PKI-älykorttien paluu: Moderni tunnistautuminen palaa juurilleen katsoakseen eteenpäin

image-951

ulkisen avaimen infrastruktuuria (PKI) hyödyntäviä älykortteja on käytetty jo 1990-luvulta lähtien. Ne suojaavat käyttäjän yksityistä avainta ja suorittavat kryptografiset toiminnot tietoturvallisesti suoraan kortilla. Mutta miksi organisaatioiden kannattaisi harkita PKI-älykortteja juuri nyt, kun tarjolla on niin monia muitakin nykyaikaisia tunnistautumismenetelmiä?

Mitä PKI tarkoittaa?

PKI (Public Key Infrastructure) eli julkisen avaimen infrastruktuuri on teknologioiden, käytäntöjen ja menetelmien kokonaisuus, jota käytetään digitaalisten avainten ja varmenteiden turvalliseen hallintaan. Se mahdollistaa digitaalisten identiteettien luomisen, jakelun, todentamisen ja kumoamisen.

PKI on välttämätön tietoturvallisen viestinnän varmistamiseksi digitaalisten allekirjoitusten ja salauksen avulla niin käyttäjien, laitteiden kuin palveluidenkin välillä. Se auttaa luomaan luottamusta, suojaamaan arkaluonteista tietoa, hallitsemaan pääsyoikeuksia ja täyttämään sääntelyn asettamat vaatimukset. Tämä tekee siitä turvallisten digitaalisten ekosysteemien – kuten verkkokaupan, pilvipalveluiden ja esineiden internetin (IoT) – perustavanlaatuisen kulmakiven.

Infografiikka PKI-infrastruktuurin toiminnasta: esittää luottamusketjun juurivarmenneviranomaisesta välivarmenteeseen sekä varmenteen, yksityisen avaimen ja julkisen avaimen roolit sähköisessä allekirjoituksessa ja salauksessa.

PKI-älykorttien alkuaikojen haasteet

Potentiaalistaan huolimatta PKI-älykortit eivät koskaan saavuttaneet suurta suosiota. Älykorttikirjautumisen käyttöönotto vaati useita eri komponentteja: varmennepalvelun (CA), kortinlukijat, väliohjelmistot (middleware) sekä prosessit korttien personointia ja jakelua varten.

Monet toimittajat epäonnistuivat kokonaisvaltaisten ratkaisujen tarjoamisessa. Väliohjelmistot olivat epävakaita, varmennepalvelut kalliita ja monimutkaisia, ja loppukäyttäjäkokemus oli heikko. Useimmille organisaatioille – erityisesti niille, joilla ei ollut äärimmäisiä turvavaatimuksia – perinteinen käyttäjätunnus ja salasana tuntui ”riittävän hyvältä”.

Kasvavat uhat ja vahvan tunnistautumisen tarve

Nykyään tilanne on toinen. Sensitiivinen data siirtyy yhä enemmän pilviympäristöihin, mikä tekee vahvasta tunnistautumisesta kriittistä. Pelkkä käyttäjätunnus ja salasana eivät ole enää vaihtoehto.

Ilman monivaiheista tunnistautumista (MFA) yksittäinen onnistunut tietojenkalastelu voi vaarantaa kokonaisia järjestelmiä, kuten Office 365:n tai Teamsin. Vaikka jotkin kalasteluyritykset ovat ilmeisiä, toiset ovat erittäin kohdennettuja ja uskottavia. Työntekijältä vaaditaan vain yksi kiireinen hetki langeta ansaan.

Miksi älykortit suojaavat avaimia parhaiten?

Tunnistautumissovellukset, kuten Microsoft Authenticator tai Google Authenticator, tarjoavat parempaa turvaa kuin pelkät salasanat. Jos organisaatiosi kuitenkin vaatii korkean luottamustason tunnistautumista, älykorteilla on useita etuja.

Älypuhelimet, joissa on laitteistopohjainen turvaelementti (Secure Element), ovat vaikeasti murrettavissa. Älykortit tarjoavat silti yleensä korkeamman tason suojan yksityisille avaimille. Yksityisten avaimien varastaminen älykortilta on erittäin vaikeaa jopa edistyneimmillä menetelmillä.

Hallitut tietoturvastandardit: miksi laitevalinnalla on väliä?

Älypuhelinmallit vaihtuvat tiuhaan. On vaikea kontrolloida, millaisia turvaelementtejä henkilöstö käyttää – jos mitään. Älykortit tuovat tähän jatkuvuutta: voit valita tietyn korttimallin ja pysyä siinä laitteesta ja vuodesta toiseen.

Älykorttien mukana tulee kattava dokumentaatio, standardit (esim. ISO 7816-X, PIV) ja tietoturvasertifikaatit, kuten Common Criteria ja FIPS. Et voi aina tietää, mikä TPM-siru tai turvaelementti älypuhelimessasi tai kannettavassasi on, mutta älykortin kohdalla tiedät tarkalleen.

