Informazioni sui cookie del presente sito Per il corretto funzionamento, i nostri siti Web richiedono alcuni cookie (richiesto). Inoltre, con il suo consenso, potrebbero essere utilizzati altri cookie per l'analisi dell'utilizzo del sito, per migliorare l'esperienza utente e per scopi pubblicitari. Per ulteriori informazioni, consultare le. Visitando il nostro sito web, accettate il trattamento delle informazioni da parte nostra come descritto nelladichiarazione sulla privacy di IBM. Per consentire una corretta navigazione, le preferenze per i cookie dell'utente verranno condivise sui domini Web IBM qui elencati.
Home
topics
Gestione delle chiavi
Cos'è la gestione delle chiavi?
Data di pubblicazione: 6 settembre 2024
Autori: Annie Badman, Matthew Kosinski
La gestione delle chiavi, o gestione delle chiavi crittografiche, è il processo di generazione, scambio, archiviazione e gestione delle chiavi crittografiche per garantire la sicurezza dei dati crittografati. È fondamentale per un'efficace crittografia dei dati, poiché una cattiva gestione delle chiavi può portare ad accessi non autorizzati, perdita di dati e violazioni dei dati.
La crittografia protegge i dati sensibili convertendo il testo semplice leggibile in testo cifrato illeggibile. Le chiavi di crittografia sono la pietra angolare della sicurezza dei dati all'interno del processo di crittografia. Chiunque possieda le chiavi può utilizzarle per riconvertire i dati crittografati nel formato di testo semplice originale.
Se le chiavi crittografiche vengono rubate o gestite in modo improprio, utenti non autorizzati possono utilizzarle per accedere ai dati sensibili. In caso di smarrimento delle chiavi, anche gli utenti autorizzati possono perdere definitivamente l'accesso ai propri dati.
Il risultato è che la crittografia è sicura solo se le sue chiavi lo sono.
La gestione delle chiavi aiuta le organizzazioni a proteggere le chiavi crittografiche durante l'intero ciclo di vita, proteggendo l'integrità dei dati e riducendo al minimo il rischio di accessi non autorizzati e violazioni dei dati. Il ciclo di vita della chiave di crittografia comprende la generazione, l'archiviazione, la distribuzione, l'utilizzo, la rotazione e l'eventuale distruzione o revoca.
Un sistema di gestione delle chiavi può aiutare ad automatizzare e applicare le politiche chiave, rendendo il processo ancora più efficiente e riducendo gli errori. Aiuta inoltre le organizzazioni a rafforzare la sicurezza dei dati, a prevenire accessi non autorizzati e a rispettare gli standard normativi.
Oggi le organizzazioni danno sempre più priorità alla crittografia e alla gestione delle chiavi per rafforzare il loro livello di cybersecurity. Secondo il report Cost of a Data Breach, le organizzazioni che utilizzano la crittografia possono ridurre l'impatto finanziario di una violazione dei dati di oltre 220.000 USD.
Scopri le cause e gli effetti più comuni delle violazioni, come vengono identificate e come le organizzazioni possono prevenire e mitigare le minacce informatiche responsabili.
I dati sono uno dei beni più preziosi per qualsiasi organizzazione. Con l'aumento del volume dei dati sensibili, aumenta anche la necessità di proteggerli dagli accessi non autorizzati. Secondo il report Cost of a Data Breach, il costo medio globale di una violazione dei dati ammonta a 4,88 milioni di dollari, in aumento del 10% rispetto all'anno scorso e il totale più alto di sempre.
Per molte organizzazioni, la crittografia è una delle misure più efficaci per proteggere i dati sensibili. Applica i principi della crittografia per trasformare i dati leggibili in testo cifrato utilizzando algoritmi crittografici, rendendoli inaccessibili agli utenti non autorizzati.
L'efficacia della crittografia si basa non solo su potenti algoritmi come l'Advanced Encryption Standard (AES), ma anche sulla gestione sicura delle chiavi crittografiche che bloccano e sbloccano i dati.
Questo processo non sempre è facile come sembra. Le organizzazioni devono spesso gestire migliaia di chiavi crittografiche su diversi sistemi e ambienti, ognuna in varie fasi del proprio ciclo di vita.
