Už máte hybridní certifikační autoritu? A můžeme ji vidět?
2 min
Tahle otázka by klidně mohla zaznít ve scénáři pokračování filmu Kulový blesk. Mnohem pravděpodobněji ji může položit ale bezpečnostní auditor – a rozhodně ne až za několik let.
V následujícím článku zjistíte, jak spojit klasické klíče s podpisy odolnými vůči kvantovým útokům. Protože post-kvantové hrozby se neptají, jestli máte čas.
V dnešní době se totiž lokální certifikační autority, ať už ve formě kořenového certifikátu nebo rozsáhlé PKI infrastruktury, staly kritickou součástí téměř každé organizace. A s rostoucím rizikem kvantových útoků se do popředí dostává otázka jejich post-kvantové bezpečnosti.
Co je to hybridní certifikační autorita?
Hybridní certifikační autorita (CA), je v zásadě stále stejná kombinace X.509 certifikátu a šifrovacího klíče, jakou používáte nyní, doplněná o alternativní algoritmus šifrovacího klíče odolného proti kvantovým hrozbám. Mezi tyto algoritmy dnes patří například Dilithium, nebo zatím neschválený Falcon.
Výhodou hybridního přístupu je, že certifikát zůstává zpětně kompatibilní – zařízení, která neumí pracovat s post-kvantovou kryptografií, jednoduše použijí klasický klíč. Zároveň ale hybridní certifikát poskytuje ochranu i proti budoucím kvantovým útokům.
Nasazení? Překvapivě jednoduché
Možná vás překvapí, že nasazení hybridní CA v prostředí self-signed lokálních autorit není nijak složité. Asi nejznámější knihovna – OpenSSL,podporuje hybridní šifrování od verze 3, společně s knihovnou Open Quantum Safe. Kompletní PKI infrastrukturu pak můžete postavit například na projektu EJBCA od společnosti Keyfactor. Vytvořené hybridní certifikační autority a sub-autority vystaví hybridní certifikát, který je bez obtíží ověřitelný i starší verzí OpenSSL, či implementovatelný do Windows certifikační autority.
Kdy je ten správný čas?
Blíží se expirace vašich kořenových certifikátů? Nebo plánujete jejich posílení? Při běžné platnosti certifikátů přesahující dobu pěti let a více – a ruku na srdce, jednou vystavený a funkční PKI bývá problém regenerovat, pokud k tomu není silná motivace – možná právě teď nastal ideální okamžik přejít na hybridní řešení.
Už máte svou hybridní certifikační autoritu :)?
Autorem textu je Martin Koucký, vedoucí oddělení síťové a aplikační bezpečnosti ITS akciová společnost
Co dalšího si přečíst
Podívejte se na další aktuality ze světa IT a dění ve společnosti ITS
