Gestión de las claves públicas y certificaciones del protocolo S / MIME

6

No tengo ninguna experiencia en el campo de la seguridad, y quiero su ayuda. Quiero asegurarme si la siguiente sugerencia es aplicable y segura, si no lo es, por favor, dame tu sugerencia para resolver el problema.

Una empresa desea crear un sitio web para administrar y monitorear a sus empleados, ahora cada empleado tiene un nombre único. Sin embargo, el funcionario quiere usar el protocolo S / MIME para permitir que los empleados transfieran mensajes confidenciales entre ellos. . Esos empleados tienen un gran problema al administrar las claves públicas y las certificaciones, ¿puedo usar Keybase.io (su código abierto) y mejorarlo para cargarlo? ¿Certificaciones de empleados y claves públicas?

¿Crees que será seguro? Cuando John quiere enviarle un mensaje a Sara, él pondrá su apodo y el sistema solicitará su clave pública del servidor y validará su certificado. Así es seguro. Si no es así, ¿cómo puedo mejorarlo?

    
pregunta user3011084 01.11.2015 - 18:28
fuente

2 respuestas

1

keybase.io simplemente permite a los usuarios de sitios de redes sociales acceder a la clave pública de cada uno (si existe una para el sitio de redes sociales objetivo) .

No es diferente a la funcionalidad 'servidor de claves' de GPG para proporcionar a los usuarios una manera de llegar mi clave pública.

La (s) pregunta (s) que está planteando se reduce a una PKI (infraestructura de clave pública) .

Hay muchas soluciones disponibles como opciones de llave en mano; sin embargo, el tono y la dirección de la pregunta indican la posible necesidad de una solución única personalizada (aunque no lo recomiendo necesariamente, no porque no pueda, sino porque es y puede ser una pesadilla legal) debe hacer su debida diligencia. .

Primero repasar implementación para la funcionalidad de alto nivel. A continuación, investigue los detalles esenciales proporcionados por expertos en el campo.

  1. NIST PKI : una descripción general de alto nivel
  2. Especificaciones técnicas de NIST PKI : detalles sobre la gestión de una PKI; diseño, implementación, configuración, recuperación, etc.
  3. NIST 800-32 : los detalles de una implementación PKI; cifrados, tamaños de clave, algoritmos, seguridad física, virtual, custodia, recuperación de datos, planes de emergencia para el compromiso clave, etc.

Una cosa sobre el uso de una solución existente es que la mayoría del trabajo pesado ya está en su lugar. Sin embargo, la mayoría de las estructuras de PKI antiguas que utilizan un método centralizado de gestión de PKI han dado paso a los métodos distribuidos que GPG emplea, que utilizan un "círculo de confianza" frente a las soluciones de gestión de tipo de custodia tradicionales.

    
respondido por el jas- 01.11.2015 - 19:56
fuente
1

Me centraré en lo que creo que es el núcleo de tu pregunta:

  

Una empresa desea crear un sitio web para administrar y monitorear a sus empleados

Aquí hay dos partes: administración (que permite a los usuarios encontrar las claves públicas de los demás y, presumiblemente, también desea tener la capacidad de controlar quién forma parte de esta red) y monitoreo (que permite a la compañía descifrar cualquier información protegida, por ejemplo) después de que alguien se retira).

Como dijo @ jas-, ciertamente necesitas algún tipo de Infraestructura de clave pública (PKI) para hacer esto. Yo difiero de @ jas en que no creo que un "círculo de confianza" distribuido como PGP sea la respuesta porque una empresa es, por naturaleza, una autoridad centralizada; if Janice decide que su perro debe agregarse a su red de correo electrónico corporativo, no hay nada que pueda hacer para detenerlo en el modelo PGP.

La forma habitual en que se maneja esto es comprando un software comercial PKI que configura una CA raíz privada para su empresa y se conecta a su sistema de correo electrónico corporativo (como Microsoft Exchange) para proporcionar una búsqueda de clave pública y una copia de seguridad privada de descifrado (también conocida como fideicomiso) para todos los usuarios. Las compañías PKI que ofrecen esto también proporcionarán un complemento de Outlook que agrega los botones Firmar y Encriptar a la ventana Redactar de sus usuarios.

    
respondido por el Mike Ounsworth 01.12.2015 - 21:10
fuente

Lea otras preguntas en las etiquetas