Potrebbe essere necessario condividere le chiavi crittografiche in modo sicuro tra i reparti o con partner esterni. Questa complessità può rendere difficile garantire che tutte le chiavi siano adeguatamente protette, tracciate e conservate durante il loro ciclo di vita.
La gestione delle chiavi facilita questo processo centralizzandone il controllo, automatizzando i processi del ciclo di vita delle chiavi e fornendo solide funzionalità di monitoraggio e di audit. Aiuta le organizzazioni a garantire che le chiavi siano gestite in modo coerente secondo le best practice e riduce il rischio di perdita o uso improprio delle chiavi.
Senza un'adeguata gestione delle chiavi, le organizzazioni possono rischiare di annullare efficacemente i vantaggi della crittografia, spianando la strada ad accessi non autorizzati, violazioni dei dati e perdite di dati.
Ad esempio, Microsoft ha recentemente rivelato che un gruppo di hacker sostenuto dalla Cina ha rubato una chiave crittografica critica di firma elettronica dai suoi sistemi.1 Questa chiave ha consentito agli aggressori di generare token di autenticazione legittimi e accedere ai sistemi di posta elettronica Outlook basati su cloud di 25 organizzazioni, tra cui diverse agenzie governative statunitensi.
Inoltre, con l'emergere di nuove tecnologie, l'importanza di una solida gestione delle chiavi continua a crescere. Ad esempio, l'avvento del quantum computing rappresenta una minaccia significativa per gli algoritmi di crittografia attuali, e sta spingendo organizzazioni ed esperti a investire in tecniche di crittografia e sistemi di gestione delle chiavi in grado di resistervi.
Restare al passo con questi sviluppi e investire in soluzioni e sistemi avanzati di gestione delle chiavi può aiutare le organizzazioni a garantire che le loro pratiche di crittografia rimangano efficaci e a prova di futuro.
Visualizzare la gestione delle chiavi
Per capire il ruolo della gestione delle chiavi, immaginiamo una cassaforte che può essere aperta solo con un codice.
Così come una cassaforte protegge gli oggetti di valore, la crittografia protegge i dati sensibili. Se il codice della cassaforte cade nelle mani sbagliate, persone non autorizzate possono aprirla e rubare il contenuto. Allo stesso modo, se il codice viene perso o dimenticato, la cassaforte (e gli oggetti di valore al suo interno) potrebbero essere inaccessibili per sempre.
In questa analogia, la cassaforte rappresenta i dati crittografati, il codice rappresenta la chiave di crittografia e la protezione del codice rappresenta la gestione delle chiavi.
Nella crittografia dei dati, esistono diversi tipi di chiavi crittografiche, ciascuna associata ai due metodi di crittografia principali.
La crittografia simmetrica utilizza un'unica chiave sia per crittografare che per decriptare i dati. La sicurezza di questa chiave simmetrica è fondamentale perché, se viene compromessa, tutti i dati crittografati sono a rischio. La gestione delle chiavi per la crittografia simmetrica si concentra sulla generazione, l'archiviazione e la distribuzione sicure della chiave, garantendo che sia accessibile solo agli utenti autorizzati.
La crittografia asimmetrica utilizza una coppia di chiavi: una pubblica per la crittografia e una privata per la decrittografia. La chiave pubblica può essere condivisa apertamente, mentre la chiave privata deve rimanere riservata. Questo metodo rende possibili alcune delle operazioni crittografiche più sicure, inclusa l'infrastruttura a chiave pubblica (PKI), che supporta funzioni come l'autenticazione, le firme digitali e lo scambio sicuro di chiavi.
Nella crittografia asimmetrica, la gestione delle chiavi comporta la generazione sicura delle chiavi, la gestione della loro archiviazione, il controllo degli accessi e la rotazione regolare delle chiavi per prevenire le violazioni.
In entrambi i metodi di crittografia, una corretta gestione delle chiavi è essenziale per proteggere i dati e mantenere l'integrità dei sistemi di crittografia.
