Det finns problem med de utgivningsprotokoll som används i dag för att distribuera betrodda identiteter till saker. Det senast standardiserade utgivningsprotokollet, Enrollment over Secure Transport (EST), löser de här problemen. ”Vi är glada över att kunna meddela att vi är en av de första i världen med att lansera serverstöd för EST i en kommersiellt tillgänglig mjukvara för certifikatutfärdare (certificate authorities, CAs)”, säger Martin Furuhed på identitets- och säkerhetsföretaget Nexus Group.
Saker och mjukvara behöver pålitliga identiteter för att kunna kommunicera säkert och undvika kapning. Identiteternas tillförlitlighet säkerställs genom digitala certifikat, som erhålls antingen manuellt eller via onlinetjänster som använder sig av olika utgivningsprotokoll för certifikat.
”EST erbjuder en smidigare process och är lättare att hantera än de utgivningsprotokoll för certifikat som används i dag. EST är också säkrare och har bättre funktionalitet”, säger Martin Furuhed, produktägare för Nexus Certificate Manager, en av de första kommersiella CA-mjukvarorna som stödjer EST.
Det mycket spridda utgivningsprotokollet Simple Certificate Enrollment Protocol (SCEP) har inget serverstöd för generering och distribution av nycklar, och dess funktionalitet för att förnya klient- och CA-certifikat är bristfällig.
”Ett annat problem med SCEP är att det inte är standardiserat, så det finns olika implementationer som kan ha svårt att fungera tillsammans på ett optimalt sätt. Alla de här problemen har lösts med EST”, säger Martin Furuhed.
Utgivningsprotokollen Certificate Management Protocol (CMP) och Certificate Management over CMS (CMC) är standardiserade och har god funktionalitet – men de är mer komplicerade att implementera i klienter jämfört med EST och SCEP och används inte så mycket för enklare typer av enheter.
”En annan viktig fördel med EST är att det möjliggör användning av Elliptic Curve Cryptography (ECC), som är ett mer lättviktigt kryptosystem än RSA, vilket gör det mer lämpligt för mindre kraftfulla enheter.”
EST stödjer också förnyelse av klientcertifikat samt uppdatering av CA-certifikat, och det här kommer att bli allt viktigare när säkerhetskraven kring sakernas internet (internet of things, IoT) växer, enligt Martin Furuhed.
”Det faktum att EST påskyndar procedurerna och minskar behovet av manuell hantering gör det möjligt att hantera mycket komplexa IoT-miljöer. Och i mindre komplexa miljöer minskar automatisering kostnaderna och förbättrar säkerheten. Vi tror att EST kommer att bli det mest använda protokollet för att erhålla och förnya certifikat.”
Men att få fart på användandet av ett nytt protokoll är något av en utmaning. Om det är brist på serverstöd drar sig tillverkare för att implementera klientstöd – och om få klienter stödjer protokollet är CA-mjukvaruleverantörer tveksamma till att investera i utvecklingen av serverstöd.
EST standardiserades 2013 som RFC 7030, med Cisco som den största bidragsgivaren, och Cisco har byggt en referensimplementering för teständamål.
”Nexus är ett av de första företagen med EST-stöd i en kommersiell produkt. För oss är det viktigt att alltid ligga i framkant”, säger Martin Furuhed.
Nexus samarbetar också med den svenska icke-vinstdrivande forskningsorganisationen RISE SICS med nya, superlätta och helautomatiska protokoll, som kommer användas för att ge mycket resursbegränsade saker pålitliga identiteter.
”EST är perfekt för saker som bankomater, övervakningskameror, prylar för smarta hem, routrar och servrar. Nu när det finns kommersiella EST-servrar tror vi att antalet tillverkare som väljer att bygga klientstöd för EST kommer att växa snabbt. Det är också möjligt att införliva EST-stöd i befintliga enheter med en firmwareuppgradering”, säger Martin Furuhed.
Det är inte möjligt att automatiskt spärra certifikat via EST. Det här måste ske via CA-mjukvaran, och för att göra det så enkelt och rationellt som möjligt släpper Nexus ett REST-API för Certificate Manager.
”Med REST-API:t kan kunder och utvecklare enklare bygga anpassningar för registrering av enheter och spärrning av certifikat. REST-API:t är ett av flera alternativ administratörer har för att använda sig av tjänster i Certificate Manager”, säger Martin Furuhed.
https://vimeo.com/203992313
Läs blogginlägget: Nexus satsar stort på sin 20-årsfirande PKI-plattform Certificate Manager