Management in Eigenregie zwar möglich, aber für eine Organisation mit hohem Aufwand verbunden. Der aktuelle Trend bei PKI geht in Richtung Managed-PKI-Konzepte, die eine sehr attraktive Alternative zu den hausinternen Implementierungen der Vergangenheit darstellen. Diese Verfahrensweise gewährleistet das für die Nutzer erforderliche wirksame Zugangsmanagement und entlastet die Organisation von der Pflicht zur Unterhaltung der Infrastruktur. Dies ist es für viele Unternehmen kostengünstiger, da Aufbau und Pflege der Infrastruktur einem Anbieter von Managed-PKI-Diensten übertragen werden. Wer benötigt PKI? PKI hilft bei der Erfüllung von Compliance-Anforderungen durch verschiedene Anwendungen. In den USA wird PKI heute etwa vor allem im Bereich der öffentlichen Hand eingesetzt. So fordert etwa die Regierungsvorschrift HSPD-12, dass alle staatlichen Mitarbeiter und Auftragnehmer digitale Identitätsmerkmale per Chipkarte erhalten müssen; PKI dient als vertrauenswürdige Infrastruktur, welche die Identität des Mitarbeiters mit der Chipkarte koppelt und es dem Aussteller der Karte, in diesem Fall der Behörde, ermöglicht, diese Identität über die gesamte Nutzungsdauer der Karte festzustellen. Nach der Ausgabe können die Zertifikate zur Kontrolle des Zugangs zu Räumlichkeiten und Computernetzen dienen. Die Zusammenarbeit mit einem Dienstleistungsanbieter ist für solche Organisationen der öffentlichen Hand oft der effektivste und sicherste Weg. Managed-PKI-Dienste werden auch zur Cross-Zertifizierung eingesetzt, d. h. zur Verknüpfung einzelner PKIs zu einem größeren vertrauenswürdigen Netzwerk. So haben beispielsweise einzelne PKI-Betreiber in der pharmazeutischen Industrie (über SAFE) und in der Luft- und Raumfahrtindustrie (über CertiPath) »Brücken« eingerichtet, um die Cross-Zertifizierung in technischer und verfahrenstechnischer Hinsicht zu vereinfachen. Das Endziel solcher »Brücken« ist es, die Anwendung von PKI für vertrauenswürdige Transaktionen zwischen den an die Brücken angeschlossenen Teilnehmern zu erleichtern. Der Schlüssel zu einer starken Sicherheitsstrategie Wenn es um den Schutz von Daten und anderen Ressourcen geht, muss man sich darüber im klaren sein, dass es – besonders auf der Applikationsebene – keine Patentlösung gibt,. Nicht jede Applikation erfordert eine sichere Identitätsprüfung. Während in manchen Szenarien eine strenge Identitätskontrolle unumgänglich ist, ist bei anderen, weniger sicherheitskritischen Applikationen möglicherweise die Eingabe von Benutzername und Passwort durchaus ausreichend. Identitätsprüfungen erfolgen über einfache digitale Fotos, Vorlagen für Fingerabdrücke, digitale Zertifikate, etwa auf einem Hardware-Token, beispielsweise einer Chipkarte, gespeichert oder auch durch die sogenannte Zwei-Faktor-Authentifizierung mit einem einmaligen Passwort-Token, das bei jeder Verwendung ein neues Passwort nach dem Zufallsprinzip generiert. Haben Unternehmen aber über die Authentifizierung hinaus weitere Anforderungen, beispielsweise die digitale Signierung elektronischer Dokumente oder die Verschlüsselung von Daten, stellen PKI-Dienste eine viel bessere Lösung für ihren Gesamtbedarf dar. »Gemanagte« Einmal-Passwörter stellen vordergründig eine kostengünstige Alternative für eine umfassende Authentifizierung dar, etwa um gesetzliche Vorgaben zu erfüllen oder Best Practices zu implementieren. Die gleiche Funktionalität lässt sich jedoch auch durch ein Managed-PKI-Konzept realisieren, das den Remote-Zugang zum Virtual Private Network (VPN) eines Partners oder Kunden ermöglicht und – über die von Einmal-Passwörtern gebotene Sicherheit hinaus – zusätzlich auch noch weitere elektronische Geschäftsvorgänge, die Signaturen erfordern, unterstützt. Mit PKI können Unternehmen digitale Zertifikate generieren, um beispielsweise wichtige Dokumente elektronisch zu signieren oder auch eine bedeutende Finanztransaktion freizugeben. Mit Hilfe solcher Zertifikate können Unternehmen auf sehr sichere Weise Informationen bereitstellen oder durch berechtigte Personen nachweisbare Transaktionen durchführen lassen – Komponenten, die über die einfache Zugangssicherheit hinaus, auch anderen Geschäftsprozessen dienlich ist. Die Implementierung einer PKI-basierten Sicherheitsstrategie unterstützt Unternehmen dabei, ihre Geschäftsprozesse insgesamt sicherer zu machen – mit dem Vorteil, diese wirksamen Revisions- und Sicherheitsfunktionen auch gleichzeitig nachweisen zu können und somit Compliance-Vorgaben von staatlicher Seite – und zunehmend auch seitens der Industrie – zu erfüllen. Das richtige PKI-Konzept Wie also kann ein Unternehmen feststellen, ob ein PKI-Konzept die beste Lösung ist? Der erste zu betrachtende Aspekt ist das Risiko für das Unternehmen und der Umfang der Daten, die durch PKI geschützt werden sollen. Nicht jede Applikation erfordert PKI, und es spielt eine sehr wichtige Rolle, dass Unternehmen ihr relatives Risiko ermitteln, das durch den unberechtigten Zugang zu Daten und Betriebseinrichtungen entsteht. Ein zweiter zu berücksichtigender Aspekt sind natürlich die Kosten: Unternehmen wie Microsoft bieten zwar kostenlose Software zur Generierung und Pflege digitaler Zertifikate an, aber die Software ist hier nur für einen Teil der entstehenden Kosten verantwortlich. Um Zertifikate auf vertrauenswürdige Weise managen und pflegen zu können, müssen nämlich auch die Anwender über eine geeignete Infrastruktur und passende