La gestione delle chiavi di crittografia è composta da diverse fasi, ognuna delle quali è fondamentale per la sicurezza e l'efficacia dei sistemi di crittografia. Queste fasi costituiscono il ciclo di vita della gestione delle chiavi, che copre l'intero percorso di una chiave crittografica dalla sua creazione alla sua eventuale distruzione.
- Generazione delle chiavi
- Distribuzione delle chiavi
- Conservazione delle chiavi
- Utilizzo delle chiavi
- Rotazione delle chiavi
- Revoca e distruzione delle chiavi
La gestione del ciclo di vita garantisce che le chiavi siano gestite in modo sicuro in ogni fase, con controlli specifici per prevenire accessi non autorizzati e violazioni dei dati.
1. Generazione delle chiavi
La generazione di chiavi implica l'utilizzo di un algoritmo sicuro per creare una chiave crittografica, che è essenzialmente una stringa di bit o numeri casuali o pseudocasuali. Assicurarsi che le chiavi siano casuali e imprevedibili aiuta a mitigare i punti deboli che possono compromettere l'intero processo di crittografia.
I moduli di sicurezza hardware (HSM) e i sistemi di gestione delle chiavi (KMS) possono aiutare a generare le chiavi in un ambiente sicuro. (Per ulteriori informazioni, consulta "Soluzioni e tecnologie comuni per la gestione delle chiavi.")
2. Distribuzione delle chiavi
Dopo la generazione delle chiavi crittografiche, queste vengono distribuite alle entità necessarie. Ad esempio, una chiave simmetrica potrebbe essere creata utilizzando un generatore di numeri casuali sicuro e poi distribuita in modo sicuro tramite un protocollo di scambio di chiavi o un canale precondiviso.
La distribuzione delle chiavi è particolarmente impegnativa per le chiavi simmetriche perché devono rimanere sempre segrete.
I sistemi a chiave asimmetrica, invece, possono mitigare le sfide di sicurezza distribuendo apertamente le chiavi pubbliche e mantenendo sicure quelle private. I metodi di distribuzione sicura possono anche aiutare a garantire la trasmissione sicura delle chiavi, incluso l'utilizzo del protocollo TLS (Transport Security Layer).
3. Conservazione delle chiavi
Una volta che gli utenti hanno le chiavi di crittografia, la loro conservazione sicura è essenziale per proteggerle dagli accessi non autorizzati. Gli HSM sono una scelta comune per archiviare le chiavi, perché offrono un ambiente resistente alle manomissioni e spesso soddisfano standard di sicurezza rigorosi come il FIPS 140-2 (Federal Information Processing Standard), che specifica i requisiti di sicurezza per i moduli crittografici.
L'archiviazione delle chiavi nel software per certi versi è più comoda, ma comporta un rischio di sicurezza maggiore rispetto alle soluzioni di archiviazione basate su hardware come gli HSM.
4. Uso delle chiavi
Le chiavi possono eseguire varie operazioni di crittografia, come la crittografia dei dati, la firma di documenti o l'autenticazione degli utenti. Usarle esclusivamente per lo scopo designato aiuta a mitigare i rischi per la sicurezza. I controlli degli accessi come il controllo degli accessi basato sui ruoli (RBAC) e l'autenticazione a più fattori (MFA) aiutano a garantire che solo le persone o i sistemi autorizzati abbiano accesso a queste chiavi, proteggendone ulteriormente l'utilizzo.
5. Rotazione delle chiavi
La rotazione dei tasti comporta la sostituzione periodica delle vecchie chiavi con chiavi nuove. Una rotazione regolare aiuta riduce il rischio di compromissione delle chiavi e limita i potenziali danni qualora una chiave venisse violata. I sistemi di gestione delle chiavi sono spesso dotati di rotazione automatica delle chiavi per garantire coerenza e sicurezza.
6. Revoca e distruzione delle chiavi
Quando le chiavi di crittografia non sono più necessarie o si sospetta che siano compromesse, la loro revoca ne impedisce ulteriori utilizzi. Distruggerle in modo sicuro elimina anche la possibilità che utenti non autorizzati le recuperino e le utilizzino in modo improprio.
Man mano che la crittografia diventa indispensabile per la cybersecurity, la gestione delle chiavi diventa sempre più importante in tutti i settori.
