วิธีการ รักษาความปลอดภัยทางออนไลน์ ที่เกี่ยวข้องกับข้อมูลบุคคล

รักษาความปลอดภัยทางออนไลน์ คำจำกัดความของ PKI โครงสร้างพื้นฐานคีย์สาธารณะ (PKI) เป็นคำที่ใช้ในการสร้างและจัดการการเข้ารหัสคีย์สาธารณะซึ่งเป็นรูปแบบหนึ่งของการเข้ารหัสอินเทอร์เน็ตที่พบบ่อยที่สุด มันถูกรวมไว้ในเว็บเบราว์เซอร์ทุกตัวที่ใช้งานอยู่ในปัจจุบันเพื่อรักษาความปลอดภัยการรับส่งข้อมูลผ่านอินเทอร์เน็ตสาธารณะ แต่องค์กรต่างๆยังสามารถปรับใช้เพื่อรักษาความปลอดภัยการสื่อสารภายในและการเข้าถึงอุปกรณ์ที่เชื่อมต่อ

แนวคิดที่สำคัญที่สุดที่เกี่ยวข้องกับ PKI คือตามชื่อของมันหมายถึงคีย์การเข้ารหัสสาธารณะที่เป็นหัวใจหลัก คีย์เหล่านี้ไม่เพียง แต่เป็นส่วนหนึ่งของกระบวนการเข้ารหัสเท่านั้น แต่ยังช่วยตรวจสอบตัวตนของฝ่ายสื่อสารหรืออุปกรณ์

[เรียนรู้ 4 ปัญหาร้ายแรงกับ PKI | ลงทะเบียนเพื่อรับจดหมายข่าว CSO ]
ทำไม PKI จึงสำคัญ? เนื่องจากการรวมกันของการเข้ารหัสและการตรวจสอบสิทธิ์นี้ทำให้การสื่อสารออนไลน์ที่น่าเชื่อถือเป็นไปได้

เห็นได้ชัดว่าคณิตศาสตร์ที่อยู่เบื้องหลังการเข้ารหัสที่ทันสมัยมาก มีความซับซ้อนมากขึ้นกว่านี้ วิธีหนึ่งที่แตกต่างออกไปคือการแก้ปัญหาที่ชัดเจนกับการเข้ารหัสซีซาร์: คุณต้องแจ้งให้ผู้รับของคุณทราบคีย์ที่ใช้ในการเข้ารหัสข้อความที่เข้ารหัส PKI ได้รับชื่อเนื่องจากผู้เข้าร่วมแต่ละคนในช่องทางการสื่อสารที่ปลอดภัยมีสองคีย์ มีคีย์สาธารณะซึ่งคุณสามารถบอกกับทุกคนที่ถามและใช้ในการเข้ารหัสข้อความที่ส่งถึงคุณและคีย์ส่วนตัวซึ่งคุณเก็บเป็นความลับและใช้ในการถอดรหัสข้อความเมื่อคุณได้รับ คีย์ทั้งสองมีความสัมพันธ์กันโดยสูตรทางคณิตศาสตร์ที่ซับซ้อนซึ่งยากที่จะได้มาจากแรงเดรัจฉาน หากคุณต้องการเข้าสู่วัชพืชด้วยการเข้ารหัสรูปแบบนี้เรียกว่าการเข้ารหัสสมส่วน หลักสูตรของภาควิชามีการดำน้ำลึกที่ดี

ซึ่งครอบคลุมถึงวิธีการเข้ารหัสข้อมูลภายในโครงสร้างพื้นฐานคีย์สาธารณะ แต่จำไว้ว่า PKI ใช้กันอย่างแพร่หลายเพราะนอกเหนือจากการเข้ารหัสข้อความแล้วยังช่วยให้คุณทราบด้วยว่าบุคคลที่คุณแลกเปลี่ยนข้อความที่เข้ารหัสด้วยนั้นเป็นใครเขาพูดว่าเป็นใคร นั่นคือสิ่งที่ใบรับรอง มาใน

