Закрытый ключ – это текстовый файл, созданный во время запроса на подписание сертификата (CSR) с использованием уникального случайного числа. Храните его в надежном месте и никогда никому не передавайте. Даже если это просто текстовый файл, он необходим для обеспечения целостности данных. Вы можете испортить свою репутацию до неузнаваемости, если Ваш закрытый ключ будет скомпрометирован. Не говоря уже о финансовых потерях, которые Вы можете понести. В этой статье мы расскажем Вам о лучших практиках хранения закрытых ключей.
Оглавление
- Где хранить закрытый ключ?
- Как защитить закрытый ключ?
- Что происходит при компрометации закрытого ключа?
- Что делать, если Вы потеряли закрытый ключ?
Основой Web-шифрования является инфраструктура открытых ключей (PKI) – система, обеспечивающая безопасную связь по сети с помощью комбинации открытых и закрытых криптографических ключей. Эти ключи генерируются вместе как пара и работают в тандеме во время процесса рукопожатия TLS. Открытый ключ используется для шифрования, а зашифрованный закрытый ключ – для расшифровки данных.
В то время как открытые ключи доступны всем желающим как часть Вашего SSL-сертификата, закрытый ключ хранится на сервере и держится в секрете. Когда Вы заполняете форму личной информацией и отправляете ее на сервер, открытый ключ шифрует информацию и защищает ее от кибер-злоумышленников. Как только она попадает на сервер, закрытый ключ расшифровывает эту информацию. Пара ключей гарантирует, что никто другой не сможет расшифровать Ваши конфиденциальные данные. В следующих параграфах мы покажем Вам, как безопасно хранить закрытые ключи.
Где хранить закрытый ключ?
Как правило, лучшим способом хранения закрытых ключей является их генерация вместе с CSR на сервере, где Вы собираетесь установить SSL-сертификат. Таким образом, Вы исключаете риск уязвимости при переносе с одной машины на другую. Однако иногда Вам может понадобиться создать закрытый ключ с помощью внешнего инструмента для генерации CSR. По этой причине существуют специальные файлы, называемые хранилищами ключей, которые могут безопасно хранить Вашу пару открытых и закрытых ключей.
Локально с помощью хранилищ ключей (файлы PFX и KS)
PKCS#12 (.pfx или .p12) и .jks* (созданные с помощью Java keytool) – это специальные файлы, содержащие Вашу пару открытый/закрытый ключ. Вы можете хранить эти файлы где угодно, включая удаленные серверы. Их главная защита – это пароль, который защищает содержимое. Каждый раз, когда Вы хотите использовать свой закрытый ключ, Вы должны ввести сложный пароль. Если Вы используете этот метод, обязательно придумайте сложный, случайный пароль.
Еще одно преимущество таких файлов заключается в том, что Вы можете легко распространять копии, если сертификат нужен нескольким людям. Просто убедитесь, что Вы полностью доверяете им и их намерениям при передаче пароля закрытого ключа.
Аппаратный модуль безопасности
Если Вы ищете пуленепробиваемый способ хранения Ваших закрытых ключей, то Вам следует остановиться на физических устройствах, таких как USB-токены, смарт-карты или аппаратные модули безопасности (HSM). При использовании аппаратных устройств хранения данных злоумышленники должны сначала получить к ним доступ, что значительно более маловероятно в реальном, физическом мире. Хитрость здесь заключается в том, чтобы не оставлять подключенными портативные устройства, такие как USB-токены и смарт-карты. Что касается HSM, то такие криптографические аппаратные устройства хранения данных, как в теории, так и на практике, должны обеспечивать наилучшую защиту, но они дороги и непрактичны для большинства пользователей.
Как защитить закрытый ключ?
