• English
  • Română
MENU
Solicitați o demonstrație
+373 795 333 11
  • English
  • Română

Accelerarea semnăturilor digitale cu semnarea hash pe partea clientului

Aflați cum o arhitectură de semnare hash pe partea clientului poate accelera semnăturile digitale în mediul dvs. IT.

Asigurarea securității și performanței semnăturilor digitale este o prioritate maximă pentru fiecare lider InfoSec și DevSecOps. Deoarece multe companii trec la un mediu de lucru la distanță din cauza pandemiei globale în curs, această sarcină devine considerabil mai dificilă.

Cum asigurați securitatea tuturor semnăturilor digitale în cadrul unei forțe de muncă complet la distanță, fără a compromite performanța?

Semnături digitale pentru echipe distribuite

Întrucât multe companii adoptă politici de lucru de acasă pentru a menține siguranța membrilor echipei în mijlocul pandemiei de COVID-19, obținerea atât a unei securități de neegalat, cât și a performanței de top a semnăturilor digitale pentru o echipă distribuită geografic este acum esențială pentru operațiunile de afaceri.

Când vine vorba de activarea semnăturilor digitale pentru o echipă distribuită, există trei abordări generale:

Păstrați cheile private în software și distribuiți-le membrilor echipei, după cum este necesar.

Plasați cheile în protecție hardware (adică un modul de securitate hardware) și distribuiți mai multe HSM-uri către diferitele echipe ale companiei dvs.

Stocați cheile într-un HSM gestionat centralizat și oferiți acces proxy tuturor utilizatorilor finali.

Opțiunea 1 prezintă riscuri majore de securitate și nu ar trebui luată în considerare de nicio companie care își prețuiește securitatea datelor. Atunci când cheile de semnare sunt stocate în software, nivelul de protecție din jurul acestora este pur și simplu prea slab pentru confort. Atacatorii ar putea obține acces la chei prin compromiterea dispozitivului unui angajat sau prin extragerea cheilor din software-ul în sine.

Opțiunea 2 oferă o securitate îmbunătățită în comparație cu prima abordare, dar vine cu un preț descurajant. Modulele de securitate hardware sunt costisitoare, așa că achiziționarea mai multor HSM-uri nu este cea mai rentabilă abordare pentru a permite semnături digitale securizate pentru o echipă mare. Mai mult, menținerea sincronizării mai multor dispozitive hardware și efectuarea gestionării cheilor pe mai multe HSM-uri este o sarcină foarte dificilă.

Opțiunea 3 este soluția optimă, dacă se poate realiza menținând în același timp performanțe excelente. Aici intervine semnarea hash.

Ce este semnarea hash?

Termenul „semnare hash” poate fi confuz, deoarece practic toate schemele de semnătură digitală utilizează o formă de funcție hash criptografică.

În general, o semnătură digitală este produsă prin hashing-ul documentului sau codului care trebuie semnat, apoi prin aplicarea operațiunii de cheie privată criptografică asupra valorii hash rezultate. Deoarece funcțiile hash criptografice produc în mod determinist o ieșire mică, de lungime fixă, dintr-o intrare de date de dimensiune arbitrară, hash-ul servește ca amprentă electronică a datelor. Hash-ul datelor este o componentă a semnăturii digitale a acestor date, permițând verificatorilor să detecteze cu ușurință dacă au fost făcute modificări documentului sau codului după finalizarea semnăturii.

Rețineți că cheia privată nu este necesară în procesul de semnătură digitală decât după ce datele sunt procesate prin hashing. Ca atare, nu este necesar să trimiteți toate datele către un server de semnare pentru a crea o semnătură digitală. În schimb, hashing-ul poate fi efectuat local, doar valoarea hash fiind trimisă către serverul de semnare pentru a finaliza semnătura digitală cu operațiunea cheii private.

Această metodă de hashing pe partea clientului, cunoscută sub numele de semnare hash, îmbunătățește considerabil performanța semnăturilor digitale generate de la distanță.

Fără semnarea hash, companiile care optează pentru Opțiunea 3 – adică stocarea tuturor materialelor cheii private în HSM-uri gestionate central – trebuie să încarce toate datele semnate în serviciul central de semnare, apoi să descarce întregul pachet semnat odată ce semnătura este completă. Pentru orice caz de utilizare care necesită crearea de semnături pentru fișiere mari (de exemplu, semnarea codului, semnarea documentelor, marcarea temporală criptografică a copiilor de rezervă etc.), aceasta înseamnă că este necesar să se transporte volume mari de date prin rețea de două ori, ceea ce duce la generarea lentă a semnăturilor și la un consum inutil de lățime de bandă.

