আপনার সিএর ব্যক্তিগত কী কীভাবে সুরক্ষিত করবেন?

আমি কেবলমাত্র ইন্টেরাল ব্যবহারের জন্য আমার নিজস্ব শংসাপত্র কর্তৃপক্ষ (সিএ) বাস্তবায়ন করতে চলেছি।

এখন একটি সমস্যা আছে যে সিএ প্রাইভেট কখনও কখনও শোষণ করা উচিত নয়। এখনই ব্যক্তিগত কী এনক্রিপ্ট করা আছে।

ব্যক্তিগত কীটির সুরক্ষা বাড়ানোর জন্য আর কী করা যেতে পারে?

আমি এমন একটি প্রতিষ্ঠানে কাজ করেছি যেখানে ব্যবসায়ের ধারাবাহিক সাফল্যের জন্য সিএ কী'র সুরক্ষা গুরুতর ছিল। এ লক্ষ্যে কীটি একটি কাস্টম প্রোটোকল ব্যবহার করে এনক্রিপ্ট করা হয়েছিল যাতে এটি ডিক্রিপ্ট করার জন্য টার্মিনালগুলিতে প্লাগযুক্ত শারীরিক টোকেন সহ কমপক্ষে 2 জন ব্যক্তির উপস্থিতি প্রয়োজন (এই টোকেনগুলির মধ্যে কমপক্ষে 5 জন ছিল, যে কোনও 2 টি মিলিত কাজ করবে)। টার্মিনালগুলি সিএ কী দিয়ে প্রকৃত মেশিন থেকে শারীরিকভাবে পৃথক করা হয়েছিল। ব্যবহারকারীরা এটির ডিক্রিপ্ট করা ইন্টারফেসটি একটি ভিটি 220 টার্মিনাল ছিল যা তাদের ডিক্রিপশন টোকেনগুলি ইনপুট দেওয়ার অনুমতি দেয় এবং তারপরে কী দিয়ে তারা 'সাইন' করতে চায় তা নির্বাচন করে (কখনই তাদের ডিক্রিপ্টেড কীটিতে অ্যাক্সেস দেয় না)। এই সিস্টেমটির অর্থ কী, দু'জন টোকেনধারক, ডেটা সেন্টারে অ্যাক্সেস পাওয়া লোক,

আপনি যদি এই ধরণের সেটআপ সম্পর্কে আরও বিশদে আগ্রহী হন তবে ব্রুস শ্নিয়ার কম্পিউটারের সুরক্ষা নকশা এবং প্রয়োগের জন্য একটি দুর্দান্ত সাইট আছে:

http://www.schneier.com/

তিনি অ্যাপ্লাইড ক্রিপ্টোগ্রাফি একটি সত্যই ভাল বইও প্রকাশ করেছেন যা আমাকে এই জাতীয় সিস্টেমের মৌলিক বিষয়গুলি এবং আরও সুরক্ষিত অবকাঠামো (কীভাবে পকেট সুরক্ষক পরিধান করে না এমন লোকদের দ্বারা পঠনযোগ্য) আর্কিটেকচার করতে সহায়তা করেছে তা খুঁজে পেয়েছি:

http://www.schneier.com/book-applied.html

একটি বড় লাভ হ'ল একটি ডেডিকেটেড কম্পিউটারে প্রাইভেট সিএ কীটি নেটওয়ার্ক থেকে সম্পূর্ণ বিচ্ছিন্ন করে রাখা। তারপরে আপনি এই মেশিনে নতুন শংসাপত্রগুলি সাইন ইন করতে এবং সম্ভবত তৈরি করতে এবং তারপরে সিএ মেশিন থেকে নতুন শংসাপত্র স্থানান্তর করতে একটি শারীরিক মিডিয়া ব্যবহার করবেন।

যেমন সেটআপ অবশ্যই মেশিনের শারীরিক প্রাপ্যতা সম্পর্কিত বিবেচনা, পাশাপাশি অনুমতিযুক্ত মিডিয়ায় নিষেধাজ্ঞার সাথে অন্তর্ভুক্ত থাকবে। একটি ভাল ভ্রমণ ইউএসবি স্টিক সম্ভবত সেরা পছন্দ নয় ...

(এটি উপায় এবং সুরক্ষা এবং সুবিধার মধ্যে বাণিজ্য বন্ধ সম্পর্কে একটি স্পষ্ট উদাহরণ।)

আমি অন্য দুটি উত্তরকে উস্কে দিয়েছি এবং তাতে মন্তব্য করেছি, কারণ আমি মনে করি তারা উভয়ই দুর্দান্ত। যদি আপনি উভয়ের জন্য যাওয়ার সিদ্ধান্ত নেন এবং এটি যথাযথভাবে উপযুক্ত হতে পারে তবে আমি কীটির প্রারম্ভিক প্রজন্মের মধ্যে দৃ adv ়তার সাথে যত্নের পরামর্শ দিচ্ছি , যেহেতু কোনও কীটির সাথে আপস করার সর্বোত্তম সময়টি ব্যবহার হয় না (যেখানে অনেকগুলি স্ট্যান্ডার্ড, পুনরাবৃত্তিযোগ্য সাবধানতা থাকতে পারে) প্রয়োগ করা হয়েছে) তবে প্রজন্মের সময়ে, যা একবারে বন্ধ হয়ে যায় তা নষ্ট করা খুব সহজ।

