Varje år säger vi att ”detta år är året då PKI kommer slå igenom”. Kanske är det sant nu när vi går in i 2013. Den senaste tiden (sett ur ett perspektiv på två år) så har det varit mycket skriverier om certifikat och huruvida man kan lita på dessa eller inte i synnerhet certifikat som används till SSL/TLS för att autentisera serversidan. Attackerna mot Comodo, StartCom och DigiNotar under 2011 har givit rejäl fyr till brasan och många dömde ut certifikaten en gång för alla.
Samtidigt har vi i Sverige börjat röra oss mer och mer åt att använda oss av certifikat, främst på smarta kort, för att autentisera oss. Enligt beräkningar finns det så många som 5,6 miljoner utgivna e-legitimationer vilket motsvarar att 70% av alla myndiga i Sverige har en e-legitimation från BankID, Telia eller Nordea. Visserligen är många av dessa certifikat automatutgivna i samband med att de levereras på de konto- och kreditkort som bankerna ger ut och således aldrig kommer att användas, men det är en bred täckningsgrad, rent statistiskt. Utöver dessa finns alla tjänstelegitimationer som är utfärdade inom statliga och privata organisationer. Ett exempel är SITHS som ges ut inom vårdorganisationerna.
I takt med att stark autentisering efterfrågas allt oftare, och PKI är ett allt naturligare val, börjar allt fler aktörer ställa krav att kunden/användaren använder en tillräckligt säker PKI. Vill det sig riktigt illa har den egna organisationen en lösning som en gång i tiden hastigt sattes upp och som används vid access till den egna infrastrukturen, ex 802.1x autentisering, domänpåloggning och vid access till de egna verksamhetssystemen och som inte alls uppfyller kraven. Denna lösning kommer inte på långa vägar räcka till om organisationen vill delta i någon av de nationella federationerna som nu byggs; här tänker jag på Skolfederationen och Sambi.
Kraven från omvärlden har också höjts. Efter kraschen med DigiNotar har de stora webbläsartillverkarna tillsammans med de välkända certifikatsutgivarna (VeriSign, Thawte, GlobalSign m.fl.) satt sig och gått igenom sina regler för vad som kan anses vara en bra standard på en PKI. Dessa regler börjar nu få effekt, t.ex. är det svårt att köpa SSL/TLS-certifikat som har kortare nyckel än 2048 bitar, samt att man inte längre tillåter MD5-hashar i certifikaten. Allt för att parera de hot och risker man ser mot själva teknologin. Kraven på hur styrning och administration hanteras av en organisation som driver ett PKI har också skärpts.
Här har ni som organisation mycket information att hämta. Certifikat som används för t.ex. kryptering av data måste ha minst samma skyddsnivå som den data de skyddar. Det innebär att det både kring organisationen och kring systemen måste finnas skyddskontroller. Det handlar om hur systemen administreras, hur certifikaten utfärdas och hur användarna identifieras. Precis på samma sätt som Polisen har rutiner att identifiera de som ansöker om pass eller nationellt id-kort. Genom dessa skyddsmekanismer så minskar riskerna att råka ut för händelser likt de DigiNotar blev utsatta för.
Många tycker att PKI är krångligt, vilket till viss del kan vara sant. Det är krångligt i den bemärkelsen att det är mycket att ta in och att det inte enbart gäller teknik. Ett PKI består till lika stora delar rutiner, organisation och regelverk som hårdvara, systemövervakning och åtkomstskydd. I och med att nya tillitsramverk (e-legitimationsnämnden, Skolfederationen och Sambi) har tagits fram så har kraven på ordning och reda kring e-legitimationer (t.ex. certifikat) ökat, men samtidigt blivit tydligare. Tillitsramverken siktar inte in sig på enbart PKI-lösningar, ramverken ska även hantera andra e-legitimationslösningar såsom lösenordsdosor från t.ex. RSA, Vasco, SafeNet eller YubiCo.
PKI kommer slå 2013, eller 2014, eller senare. En sak är dock säker, PKI är sedan länge en mogen teknik och metod, den är här, används idag och precis som inom andra områden gäller det att ta del av den, förstå fördelarna och inse begränsningarna. Då är det roligt att jobba med PKI.
Carl Önne
