Paskutinį kartą pakeista: 19 kovo, 2025
Politika Nr. 4204 Šifravimo procedūra
Apžvalga
Šios procedūros tikslas - pateikti gaires, pagal kurias šifravimas būtų naudojamas tik tais algoritmais, kurie buvo viešai peržiūrėti ir kurių veiksmingumas įrodytas. Be to, šioje procedūroje pateikiamos gairės, kuriomis siekiama užtikrinti, kad būtų laikomasi federalinių teisės aktų ir būtų suteikta teisinė teisė platinti ir naudoti šifravimo technologijas už Jungtinių Valstijų ribų.
Jei šifravimo raktų valdymas atliekamas netinkamai, gali būti pažeisti ir atskleisti privatūs raktai, naudojami neskelbtiniems duomenims apsaugoti, ir taip pakenkti duomenims. Nors naudotojai gali suprasti, kaip svarbu šifruoti tam tikrus dokumentus ir elektroninius pranešimus, jie gali nežinoti būtiniausių šifravimo raktų apsaugos standartų.
Tikslas
Šioje procedūroje aprašomi šifravimo raktų, kuriuos kontroliuoja galutiniai naudotojai, apsaugos reikalavimai. Šiais reikalavimais siekiama užkirsti kelią neteisėtam atskleidimui ir vėlesniam nesąžiningam naudojimui. Aprašyti apsaugos metodai apima operacines ir technines kontrolės priemones, pavyzdžiui, raktų atsarginių kopijų darymo procedūras, šifravimą pagal atskirą raktą ir pažeidimams atsparios įrangos naudojimą.
Apimtis
Ši procedūra taikoma visiems toliau išvardytiems šifravimo raktams ir už šifravimo raktą atsakingam asmeniui. Šifravimo raktai, kuriems taikoma ši procedūra, yra šie:
- PCSD išduoti šifravimo raktai
- PCSD verslui naudojami šifravimo raktai
- Šifravimo raktai, naudojami PCSD priklausantiems duomenims apsaugoti
Skaitmeniniuose sertifikatuose esantiems viešiesiems raktams ši procedūra specialiai netaikoma.
Procedūra
Visi šifravimo raktai, kuriems taikoma ši procedūra, turi būti apsaugoti, kad būtų išvengta neteisėto atskleidimo ir vėlesnio nesąžiningo naudojimo.
Slaptojo rakto šifravimo raktai
- Slapto šifravimo, dar vadinamo simetrine kriptografija, raktai turi būti apsaugoti, nes jie platinami visoms šalims, kurios jais naudosis.
- Platinimo metu simetriniai šifravimo raktai turi būti užšifruoti naudojant stipresnį algoritmą, o rakto ilgis turi būti ilgiausias pagal PCSD priimtiną šifravimo procedūrą.
- Jei raktai skirti stipriausiam algoritmui, raktą reikia padalyti, kiekvieną dalį užšifruoti skirtingu raktu ir perduoti naudojant skirtingus mechanizmus.
- Simetriniai šifravimo raktai, kai jie yra ramybės būsenoje, turi būti apsaugoti bent jau tokiomis pat griežtomis saugumo priemonėmis kaip ir platinimo priemonės.
Viešojo rakto šifravimo raktai
- Viešojo rakto kriptografijoje, arba asimetrinėje kriptografijoje, naudojamos viešojo ir privataus raktų poros.
- Viešasis raktas įtraukiamas į galutiniam naudotojui išduotą skaitmeninį sertifikatą, o privatusis raktas turi būti prieinamas tik paskirtam galutiniam naudotojui.
PCSD viešojo rakto infrastruktūros (PKI) raktai
- PCSD PKI naudojamos viešųjų ir privačiųjų raktų poros generuojamos nuo klastojimo apsaugotoje išmaniojoje kortelėje, išduodamoje atskiram galutiniam naudotojui.
- Skaitmeniniams parašams naudojamų tapatybės sertifikatų privatusis raktas niekada nepalieka išmaniosios kortelės.
- Šifravimo sertifikatų privatus raktas turi būti saugomas pagal PCSD politiką.
- Prieiga prie privačių raktų, saugomų PCSD išduotoje lustinėje kortelėje, bus apsaugota tik kortelės turėtojui žinomu PIN kodu.
Kiti viešojo rakto šifravimo raktai
- Kiti raktai gali būti generuojami programine įranga galutinio naudotojo kompiuteryje ir saugomi standžiajame diske arba aparatiniame ženkle.