ใบรับรอง PKI คืออะไร?
ใบรับรอง PKI คือเอกสารที่ทำหน้าที่เป็นหนังสือเดินทางดิจิทัลที่กำหนดให้กับหน่วยงานใด ๆ ที่ต้องการเข้าร่วมในการสนทนาที่ปลอดภัยโดย PKI สามารถรวมข้อมูลได้เล็กน้อย ข้อมูลที่สำคัญที่สุดชิ้นหนึ่งที่ใบรับรองรวมอยู่คือคีย์สาธารณะของเอนทิตี: ใบรับรองคือกลไกที่ใช้คีย์นั้นร่วมกัน แต่ยังมีส่วนการรับรองความถูกต้อง ใบรับรองประกอบด้วยการรับรองจากแหล่งที่เชื่อถือได้ว่าบุคคลนั้นเป็นบุคคลที่อ้างว่าเป็น ว่าแหล่งที่เชื่อถือได้เป็นที่รู้จักกันโดยทั่วไปเป็นผู้ออกใบรับรอง (CA)

ด้วยแนวคิดเหล่านี้ภายใต้เข็มขัดของเราสิ่งเหล่านี้คือองค์ประกอบที่เข้าสู่ PKI

ผู้ออกใบรับรองซึ่งออกใบรับรองดิจิทัลจะเซ็นชื่อด้วยคีย์สาธารณะของตนเองและจัดเก็บไว้เพื่อใช้อ้างอิง
อำนาจการลงทะเบียน, ซึ่งจะตรวจสอบตัวตนของผู้ที่ใบรับรองดิจิทัลร้องขอ CA สามารถทำหน้าที่เป็นหน่วยงานการลงทะเบียนของตนเองหรือสามารถใช้บุคคลที่สามเพื่อดำเนินการดังกล่าว
ฐานข้อมูลใบรับรอง ว่าร้านค้าทั้งใบรับรองและข้อมูลเกี่ยวกับพวกเขามากที่สุดที่สำคัญในช่วงเวลาที่ใบรับรองถูกต้อง
นโยบายใบรับรอง การสรุปขั้นตอน PKI ซึ่งช่วยให้บุคคลภายนอกที่จะตัดสินว่าน่าเชื่อถือ PKI คือ
วิธีรับใบรับรอง PKI
จากคำอธิบายของส่วนประกอบเหล่านี้คุณจะเห็นได้ว่าความไว้วางใจเป็นศูนย์กลางของโครงสร้างพื้นฐาน PKI ใด ๆ สิ่งหนึ่งที่ฉันกำลังทำเมื่อส่งใบรับรองดิจิทัลให้คุณคือการพยายามให้คุณวางใจว่าฉันเป็นอย่างที่ฉันพูดและใบรับรองจะช่วยได้โดยการมีใบสำคัญจากบุคคลที่สามที่เชื่อถือได้ให้ฉัน

เพื่อให้เข้าใจถึงวิธีการทำงานในทางปฏิบัติลองพิจารณาระบบโครงสร้างพื้นฐานคีย์สาธารณะที่แพร่หลายที่สุดสักครู่นั่นคือโปรโตคอล TLS / SSLซึ่งรักษาความปลอดภัยในการสื่อสาร HTTP ที่เข้ารหัสทั้งหมด

ในการเสนอการสื่อสารที่เข้ารหัส TLS เจ้าของเว็บไซต์จะต้องได้รับใบรับรองจากผู้ออกใบรับรองตามที่เราได้กล่าวไปแล้ว มีผู้ให้บริการหลายรายที่ตั้งตัวเองเป็น CA และก่อนที่จะออกให้คุณพวกเขาต้องการให้คุณพิสูจน์ความเป็นเจ้าของเว็บไซต์ของคุณด้วยวิธีใดวิธีหนึ่ง ตัวอย่างเช่นหากคุณกำลังพยายามซื้อใบรับรอง SSL สำหรับเว็บไซต์ที่ example.com คุณอาจต้องส่งอีเมล CA จาก hostmaster@example.com ซึ่งเป็นที่อยู่ที่จะ จำกัด เฉพาะบุคคลที่มีอำนาจในการจัดการ เหนือชื่อโดเมนนั้น เมื่อคุณได้รับใบรับรองคุณสามารถอัปโหลดไปยังเว็บเซิร์ฟเวอร์ของคุณ