Alcuni dei casi d'uso più comuni per la gestione delle chiavi includono:
- Gestione delle chiavi cloud
- Protezione dei dati in DevOps
- Sicurezza IoT
- Conformità agli standard normativi
La gestione delle chiavi cloud prevede la gestione delle chiavi di crittografia in ambienti cloud in cui i dati, compresi quelli a riposo, sono spesso distribuiti in più sedi e accessibili da vari servizi, come SQL Database e applicazioni software-as-a-service (SaaS).
I fornitori di servizi cloud offrono spesso servizi di gestione delle chiavi (KMS) per aiutare le organizzazioni a gestire in modo sicuro le proprie chiavi di crittografia nel cloud.
Molte offerte KMS includono anche la crittografia "bring your own key" o "BYOK". Questa opzione flessibile consente alle aziende di mantenere il controllo sulle proprie chiavi anche quando utilizzano servizi cloud di terze parti.
La crittografia BYOK può migliorare la sicurezza dei dati garantendo che le chiavi crittografiche siano gestite secondo le politiche di sicurezza specifiche dell'organizzazione e siano allineate agli standard di settore, come le linee guida del NIST e il FIPS 140-2, indipendentemente dal provider di cloud scelto.
In DevOps, le applicazioni vengono sviluppate, testate e distribuite continuamente, spesso a un ritmo rapido. Questo ciclo di sviluppo veloce può introdurre vulnerabilità di sicurezza e porre sfide per la protezione dei dati.
Gli strumenti di gestione dei segreti sono soluzioni software specializzate progettate per mitigare questi rischi. Conservano, gestiscono e controllano in modo sicuro l'accesso ai dati sensibili, come le password del database, le chiavi API, i token e altre credenziali.
Questi strumenti spesso si integrano con i sistemi di gestione delle chiavi per automatizzare la gestione dei segreti, garantendo che i dati sensibili siano crittografati e protetti con rigorosi controlli di accesso.
L'Internet of Things (IoT) presenta sfide di gestione delle chiavi dovute all'elevato numero di dispositivi e alla loro limitata potenza di calcolo.
Consideriamo i dispositivi IoT in una casa intelligente, per esempio termostati e telecamere di sicurezza. Questi dispositivi scambiano frequentemente dati con altri dispositivi e hub centrali, spesso salvando informazioni sensibili. Se questi dispositivi non generano, archiviano e utilizzano in modo sicuro le chiavi crittografiche, possono diventare vulnerabili agli attacchi.
Una gestione efficace delle chiavi aiuta a garantire che i dispositivi IoT possano autenticarsi, stabilire connessioni sicure e proteggere i dati raccolti.
Standard normativi come il Regolamento generale sulla protezione dei dati (GDPR) e il Payment Card Industry Data Security Standard (PCI DSS) impongono regole severe sulla protezione dei dati, con gravi sanzioni in caso di inosservanza.
Le violazioni del GDPR, per esempio, possono comportare multe fino a 20 milioni di euro o al 4% del fatturato globale annuale di un'azienda, a seconda di quale sia l'importo più alto.
La gestione delle chiavi gioca spesso un ruolo importante in molti degli standard che aiutano le organizzazioni a soddisfare queste normative, inclusi gli apprezzatissimi standard NIST.
Soluzioni e tecnologie comuni di gestione delle chiavi
Diverse soluzioni e tecnologie sono parte integrante dell'implementazione di una gestione efficace delle chiavi. Eccone alcune:
- Moduli di sicurezza hardware (HSM)
- Servizi di gestione delle chiavi (KMS)
- Gestione delle chiavi open source
- Key Management Interoperability Protocol (KMIP)
Alcune soluzioni, come un servizio di gestione delle chiavi (KMS) e strumenti di gestione delle chiavi open source, offrono opzioni flessibili e personalizzabili. Altre sono tecnologie specializzate, come i moduli di sicurezza hardware (HSM), o protocolli, come il protocollo KMIP (Key Management Interoperability Protocol).