- Jei jie generuojami lustinėje kortelėje, jiems taikomi tokie patys apsaugos reikalavimai kaip ir PKI privatiesiems raktams.
- Jei jie sukurti programine įranga, naudotojai turi sukurti ir saugiai saugoti bent vieną atsarginę ir depozitinę kopiją.
Komercinės arba išorinės organizacijos viešojo rakto infrastruktūros (PKI) raktai
- Bendradarbiaudami su verslo partneriais galutiniai naudotojai gali naudoti viešųjų ir privačiųjų raktų poras, saugomas programinės įrangos sukurtuose failuose standžiajame diske.
- Privačius raktus saugo tik naudotojo pasirinkto slaptažodžio stiprumas.
- Privačius raktus saugančios žiniatinklio naršyklės turi reikalauti įvesti slaptažodį kiekvieną kartą, kai pasiekiamas privatus raktas.
PGP raktų poros
- PGP viešųjų ir privačiųjų raktų poros gali būti saugomos kompiuterio standžiajame diske esančiose raktų rinkmenose arba aparatiniame žymenyje (pvz., USB atmintinėje arba lustinėje kortelėje).
- PGP turi būti sukonfigūruota taip, kad kiekvieną kartą naudojant privatųjį raktą būtų reikalaujama įvesti slaptažodį.
Aparatinė žetonų saugykla
- Šifravimo raktus saugantys aparatiniai žetonai bus laikomi jautria įranga pagal PCSD fizinės saugos procedūrą.
- Žetonų, lustinių kortelių ir USB žetonų negalima palikti prijungtų prie kompiuterio, kai jie nenaudojami.
- Keliaudami naudotojai turi saugoti aparatinius žetonus atskirai nuo kompiuterio.
PIN kodai, slaptažodžiai ir slaptažodžių frazės
- Visi PIN kodai, slaptažodžiai ar slaptažodžių frazės, naudojami šifravimo raktams apsaugoti, turi atitikti sudėtingumo ir ilgio reikalavimus, nurodytus PCSD slaptažodžio procedūra.
Nuostoliai ir vagystės
- Apie šifravimo raktų praradimą, vagystę ar galimą neteisėtą atskleidimą reikia nedelsiant pranešti "InfoSec" komandai.
- InfoSec darbuotojai padės naudotojams atlikti reikiamus veiksmus, pvz., atšaukti sertifikatą.
Rakto susitarimas ir autentiškumo nustatymas
- Keičiantis raktais turi būti naudojamas vienas iš šių kriptografinių protokolų:
- Diffie-Hellman
- IKE
- Diffie-Hellmano elipsinė kreivė (ECDH)
- Prieš apsikeičiant raktais turi būti autentifikuoti galiniai taškai.
- Prieš naudojant pasitikėjimui nustatyti naudojamus viešuosius raktus turi būti patvirtinta jų autentiškumas.
- Visi autentifikavimo serveriai (pvz., RADIUS arba TACACS) turi naudoti galiojantį patikimo teikėjo sertifikatą.
- Visi serveriai ir programos, naudojantys SSL arba TLS, turi turėti patikimo teikėjo pasirašytus sertifikatus.
Apibrėžimai ir terminai
Toliau pateiktos sąvokų apibrėžtys ir terminai pateikiami SANS žodynas:
- Sertifikatų institucija (CA)
- Skaitmeninis sertifikatas
- Skaitmeninis parašas
- Raktų saugojimas
- Paprastasis tekstas
- Viešojo rakto kriptografija
- Viešųjų raktų poros
- Simetrinė kriptografija
Paskutinio atnaujinimo būsena:
Atnaujinta 2015 m. sausio mėn.
Susijusi politika ir procedūros
- 4204 Technologijų naudojimas
- 4204 Priimtinas naudojimas
- 4204 Auditas
- 4204 Švarus stalas
- 4204 Atkūrimo po nelaimės planas
- 4204 El. paštas
- 4204 Darbuotojų informuotumo apie saugumą mokymas
- 4204 Šifravimas
- 4204 Slaptažodis
- 4204 Nuotolinė prieiga
- 4204 Maršrutizatorių ir komutatorių saugumas
- 4204 Jautrių darbo vietų saugumas
- 4204 Saugumo reagavimo planas
- 4204 Serverio saugumas
- 4204 Programinės įrangos diegimas
- 4204 Interneto svetainių paslaugos Saugumas
- 4204 Belaidis įrenginio ryšys
- 4204 Belaidis infrastruktūros ryšys