หนึ่งในระบบ PKI ที่เก่าแก่และดีที่สุดสำหรับการรักษาความปลอดภัยอีเมลคือ S / MIME; นอกจากนี้ยังมี PGP (Pretty Good Privacy) ซึ่งใช้เว็บของรูปแบบความน่าเชื่อถือที่เรากล่าวถึงข้างต้น การสนับสนุนสำหรับเหล่านี้ชนิดของการป้องกันอีเมลถูกสร้างขึ้นในลูกค้าเช่นMicrosoft Outlook การเพิ่มขึ้นของอีเมลบนเว็บในช่วงไม่กี่ปีที่ผ่านมาได้เห็นการก้าวถอยหลังในเรื่องนี้ ตัวอย่างเช่น Gmail รองรับเฉพาะS / MIME ในบัญชี G Suite แบบชำระเงินไม่ใช่บัญชีฟรี

อะไรคือความเสี่ยงของการดำเนินการ PKI ที่ไม่ดี?
การมี PKI อยู่ไม่ได้รับประกันความปลอดภัย บางครั้ง บริษัท ไม่สามารถปรับใช้หรือจัดการได้อย่างเหมาะสม การศึกษาล่าสุดโดย Ponemon Institute ได้สำรวจผู้ปฏิบัติงานด้านไอทีและความปลอดภัยเกือบ 17,000 คนเกี่ยวกับแนวทางปฏิบัติในการจัดการคีย์และใบรับรอง รายงานระบุความเสี่ยงที่สำคัญที่สุดที่เกี่ยวข้องกับการรักษาตัวตนดิจิทัลโดยใช้ PKI:

การหยุดทำงานและการหยุดทำงานเนื่องจากใบรับรองดิจิทัลที่มีการจัดการที่ไม่ถูกต้องกำลังเพิ่มขึ้นโดย 73% ของผู้ตอบแบบสอบถามรายงานเหตุการณ์ที่เกี่ยวข้องกับใบรับรอง ห้าสิบห้าเปอร์เซ็นต์กล่าวว่าองค์กรของพวกเขามีประสบการณ์อย่างน้อยสี่เหตุการณ์ในช่วงสองปีที่ผ่านมา

ข้อมูลประจำตัวดิจิทัลที่ไม่มีหลักประกันทำลายความไว้วางใจ องค์กรต่างๆใช้คีย์และใบรับรองโดยเฉลี่ย 88,750 รายการ แต่มีเพียง 74% ของผู้ตอบแบบสอบถามที่ระบุว่าทราบจำนวนที่แน่นอนหรือเมื่อพวกเขาหมดอายุและ 76% กล่าวว่าความล้มเหลวในการรักษาความปลอดภัยคีย์และใบรับรองจะทำลายความไว้วางใจที่องค์กรของพวกเขาจำเป็นต้องดำเนินการ ห้าสิบเก้าเปอร์เซ็นต์ของผู้ตอบแบบสอบถามระบุว่าอาชญากรไซเบอร์ใช้คีย์และใบรับรองในทางที่ผิดเพิ่มความจำเป็นในการรักษาความปลอดภัย

การตรวจสอบที่ล้มเหลวและการประนีประนอมของ CA เป็นภัยคุกคามที่ใหญ่ที่สุด ผู้โจมตีสามารถใช้ CA ที่ถูกบุกรุกหรือหลอกลวงเพื่อส่งมัลแวร์เพื่อทำการโจมตีแบบคนตรงกลางหรือฟิชชิ่ง การตรวจสอบความปลอดภัยหรือการปฏิบัติตามข้อกำหนดอาจไม่สามารถตรวจพบช่องโหว่เนื่องจากนโยบายการจัดการคีย์ที่ไม่ได้บังคับใช้หรือแนวทางปฏิบัติในการจัดการคีย์ที่ไม่เพียงพอ