কী-প্রজন্মের অনুষ্ঠান পরিচালনার এই দুর্দান্ত গাইডে কিছু প্রমিত প্রোটোকলের রূপরেখা দেওয়া হয়েছে যা মূল প্রজন্মকে সুরক্ষিত করতে সহায়তা করতে পারে, যদিও তারা বেশিরভাগই সিদ্ধ হয়ে যায় (ক) একাধিক জ্ঞাতগঠিত অডিটর দ্বারা সাক্ষ্য প্রাপ্ত সমস্ত ব্যক্তি, যারা (খ) সমসাময়িক রেকর্ড তৈরি করছেন (গ) নির্বাহক ব্যতীত অন্য কারও দ্বারা লিখিত পূর্ব নির্ধারিত প্রোটোকল অনুসারে যা কিছু করা হয়।

আপনি কতটা সিরিয়াস তার উপর নির্ভর করে আপনার সিএ কীগুলি এবং এই কীগুলির ব্যাক-আপগুলি সঞ্চয় করতে FIPS 140-2 ( http://en.wikedia.org/wiki/Fips_140#Security_levels ) হার্ডওয়্যার ব্যবহার করা উচিত । আপনার একটি রুট সিএ এবং একটি মধ্যবর্তী সিএ থাকা উচিত যাতে আপনি আপনার মূল সিএটি অফলাইন এবং শারীরিকভাবে সুরক্ষিত রাখতে পারেন। মূলটি কেবলমাত্র নতুন মধ্যবর্তী সিএগুলি পুনর্নবীকরণ বা স্বাক্ষর করার জন্য প্রয়োজন, অন্যদিকে মধ্যবর্তী সিএগুলি প্রতিদিন কাজ করার জন্য অনলাইনে থাকে। অন্যদের পরামর্শ দিয়েছেন, কী প্রজন্ম এবং কী ব্যবস্থাপনা নিরাপদ সঙ্গে এন এর মি নিয়ন্ত্রণ গুরুত্বপূর্ণ।

কীভাবে বাণিজ্যিক সিএ এর কীগুলি তৈরি করে এবং সুরক্ষা দেয় তার জন্য ভারিসাইন (এখন সিম্যানটেক) সিপিএস একটি ভাল রেফারেন্স। অধ্যায় 5 এবং 6 দেখুন, বিশেষত: http://www.verisign.com/repository/cps/ । (আমি বেশ কয়েক বছর ভেরি সিগনে কাজ করেছি)

এছাড়াও,, NIST (মূল ম্যানেজমেন্ট বেশ কয়েকটি ভাল প্রবন্ধ প্রকাশিত হয়েছে http://csrc.nist.gov/publications/drafts/800-57/Draft_SP800-57-Part1-Rev3_May2011.pdf ) এবং প্রজন্ম, এবং আপনার কোম্পানীর একটি সিপিএস থাকা উচিত এটি আপনার সিএ পরিচালনার জন্য আপনি যে নীতি এবং অনুশীলনগুলি ব্যবহার করেন তা নির্দিষ্ট করে। আইইটিএফ একটি ভাল টেম্পলেট সরবরাহ করে: http://www.ietf.org/rfc/rfc2527.txt

দুর্দান্ত প্রশ্ন এবং কিছু দুর্দান্ত উত্তর।

মনে রাখবেন যে আপনি অন্ধভাবে সামনে চার্জ না করে এই সমস্যাটি বিবেচনা করে বেশিরভাগ অন্যান্য ব্যক্তির তুলনায় প্রায় 90% এগিয়ে।

এটি মাথায় রেখে এবং এখানে অন্য পরামর্শ গ্রহণের পরে, আমি কেবল যুক্ত করব: আপনার গৌরব অর্জন করবেন না; শংসাপত্র প্রদান, প্রত্যাহার, ক্র্যাকিং ইত্যাদি সম্পর্কিত সাধারণ সমস্যা এবং সর্বাধিক সুনির্দিষ্টভাবে আপনার কীগুলি উত্পন্ন এবং পরিচালনা করতে আপনি যে নির্দিষ্ট পণ্য ব্যবহার করেন সেগুলি নিয়ে দুর্বলতা এবং ইস্যুগুলির বিষয়ে সুরক্ষা এবং ক্রিপ্টোগ্রাফি সংবাদের উপর নজর রাখুন।

শেষ অবধি: শারীরিক সুরক্ষা। আমি যদি আপনার বিল্ডিংয়ে কন্ট্রাক্ট ক্লিনার হিসাবে কেবলমাত্র চাকরি পেতে পারি এবং তারপরে আপনার রুট সার্টযুক্ত ডিস্কটি একদিন আমার পকেটে রাখি তবে কিছু 'হ্যাকার প্রুফ' তৈরি করা কোনও সহায়ক নয়। আপনি অবাক হবেন যে কতজন লোক সেটিকে মিস করে।