Gestione delle chiavi pubbliche e delle certificazioni del protocollo S / MIME

6

Non ho alcuna esperienza nel campo della sicurezza e voglio il tuo aiuto. Voglio assicurarmi che il seguente suggerimento sia applicabile e sicuro, se non lo è, per favore dammi il tuo suggerimento per risolvere il problema.

Una società desidera creare un sito Web per gestire e monitorare i propri dipendenti, ora ogni dipendente ha un nickname univoco, tuttavia, il funzionario vuole utilizzare il protocollo S / MIME per consentire ai dipendenti di trasferire messaggi sensibili tra loro . Questi dipendenti hanno un grosso problema nella gestione delle chiavi pubbliche e delle certificazioni, posso usare Keybase.io (il suo open source) e migliorarlo per caricare il certificazioni dei dipendenti e chiavi pubbliche?

Pensi che sarà sicuro, dove quando John vuole mandare un messaggio a Sara, metterà il suo nickname e il sistema chiederà la sua chiave pubblica dal server e convaliderà il suo certificato, è così sicuro, se non è come posso migliorarlo?

    
posta user3011084 01.11.2015 - 18:28
fonte

2 risposte

1

keybase.io consente semplicemente agli utenti dei siti di social media di accedere a ogni altra chiave pubblica (se ne esiste una per il sito di social media scelto) .

Non è diverso dalla funzionalità 'keyserver' di GPG per fornire agli utenti un modo per arrivare a la mia chiave pubblica.

Le domande che stai proponendo si riducono a PKI (infrastruttura a chiave pubblica) .

Ci sono molte soluzioni disponibili come opzioni chiave di svolta; tuttavia il tono e la direzione delle domande indicano una possibile necessità di una soluzione personalizzata (anche se non necessariamente la raccomando, non perché non si possa, ma perché è e può essere un incubo legale) dovresti fare la dovuta diligenza .

Per prima cosa rispondi a implementazione per la funzionalità di alto livello. Prossima ricerca dei dettagli nitidi forniti da esperti del settore.

  1. NIS PKI - Una panoramica di alto livello
  2. Specifiche tecniche NIST PKI - Dettagli sulla gestione di una PKI; progettazione, implementazione, configurazione, recupero ecc.
  3. NIST 800-32 - I dettagli di un'implementazione PKI; cifrari, dimensioni delle chiavi, algoritmi, sicurezza fisica, virtuale, impegno, recupero dati, piani di emergenza per i principali compromessi, ecc.

Una cosa che riguarda l'utilizzo di una soluzione esistente è che la maggior parte del sollevamento pesante è già in atto. Tuttavia, la maggior parte delle strutture PKI di vecchia data che utilizzano un metodo centralizzato di gestione PKI ha lasciato il posto ai metodi distribuiti utilizzati da GPG che utilizzano una "cerchia di fiducia" rispetto alle tradizionali soluzioni di gestione dei tipi di impegno.

    
risposta data 01.11.2015 - 19:56
fonte
1

Mi concentrerò su ciò che penso sia il nucleo della tua domanda:

A company wants to build a website to manage and monitor their employees

Ci sono due parti qui: gestione (consentendo agli utenti di trovare le rispettive chiavi pubbliche e presumibilmente si desidera anche la capacità di controllare chi fa parte di questa rete) e monitoraggio (consentendo alla società di decrittografare qualsiasi dato protetto, ad esempio dopo che qualcuno si è interrotto).

Come @ jas- ha detto, per fare questo è necessario un qualche tipo di Public Key Infrastructure (PKI) . Sono diverso da @ jas- in quanto non penso che un "cerchio di fiducia" distribuito come PGP sia la risposta perché un'azienda è, per sua natura, un'autorità centralizzata; se Janice dalla contabilità decide che il suo cane deve essere aggiunto alla tua rete di posta elettronica aziendale, non c'è niente che puoi fare per fermarlo nel modello PGP.

Il modo normale in cui viene gestito è l'acquisto di software PKI commerciale che configura una CA radice privata per la tua azienda e si collega al tuo sistema di posta elettronica aziendale (come Microsoft Exchange) per fornire la chiave pubblica di backup e il backup della chiave privata di decrittazione (noto anche come impegno) per tutti gli utenti. Le aziende PKI che offrono questo servizio forniranno anche un plug-in di Outlook che aggiunge i pulsanti Sign and Encrypt alla finestra Compose degli utenti.

    
risposta data 01.12.2015 - 21:10
fonte

Leggi altre domande sui tag