Ressourcen verfügen. Verfügt ein Unternehmen über die erforderliche personelle und technische Ausstattung, kann der Einsatz interner Ressourcen für PKI angemessen sein. Unternehmen, die nicht über die nötigen Mitarbeiter verfügen oder die Kosten zur Pflege der Infrastruktur nicht aufbringen können, sollten dagegen über die Partnerschaft mit einem Managed-Security-Services (MSS-) Anbieter nachdenken, der die Infrastruktur und die Ausstellung der Zertifikate zu geringeren Kosten handhaben kann. Resümee Auch für das Identitätsmanagement und die Zugangskontrolle sollten Unternehmen auf wohlüberlegte und vor allem auch langfristig angelegte Strategien, beispielsweise mit PKI, setzen. So können sie die notwendigen Maßnahmen zum Schutz ihrer kritischen Informationen und Geschäftsprozesse ergreifen, ohne die eigenen Ressourcen übermäßig zu beanspruchen und damit vom Kerngeschäft abzulenken. Dr. Artur Heil ___________________________________________________________ Dr. Artur Heil, Cybertrust
English version
Magnum public key infrastructure (PKI) The Keys to Security, Strength and Integrity In the physical world, trust is built on social, legal and business interactions that can take generations to mature. People rely on symbols to establish trust – drivers' licenses, employee badges, credit cards. Organizations, however, are required to conduct business with a much keener eye to establishing and securing user identities.
ith a growing list of regulations and mandates such as HIPAA, Gramm-Leach-Bliley, Sarbanes-Oxley, HSPD-12 and 21 CFR Part 11, businesses and governments are relying on service providers for the foundation of identity management and encryption solutions, and to provide these services in a way that ensures the confidentiality, integrity, authentication and non-repudiation of information on which their viability depends. PKI is emerging as the technology of choice Due to the growing number of mandates, one identity management and access management strategy gaining momentum is public key infrastructure (PKI). PKI provides organizations with the ability to digitally sign and encrypt critical data that can only be deciphered or viewed by individuals possessing a digital certificate or credentials. PKI is not a new technology and has been used in military, intelligence and commercial applications for several decades. It has gone through a number of »boom and bust« cycles due to its ability to meet a full range of information security needs but the perception that it is a difficult solution to implement. PKI is currently experiencing a great deal of interest as various countries, including Belgium, Singapore and Malaysia, embrace PKI as fundamental to their national identity infrastructure. PKI is also emerging as the technology of choice in government identity programs, such as the U.S. federal employee ID mandated by HSPD-12. Applications are emerging to take advantage of the growth of digital credentials. Another strong sign that PKI is here to stay is its integration into the latest version to the Windows operating system, the yet-to-be released Vista. PKI is perhaps one of the most valuable identity and access management solutions on the market today due to its ability to both digitally sign and encrypt data. Other common access management tools involve user names and passwords, one-time or multi-factor authentication tokens and biometrics, such as fingerprint or iris scans. These tools, however, are not as effective as PKI since they do not enable encryption of data. Additionally, they are not as robust an electronic signature as those created using digital certificates. With cost being a key criteria for most CFO’s and CSO’s security strategies, PKI’s multi-faceted functionality provides a cost-effective way to leverage the technology already in-house, while at the same time improving security processes to ensure that critical data is protected. Traditionally, PKI certificates were produced and maintained in-house, which required a certain level of security talent within the organization, as well as the ability to drive and support the infrastructure itself. While self-maintenance was an option with this approach, it was a large pill for an organization to swallow. During the current emergence of PKI, managed PKI is becoming a very attractive alternative to the in-house implementations seen in the past. This approach provides the strong access management users require without the burden of managing the infrastructure themselves. While larger companies are capable of running a PKI infrastructure themselves, many find it much more cost-effective to look to a managed PKI services provider to build and maintain the infrastructure. Who needs PKI anyway? PKI can be used to meet compliance mandates for a number of applications. Today, PKI in the United States is most prevalently deployed in the public sector. For example, the federal government’s HSPD-12 mandates that all federal employees and contractors be issued digital credentials via smart cards; the PKI serves as the trusted infrastructure that binds the employee’s identity to the smart card and enables the issuer, in this case the government agency, to validate that identity throughout the lifecycle of the card. Working with a services provider is often the most cost-effective and secure approach for these public entities to take. Once issued, the certificates can be used to control