การเข้ารหัสที่มากขึ้นจะเพิ่มความซับซ้อนในการดำเนินงานและต้นทุน ผู้ตอบแบบสอบถามสองในสามกำลังเพิ่มชั้นของการเข้ารหัสเพื่อให้เป็นไปตามข้อกำหนดด้านกฎระเบียบและนโยบายด้านไอที ตัวอย่างเช่น 60% กล่าวว่าพวกเขากำลังเพิ่มชั้นการเข้ารหัสเพื่อรักษาความปลอดภัยอุปกรณ์ IoT ซึ่งสามารถลดประสิทธิภาพโดยรวมของกระบวนการทางธุรกิจ 64% ของผู้ตอบแบบสอบถามกล่าวและ 58% กล่าวว่าการจัดการคีย์และใบรับรองดิจิทัลเพิ่มขึ้นทำให้ต้นทุนเพิ่มขึ้น

องค์กรส่วนใหญ่ขาดทรัพยากรเพื่อสนับสนุน PKI หรือไม่กำหนดความเป็นเจ้าของชัดเจนของมัน มีเพียง 38% ของผู้ตอบแบบสอบถามที่กล่าวว่าพวกเขามีเจ้าหน้าที่ไอทีเพื่อรองรับ PKI อย่างเหมาะสม ความรับผิดชอบต่อ PKI แบบประหยัดงบประมาณมักจะกระจายไปทั่วทั้งองค์กรโดยมีการดำเนินงานด้านไอที (21%) และสายธุรกิจ (19%) เป็นเจ้าของส่วนใหญ่ สิบสามเปอร์เซ็นต์กล่าวว่าความรับผิดชอบถูกแบ่งปันโดยไม่มีเจ้าของคนเดียว ผู้ตอบแบบสอบถามใช้จ่ายประมาณ 16% ของงบประมาณด้านความปลอดภัยใน PKI หรือ 3 ล้านเหรียญโดยเฉลี่ย รักษาความปลอดภัยทางออนไลน์

การสอน PKI
นี่เป็นการแนะนำระดับสูงเกี่ยวกับแนวคิดเกี่ยวกับ PKI SmallStep บริษัท โครงสร้างพื้นฐานข้อมูลประจำตัวแบบโอเพนซอร์สมีบทความที่มีรายละเอียดและยาวอย่างน่าอัศจรรย์ชื่อ ” ทุกสิ่งที่คุณควรรู้เกี่ยวกับใบรับรองและ PKI แต่กลัวเกินกว่าที่จะถาม ” ซึ่งอาจทำให้คุณได้รับข้อมูลเชิงลึกมากขึ้น เหนือสิ่งอื่นใด SmallStep จะนำคุณไปสู่ขั้นตอนการออกใบรับรองจริงดังนั้นคุณจึงสามารถดูได้ว่ามีอะไรบ้าง

หากคุณกำลังมองหาวิธีตั้งค่าโครงสร้างพื้นฐานคีย์สาธารณะและเล่นกับมันเพื่อทำความเข้าใจแนวคิดพื้นฐานบางประการบทช่วยสอนเกี่ยวกับ Gentoo Wiki นี้จะอธิบายถึงวิธีการทำบน Linux หากคุณต้องการดูว่าคุณจะสร้างผู้ออกใบรับรองสำหรับ PKI ในบ้านได้อย่างไร HashiCorp มีบทช่วยสอนเกี่ยวกับวิธีการใช้เครื่องมือห้องนิรภัยซึ่งควรแสดงให้เห็นถึงแนวคิด

THAI-PDPA ให้คำปรึกษาและบริการปกป้องข้อมูลส่วนบุคคลตาม พ.ร.บ.ฯ แบบครบวงจร

ผู้ที่สนใจใช้บริการ Data Protection Services ของ THAI-PDPA สามารถติดต่อฝ่ายขายที่ดูแลคุณหรือฝ่ายการตลาดได้ที่เบอร์ 0-2860-6659 หรืออีเมล dcs@ko.in