Anche se le loro capacità variano, le soluzioni di gestione delle chiavi crittografiche spesso includono funzioni come:
- Una console di gestione centralizzata per la crittografia e le policy e le configurazioni delle chiavi di crittografia.
- Crittografia a livello di file, database e applicazione per i dati on-premise e cloud.
- Controlli di accesso basati su ruoli e gruppi e registrazione di audit per aiutare a rispettare la conformità.
- Processi automatizzati del ciclo di vita delle chiavi.
- Integrazione con le tecnologie più recenti, come l'intelligenza artificiale (AI), per migliorare la gestione delle chiavi utilizzando analytics e automazione.
1. Moduli di sicurezza hardware (HSMs)
Gli HSM sono dispositivi specializzati che forniscono una gestione sicura delle chiavi e operazioni di crittografia. Questi dispositivi generano, archiviano e gestiscono chiavi crittografiche in un ambiente a prova di manomissione, il che li rende ideali per applicazioni ad elevata sicurezza, come transazioni finanziarie, firme digitali e gestione dell'infrastruttura a chiave pubblica (PKI).
I servizi CloudHSM possono estendere queste funzionalità al cloud, offrendo lo stesso livello di sicurezza per gli ambienti basati su cloud. Le organizzazioni che devono soddisfare severi requisiti di conformità, come PCI DSS o GDPR, possono scegliere gli HSM sapendo che le chiavi non lasceranno mai l'ambiente sicuro.
2. Servizi di gestione delle chiavi (KMS)
I servizi di gestione delle chiavi sono soluzioni basate su cloud offerte da fornitori terzi. Questi servizi gestiscono il ciclo di vita delle chiavi crittografiche, tra cui la generazione, l'archiviazione, la rotazione e la distruzione. Funzioni come BYOK consentono alle organizzazioni di mantenere il controllo sulle chiavi crittografiche anche quando utilizzano servizi cloud di terze parti.
I servizi di gestione delle chiavi sono spesso ideali per le aziende che desiderano scalare dinamicamente le proprie esigenze di gestione senza investire troppo in infrastrutture locali. Offrono facilità d'uso, scalabilità e integrazione con vari servizi cloud.
3. Gestione delle chiavi open source
Le soluzioni open source per la gestione delle chiavi possono fornire opzioni di gestione flessibili e trasparenti. Queste soluzioni consentono alle organizzazioni di personalizzare le pratiche di gestione delle chiavi e di integrarle con l'infrastruttura esistente, sia on-premise che nel cloud.
Gli strumenti open source possono essere utili alle organizzazioni che richiedono un'elevata flessibilità, che vogliono evitare il blocco da fornitore o che hanno bisogno di garantire pratiche di sicurezza trasparenti.
4. Key Management Interoperability Protocol (KMIP)
KMIP non è una soluzione di gestione delle chiavi, ma un protocollo standardizzato progettato per facilitare l'interoperabilità dei sistemi di gestione delle chiavi tra diverse piattaforme e fornitori.
In sostanza, il protocollo KMIP fornisce un linguaggio comune per vari sistemi di gestione delle chiavi che permette loro comunicare e operare insieme senza soluzione di continuità.
Questa standardizzazione semplifica la gestione delle chiavi e supporta un livello di sicurezza coerente fondamentale per le organizzazioni che utilizzano più soluzioni di gestione delle chiavi, che lavorano con i dati in sistemi diversi o che hanno bisogno di cambiare fornitore.
Soluzioni correlate
Un software di gestione delle chiavi centralizzato per la gestione delle chiavi crittografiche sensibili.
Migliora la resilienza operativa con un data storage autonomo.
Monitora e controlla le chiavi di crittografia durante il loro intero ciclo di vita, da un'unica posizione.
Risorse
La sicurezza dei dati è la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l’intero ciclo di vita.
Migliora il tuo business imparando dalle sfide e dai successi dei team di sicurezza di tutto il mondo.
Una guida per i leader dei dati mirata a creare un’organizzazione basata sui dati per ottenere vantaggi a livello aziendale.
Note a piè di pagina
Tutti i link sono esterni a ibm.com.
1 The Comedy of Errors That Let China-Backed Hackers Steal Microsoft’s Signing Key, Wired, 6 settembre 2023.