I dagens affärsvärld är cybersäkerhet avgörande för att företag ska kunna blomstra och anpassa sig, särskilt i fjärranslutningslösningar som Ewons. Den här artikeln utforskar avancerade cybersäkerhetskoncept som hemligheter, valv och nyckelceremonier. Följ med oss när vi bryter ner dessa väsentligheter för en stark cybersäkerhetsställning.
Cybersäkerhetsutmaningar kring "hemligheter"
Maskinvarubaserad säkerhet höjer ribban för konfidentialitet, autenticitet och integritet till en ny nivå genom att oföränderligt lagra nycklar som används i maskinvaruroten för förtroende, säker start och kodsignering.
Tre nya utmaningar måste hanteras för starka cybersäkerhetsåtgärder:
- Säkert skapande av hemligheter,
- Säker lagring, åtkomst och användning av hemligheter,
- Säker etablering på enheterna.
Faktum är att om dessa hemligheter läcker ut faller hela lösningen.
Skapande av hemligheter och elektroniskt valv
Först och främst måste de nödvändiga nycklarna som används av enheten för att fungera skapas under utvecklingsfasen. Bästa typ av kryptografi och nyckelstorlek väljs efter användningen av varje nyckel. I en säkerhetsmiljö med noll förtroende kan skapandet av dessa hemligheter inte anförtros en människa utan skapas och lagras centralt i ett elektroniskt valv enligt den valda specifikationen.
Om det här valvet och de hemligheter som det innehåller är så känsliga, hur kan vi då vara säkra på att dess konfiguration och åtkomst inte kan ändras och att hemligheterna har skapats i enlighet med de valda specifikationerna? Hur kan vi vara säkra på att hemligheterna inte har gjorts synliga en enda sekund innan de låses in i kassaskåpet? Detta är syftet med en nyckelceremoni.
Vad är en "nyckelceremoni" i kryptografi?
Inom kryptografi är nyckelceremonin en session som övervakar modaliteterna för generering och bevarande av sekretessen för kryptografiska objekt.
I en nyckelceremoni har ett kvorum av utvalda aktörer, låt oss kalla dem "nyckelmästare", gemensamt möjlighet att öppna kassaskåpet, ändra dess konfiguration eller dess innehåll. Ingen enskild aktör kan utföra dessa åtgärder utan hjälp av det lägsta tröskelvärdet för nyckelhanterare. Ja, du skulle inte ge "nyckeln till riket" till en enda person.
En nyckelceremoni följer ett skottsäkert scenario, har vittnen och dokumenteras. Hemligheter skapas i valvet och avslöjas aldrig offentligt, inte ens för nyckelmästarna. Minsta incident under en nyckelceremoni (något som inte planerats av scenariot) skulle leda till tvivel om hemligheternas konfidentialitet eller integritet. Det ogiltigförklarar därför hela ceremonin, som måste återupptas.
Ewon Cosy+ hemligheter hanteras uteslutande genom nyckelceremonier
Valvet styr åtkomsten till hemligheter och endast identifierade processer eller program kan begära token, lösenord, certifikat och krypteringsnycklar. Den kan också utföra kryptografiska åtgärder.
Som ett exempel på bevarade hemligheter i valvet nämnde vi i ett tidigare inlägg att på Cosy+ signerades varje firmwareuppdatering innan den släpptes. Det är av yttersta vikt att säkerställa att firmwareuppdateringar signeras hos Ewon innan de släpps offentligt och autentiseras av enheten innan de installeras.
Vi vet att en signeringsprocess innebär användning av en privat nyckel. Denna privata nyckel är vanligtvis en av de hemligheter som förvaras i våra valv och som ingen känner till, men som kan nås genom signaturprocessen för den fasta programvaran. Själva enheten innehåller den offentliga nyckeln som används för att bekräfta signaturen.
Implementering av hemligheter under tillverkningen
Hemligheter som genereras under utvecklingsfasen måste implementeras i enheterna under tillverkningen, samtidigt som förtroendekedjan inte bryts.
Detta görs vanligtvis av dedikerade partner med stark säkerhetsmognad och kvalitetsförsäkring vars uppgift är att i förväg etablera hemligheter på enhetens skyddade platser. Återigen, överföring av hemligheter från ett säkert kassaskåp till ett annat utan att avslöja det vid något tillfälle sker genom en nyckelceremoni.
Alla kryptografiska säkerhetsåtgärder som beskrivs ovan är noggrant implementerade för Ewon Cosy+, fjärråtkomstgatewayen från HMS Networks. Det är helt klart en av de mest robusta cybersäkerhetslösningarna på marknaden.