Безопасное хранение закрытых ключей очень важно для защиты конфиденциальной информации и обеспечения конфиденциальности, целостности и подлинности данных. Лучшие практики хранения закрытых ключей не ограничиваются физическим или виртуальным расположением. Дополнительные меры безопасности и инструменты управления ключами могут добавить еще один уровень к защите закрытого ключа. Выполните следующие важные шаги, и Вам никогда не придется беспокоиться о безопасности Ваших личных ключей.
1. Используйте доверенную систему управления ключами (KMS)
KMS – это централизованная система, которая обеспечивает безопасное хранение, управление и защиту криптографических ключей. Он позволяет создавать, поворачивать и отзывать ключи, а также предлагает средства контроля доступа, чтобы гарантировать, что только авторизованные пользователи могут получить доступ к ключам.
2. Зашифруйте закрытый ключ
Вы можете зашифровать закрытые ключи с помощью надежного алгоритма шифрования, такого как AES (Advanced Encryption Standard), и хранить зашифрованный ключ в безопасном месте. Правительство США использует AES для защиты секретной информации.
Добавьте надежную ключевую фразу для шифрования ключа, и храните ключевую фразу отдельно от зашифрованного ключа. Таким образом, даже если хакеры получат доступ к Вашим закрытым ключам, им придется угадать пароль и расшифровать закрытые ключи, что даст владельцу достаточно времени для выявления и устранения взлома.
3. Резервное копирование Ваших личных ключей
Храните резервные копии закрытого ключа на случай потери или компрометации оригинального ключа. Однако убедитесь, что Вы надежно храните резервные копии закрытых ключей, например, в безопасном месте за пределами офиса. Относитесь к своим резервным копиям так, как будто это оригинальный ключ.
4. Ограничьте доступ
Предоставляйте доступ к закрытому ключу только авторизованным пользователям, которым он необходим для выполнения их задач и обязанностей. Используйте механизмы контроля доступа и протоколирования для отслеживания доступа к ключу. Убедитесь, что в Вашей компании существует четкая политика управления ключами и что сотрудники осведомлены об угрозах кибербезопасности.
5. Верификационный мониторинг
Контроль и проверка процесса управления доступом к Вашим закрытым ключам очень важны для обеспечения безопасности Ваших ключей. Регулярно проверяйте, кто имеет доступ к закрытым ключам, чтобы уловить любые неожиданные изменения или попытки несанкционированного доступа. Используйте программное обеспечение для автоматизации этого процесса, когда это возможно, или наймите независимую третью сторону для проведения аудита. Эффективный контроль проверки обеспечивает безопасность Ваших закрытых ключей и предотвращает любой несанкционированный доступ.
Что происходит при компрометации закрытого ключа?
Иногда, несмотря на все Ваши усилия, Ваши закрытые ключи могут быть скомпрометированы. Если Вы подозреваете или обнаруживаете нарушение безопасности, Вам следует подать запрос на отзыв сертификата в Центр сертификации. В зависимости от Вашей конкретной ситуации, у ЦС может быть до 5 дней, чтобы отозвать сертификат. Если он обнаружит явные доказательства того, что запрос сертификата не был авторизован, сертификат должен быть отозван в течение 24 часов.
Что делать, если Вы потеряли закрытый ключ?
Вам не нужно подавать запрос на отзыв, если Вы случайно удалили файл и у Вас нет резервной копии. В этом случае все, что Вам нужно сделать, это связаться с Вашим центром сертификации и попросить перевыпустить Ваш сертификат. Однако если Ваши закрытые ключи могут попасть в чужие руки в результате потери или кражи жесткого диска, безопаснее попросить об отзыве сертификата.
Заключение
Закрытый ключ – это важнейший компонент Вашего SSL-сертификата и защиты данных. Хотя никто не застрахован от утечки данных, принятие необходимых профилактических мер снижает риск, связанный с компрометацией закрытого ключа. Следуйте лучшим практикам хранения закрытых ключей, чтобы избежать серьезных инцидентов с безопасностью, которые могут оказать длительное влияние на Вашу деятельность.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10