access to physical facilities and computer networks. Managed PKI services are also used to achieve cross certification, defined as the concept of tying together individual PKIs to create a more widespread trusted network. For example, individual PKIs within the pharmaceutical industry (via SAFE) and aerospace industry (via CertiPath) have established what are known as bridges to facilitate the cross-certification process from both a technical and policy perspective. The ultimate goal of such bridges is to facilitate the use of PKI for trusted transactions among the bridge participants. The key to a strong security strategy It’s important to clarify that when it comes to protecting data and other resources, there is no one-size fits-all solution, especially at the application layer. Not every application an organization has in-house will need assurances around identity. For example, storage applications possess a very rigorous identity proofing process, such as a hardware device, while others may simply require a username and password. The federal government, as a consequence of HSPD-12, has a fairly well-defined identity proofing process with regards to background checks. It is also bolstering the face-to-face identity proofing process by mandating that the components of the identity – digital photo, fingerprint templates and the digital certificate – be stored on a hardware token, such as a smart card. Enterprises, however, are free to determine the level of proofing for their employees’ access to company assets and may choose to utilize other information security techniques such as two-factor authentication with a one-time password token which creates a new, randomly generated password on each use. Organizations that have needs beyond authentication, such as digital signing of electronic documents or encryption of data, find PKI services to be a better fit for their overall needs. Unlocking security and compliance possibilities Managed one-time passwords are a cost-effective alternative to strong authentication to meet regulatory requirements or simply to implement security best practices. However, this same functionality can be achieved through a managed PKI approach, granting remote access to a partner’s or customer’s virtual private network (VPN). Above and beyond the security provided by one-time passwords, PKI enables electronic business processes that require signatures and provides organizations with the ability to produce digital certificates for signing an important document electronically or validating a large financial transaction. Certificates are a hassle-free way for authorized individuals to make transactions and a secure way for organizations to hold information – a key component in establishing seamless business processes. Implementing a managed PKI security strategy can also help organizations demonstrate compliance with a variety of federal and industry-led mandates, such as Sarbanes-Oxley, HIPAA, Gramm-Leach-Bliley, HSPD-12 and 21 CFR Part 11. One hallmark of these regulations is the establishment of strong controls and the ability to assert that appropriate people have access to spcific business processes. Properly implemented business systems that leverage the strong audit and security features of PKI can help demonstrate that controls are in-place and that the organization has the ability to monitor those systems. The right PKI approach for you So how does an organization determine whether a PKI approach is right for them? The first consideration is corporate risk and the level of data being protected by PKI. All applications do not require PKI and it is important that organizations assess the relative risk presented by unauthorized access to an asset. The federal government has developed an approach to evaluating authentication risks in the context of electronic applications, which is a useful starting point in conducting such analysis. While this framework was developed by the Office of Management and Budget for federal agencies, it can certainly be utilized by private sector organizations to evaluate risk levels. The second consideration may seem obvious – cost. While companies like Microsoft provide free software to create and digital certificates, software is a just a portion of the expense incurred. In order to manage and maintain certificates in a trustworthy fashion, organizations need to have the infrastructure and resources in place. If your organization has the people and technology available, then utilizing internal resources for PKI may be appropriate. However, organizations that have the right people, but cannot support the expense of maintaining the infrastructure should consider a managed security services provider that can manage the infrastructure and issuance of certificates at a lower cost. Identity management and access control strategies such as PKI can help to ensure security best practices are always in play, allowing organizations to take the necessary steps to protect critical information without depleting in-house resources in a way that distracts from the organization’s core mission. Tom Greco ________________________________________ Tom Greco is vice president of enabling infrastructures at Cybertrust, the global information security specialist. In this role, Mr. Greco is responsible for setting strategic direction for Cybertrust’s managed identity and access management solutions.
|
|