Odată cu implementarea corectă a semnării hash, această problemă este rezolvată. Deoarece doar hash-ul datelor semnate este trimis prin rețea către serverul de semnare, transmisiile de lățime de bandă sunt menținute la minimum, iar procesul de semnătură digitală este accelerat.

Provocări cu semnarea hash

Deși semnarea bazată pe hash oferă avantaje semnificative în ceea ce privește performanța semnăturii digitale, aceasta vine și cu câteva provocări. În special, există două provocări majore legate de semnarea bazată pe hash: integrările clienților și securitatea.

Integrări ale clienților

Multe instrumente de semnare din prezent presupun că cheia de semnare se află pe computerul local pe care este executat instrumentul. În mod similar, API-urile modulului de securitate hardware (HSM) presupun implicit că datele care trebuie semnate se află pe mașina conectată direct la HSM. Desigur, primul scenariu prezintă riscuri majore de securitate, în timp ce cel de-al doilea nu este cazul semnării hash.

Implementarea unei arhitecturi de semnare hash pe partea clientului cu instrumentele existente, toate acestea păstrând în același timp cheile de semnare blocate în siguranță într-un HSM sau manager de chei al întreprinderii, este o sarcină extrem de complexă. Necesită multă muncă de dezvoltare la nivel scăzut din partea experților în criptografie care fac în mod transparent toată munca grea pentru dvs.

Din fericire, exact asta adoră să facă echipa de la Ghesar. Am conceput produsul nostru emblematic, E-semnatura, pentru a veni cu acești furnizori criptografici gata de utilizare imediată pe toate platformele majore, inclusiv Apple, Microsoft, Java, Android, GPG, RPM, Linux, OpenSSL și multe altele. Indiferent dacă semnați cod, documente, handshake-uri de tip provocare-răspuns sau orice alt tip de date, integrările client ale E-semnatura fac ca aceasta să fie o experiență perfectă pentru utilizatorii finali.

Securitate

Cu semnarea hash, serverul de semnare vede doar hash-ul datelor, nu toate datele semnate. Prin urmare, serverul de semnare nu poate analiza aceste date foarte ușor. Pentru a depăși acest lucru, Ghesar a integrat câteva caracteristici cruciale în platforma E-semnatura Sign, inclusiv:

  • Autentificare și autorizare puternică
  • Fluxuri ale procesului de aprobare pentru cheile de mare valoare
  • Analiza codului prin intermediul depozitului de cod sursă pentru semnarea codului
  • Și multe altele.

Sunteți gata să aflați mai multe despre cum E-semnatura poate îmbunătăți securitatea și performanța semnăturilor digitale în mediul dvs.? Contactați echipa Ghesar. Deși produsul E-semnatura este gestionat complet de client, echipa Ghesar va fi bucuroasă să vă găzduiască gratuit dovada conceptului, astfel încât să puteți experimenta viteza și integrările perfecte ale E-semnatura.

De ce serviciile criptografice sunt nucleul securității cibernetice – și de ce m-am alăturat Ghesar

Într-o perioadă în care transformarea digitală a devenit un pilon fundamental al succesului afacerilor, piatra de temelie silențioasă care permite încrederea, securitatea și reziliența este criptografia. Fiecare întreprindere, fie că este conștientă, fie că nu, este profund dependentă de serviciile criptografice – totuși puține au o înțelegere a domeniului de aplicare, extinderii sau importanței strategice […]

Servicii criptografice pentru întreprinderi

Vă sună familiar? Lucrați la o companie la un proiect mare și sunteți pe cale să treceți la producție, dar trebuie să adăugați ultimele retușuri. Vi se spune că aveți nevoie de certificate TLS pentru echilibratoarele de încărcare, serverele de aplicații și serverele de baze de date, un loc sigur de unde să bootați câteva […]

Revocarea certificatelor – Provocări și cele mai bune practici

Revocarea unui certificat invalidează certificatul înainte de data de expirare programată. Există numeroase motive pentru revocarea unui certificat, inclusiv, dar fără a se limita la, compromiterea sau pierderea cheii private corespunzătoare, imposibilitatea cheii și multe altele. Deși revocarea este de obicei discutată în contextul certificatelor X.509, alte tipuri de certificate, cum ar fi secure shell (SSH) și […]