מהי מערכת Public Key Infrastracture - PKI

מערכות PKI הינה תשתית המאפשרת עבודה מעשית עם הצפנה, חתימה ואימות ישויות בעולם המחשוב. ניתן להסתכל על תשתיות אלו כאל החוט המקשר בין העולם התיאורטי של הצפנות וצפנים ובין העולם המעשי של עולם המחשוב היום יומי בו אנו נדרשים לבצע אימות של משתמשים ושירותים, להצפין מידע שעובר באינטרנט ולאבטח מסמכים שונים באמצעות חתימה דיגיטאלית. תשתיות PKI מוגדרות בתקן המגדיר עבודה עם Certificates וישויות קצה.

מרכיבי מערכת PKI

פתרון PKI הינו פתרון משולב תוכנה וחומרה וניתן ליישום בשיטות שונות, ברוב המקרים ניתן למצוא את הרכיבים הבאים:

  • מערכת רישום – אחראית על זיהוי ורישום משתמשים למערך ה PKI
  • רשות מאשרת – Certificate Authority (אחת או יותר) מקבלת בקשות ממערך הרישום ומבצעת הנפקה של תעודות דיגיטאליות למשתמשים
  • אמצעי חילול ואחסנת מפתחות הצפנה – רכיב חומרה (אחד או יותר) המאפשר חילול מספרים אקראיים בצורה מאובטחת, שמירה ושימוש מאובטח של מפתחות אלו על ידי מערך ה PKI והמשתמשים. מערך ה PKI מקושר בדר"כ לרכיבי HSM ומשתמשי הקצה עושים שימוש בכרטיסים חכמים או טוקנים הצמודים לכל משתמש.
  • רכיב פרסום מידע – מערכת ה PKI הינה מערכת "חיה" אשר נדרשת לפרסום נתונים לכלל המערכות המסתמכות עליה לצורך אימות משתמשים. תפקישו של פרסום המידע הוא לספק מידע עדכני ואותנתי לגבי המערכת.
  • רכיב בדיקת משתמשים – שירות רשתי – Web Service המאפשר קבלת מידע בזמן אמיתי לגבי תקינות משתמש הקצה.
Hardware Security Module

HSM הינו רכיב אבטחת מידע אשר מספק יכולות קריפטורגפיות. הרכיב מכיל מעבד פנימי ומרחבי זיכרון מוגנים תוך הקפדה על בקרת גישה קפדנית למשתמשים הניגשים לשירותי ה HSM. 

דוגמא בסיסית היא חילול מפתחות באמצעות ה HSM המבטיח רנדומאליות טובה לערך המפתח. 

דוגמא נוספת היא חילול מפתחות סימטריים כגון AES, DES על גבי ה HSM כאשר ערך המפתח אינו ניתן לשליפה מתוך ה HSM, כלומר, ניתן להשתמש במפתחות לצורך הצפנה או פענוח אך לא ניתן לקבל את הערך של המפתח. 

ל HSM ישנה תמיכה רחבה בפרוטוקולים ובסוגי מפתחות שונים. כמו כן ניתן לטעון תוכנה לתוך ה HSM אשר רצה במרחב זיכרון מוגן – דבר שמגביר את רמת האבטחה. 

מכיוון שמטרתו של ה HSM היא אבטחת מידע, כל HSM היום שמקובל בשוק חייב לעמוד בתקנים בין לאומיים. עמידה בתקנים משתנה בין מוצר למוצר ולכן חשוב לבחור את ה HSM המתאים למערכת שלכם תוך עמידה בדרישות מהמערכת הנוגעות לתקנים ורגולציה

הסבר על סוגי HSM

ניתן לחלק את מגוון המוצרים לשלושה סוגים HSM (לחץ על כל אחד מהסוגים לקבלת מידע נוסף):

USB HSM

HSM בסיסי ביותר המתחבר למחשב באמצעות חיבור USB ומספק יכולות חילול ואחסון מפתח בסיסיות בדומה לכרטיס חכם. אידיאלי לארגונים קטנים ולצרכים מינימאליים וביצועים נמוכים.

PCI Card HSM

HSM עם יכולות מלאות אשר מחובר למחשב פיסי או וירטואלי יחיד ומשרת אך ורק את היישומים המורצים על השרת. לא ניתן להשתמש ב HSM על ידי יישומים שונים המורצים על שרתים אחרים. אידיאלי לארגונים בינוניים או לישומים ספציפיים.

Network HSM

HSM רשתי בעל יכולות מלאות וביצועים גבוהים, ניתן להשתמש ביכולות ה HSM על גבי רשת ה IP, כלומר ניתן לפנות ולהשתמש ביכולות ה HSM ממספר שרתים ןירוטאלים על גבי רשת התקשורת. אידיאלי לארגונים גדולים.

כרטיסים חכמים

כרטיסים חכמים הינם מרכיב נוסף ביישום מערכות PKI  מאובטחות. קיימים מספר רב של כרטיסים חכמים בשוק ולעיתים נגרם בלבול רב בקשר לנושא זה, איזה סוג כרטיס מתאים ליישומי PKI  ומהם היתרונות והחסרונות שלכל סוג כרטיס. חשוב להבין שלא כל כרטיס חכם מתאים לישומי PKI, כמו כן כרטיס חכם חייב תוכנה תואמת שתדע לעבוד עם הכרטיס לפי צרכי הארגון. פנה למומחים שלנו בנושא לקבלת מידע נוסף.