Entä Windows Hello for Business?

Windows Hello for Business on käytännössä eräänlainen virtuaalinen älykortti – se tallentaa avainparit laitteen TPM-turvasirulle. Vaikka se on vaivaton ja kohtalaisen turvallinen, siinä on varjopuoli: jos joku pääsee käsiksi tietokoneeseesi ja tietää PIN-koodisi, hän voi kirjautua sisään.

Älykortit tarjoavat fyysisen eron laitteen ja tunnisteen välille. Jos korttisi on lompakossasi eikä kytkettynä koneeseen, hyökkääjä ei voi kirjautua sisään, vaikka tietäisi PIN-koodisi.

Nykyaikainen älykortti: yllättävän sujuva käyttökokemus

Aiemmin käyttäjät valittivat älykorttikirjautumisen hitautta ja epävakautta. Ajat ovat kuitenkin muuttuneet. Verrattuna MFA-sovelluksiin älykortti voi tarjota jopa sujuvamman kokemuksen:

Kirjautuminen tunnuksella, salasanalla ja sovelluksella:

  1. Syötä käyttäjätunnus ja salasana.
  2. Ota puhelin esiin.
  3. Syötä PIN-koodi puhelimeen.
  4. Avaa sovellus (saattaa vaatia toisen PIN-koodin).
  5. Syötä koodi näytöltä.

Kirjautuminen älykortilla:

  1. Laita kortti lukijaan.
  2. Syötä PIN-koodi. Valmis!

Kun tunnistautuminen on kerran tehty, PIN-koodia ei tarvitse syöttää jatkuvasti uudelleen. Älykortit yhtenäistävät tunnistautumisen Windows-kirjautumiseen, VPN-yhteyksiin ja pilvipalveluihin tarjoten aidon, sisäänrakennetun kaksivaiheisen tunnistautumisen mahdollisimman vähällä vaivalla.

Älykorttien käyttöönotto: helpompaa kuin koskaan

Huolestuttaako monimutkaisuus? Se ei ole enää suuri este:

  • Varmennepalvelu: Sinulla saattaa jo olla sellainen, sillä monet organisaatiot käyttävät Microsoft Certificate Services -palvelua. Älykorttien varmennepohjien lisääminen on helppoa ja hyvin dokumentoitua.
  • Väliohjelmistot: Useimmat ominaisuudet on nykyään leivottu suoraan käyttöjärjestelmiin. Riittää, kun asennat minidriver-ajurin tai käytät PIV-yhteensopivia kortteja. Windowsissa on sisäänrakennettu PIV-ajuri.
  • Käyttöjärjestelmät: Windowsissa käyttöliittymät ovat valmiina. Myös macOS:n ja Linuxin kohdalla käyttöönotto on suoraviivaista, ja OpenSC-työkalut ovat niissä erinomainen valinta.
  • Hallintatyökalut: Pienille ja keskisuurille organisaatioille MyEID Minidriver Utility ja Windows MMC riittävät korttien personointiin. Suurissa ympäristöissä Aventra APM:n kaltaiset työkalut integroituvat suoraan HR- ja identiteetinhallintajärjestelmiin. Avoimien standardien ansiosta monet työkalut ovat toimittajariippumattomia.

Yhteenveto: turvallinen ja skaalautuva vaihtoehto MFA-sovelluksille

Samalla kun hyökkääjät kehittävät keinoja ohittaa MFA-suojauksia ja tekevät väliintulohyökkäyksiä (AitM), PKI-älykortit ovat moderni ja vankka vaihtoehto organisaatioille, jotka tarvitsevat sovelluspohjaista tunnistautumista vahvempaa suojaa.

Ne tarjoavat:

  • Laitteistopohjaisen suojan yksityisille avaimille.
  • Yhtenäisen 2FA-kirjautumisen koko ympäristöön – samalla menetelmällä kirjaudutaan niin työasemalle kuin pilvipalveluihin (esim. Entra ID).
  • Salaus- ja digitaalisen allekirjoituksen toiminnot.
  • Mahdollisuuden yhdistää kuvallinen henkilökortti ja kulunvalvonta (esim. MIFARE DESFire) samaan älykorttiin.
  • Helpon integraation nykyaikaisiin käyttöjärjestelmiin ja yritystyökaluihin.

Jos tietoturvalla on merkitystä, on aika antaa PKI-älykorteille uusi mahdollisuus.

Aventra Oy tarjoaa PKI-älykortteja, jotka täyttävät tiukimmatkin turvavaatimukset. Olitpa pieni organisaatio tai vaativien vaatimustenmukaisuusstandardien alainen suuryritys, tarjoamme skaalautuvat ratkaisut, jotka perustuvat luotettavaan kryptografiseen laitteistoon.

Get in touch for more information or a quote

Kenttä on validointitarkoituksiin ja tulee jättää koskemattomaksi.
Name(Pakollinen)