in Access control

PKI öppnar fler dörrar

PKI förknippades tidigare med logisk access och digital signering av dokument, men nu används teknologin även för att kontrollera fysisk access.

PKI (Public Key Infrastructure) har snabbt blivit en av de viktigaste drivkrafterna inom fysisk access, mycket tack vare FIPS 201. FIPS 201 är den amerikanska regeringens standarder för fysisk access, och där rekommenderas PKI. Sedan 2005 har dessa standarder fungerat enbart som rekommendationer, men de förväntas bli obligatoriska när FIPS 201-2 kommer ut senare i år.

FIPS reglerar inte bara vilken information som ska lagras på ett ID-kort, det anger även bästa praxis för att avgöra om ID-kortet är äkta och innehas av rätt person, enligt Kevin Graebel, produktchef för ID-lösningar på HID Global, en ledande tillverkare av fysiska och logiska accesslösningar.
– Kortet får ett digitalt certifikat med användarens personuppgifter och åtkomstnivå. I PKI-processen skickas sedan denna information via en elektronisk ”brygga” till en certifieringsmyndighet, för att säkerställa att kortet inte har spärrats eller manipulerats.

PKI går ut på att man använder två nycklar som är matematiskt kopplade till varandra, en allmän och en privat. Kopplingen garanterar att informationen som hanteras av den ena nyckeln endast kan avkodas eller godkännas med hjälp av den andra nyckeln.

– Den största fördelen med ett PKI-baserat system är att det inte är beroende av en delad hemlig nyckel, utan i stället använder ett asymmetriskt nyckelpar, säger Graebel. I traditionella passersystem använder läsaren och kortet en gemensam, symmetrisk nyckel för att verifiera varandra. Det kräver en hel del koordination mellan korten och läsarna, särskilt om korten ska användas på mer än ett ställe. I ett PKI-system är det bara kortets allmänna nyckel som delas, och den kan enkelt spärras eller ändras om det sker ett intrång. Den privata nyckeln är säkert lagrad inuti kortet.

Den allt större spridningen av PKI har bidragit till en ökad effektivitet och kompatibilitet, vilket gör teknologin till ett självklart val för både logisk och fysisk access.
– Ett företag kan använda ett och samma PKI-kort, till exempel ett PIV-kort (Personal Identity Verification) för fysisk access till en byggnad och vissa rum samt för logisk access till arbetsstationer, servrar, VPN:er och så vidare, säger Dave Coombs, chef för PKI-standarder på Carillon Information Security, ett kanadensiskt konsultföretag som arbetar med identitetshantering inom flygindustrin. Det gör åtkomstkontrollen mindre komplex. Man behöver inte längre tilldela eller återkalla en persons åtkomsträttigheter manuellt i flera olika system, utan det räcker med att utfärda eller spärra ett enda kort.

Dessutom har kompatibiliteten blivit mycket bättre på senare tid. Numera kan ett företag som använder PIV-kort identifiera en besökare med ett PIV-kort från ett helt annat företag.

Men det finns också nackdelar med PKI, som exempelvis kostnaden och hastigheten.

– Företagen måste skapa eller ha tillgång till en certifieringsmyndighet för att kunna hantera utfärdande och verifiering av certifikat, säger Graebel. Detta kan medföra dyra omdragningar och uppgraderingar av alla läsare.

Ett annat problem inom fysisk access är hastigheten. För största möjliga hållbarhet och minsta möjliga sabotage är det bästa alternativet att använda beröringsfri kommunikation mellan kortet och läsaren, vilket innebär att kommunikationen kan ta ända upp till 2 sekunder. Det kanske inte låter så mycket, men om användarna är vana vid snabbare teknologier som Prox eller iCLASS kan det skapa problem.

– Ibland klagar folk på att PKI tar för lång tid, säger Coombs. Detta problem kan åtgärdas genom att man cachar återkallningsinformation eller OCSP-svar (Online Certificate Status Protocol). Ett annat sätt är att varje morgon göra en förvalidering av alla kort som användes under föregående dag. Coombs tror att allt fler offentliga och privata företag kommer att börja använda teknologin under de närmaste åren, särskilt med tanke på vad som händer i USA för närvarande.

Många länder har också utvecklat sina egna PKI-metoder.

Den franska regeringen utfärdar PKI-kort till sina medborgare varje år för att registrera deras inkomstskatt, och i riktlinjerna RGS (Référentiel Général de Sécurité) finns rekommendationer för att säkra storskaliga IT-system med hjälp av PKI.
– I Belgien har man gjort något liknande med de så kallade eID-korten, säger Coombs. Det är PKI-kompatibla smarta kort som utfärdas till belgiska medborgare för att de ska få tillgång till regeringens system och program på Internet.

Den tyska regeringen har som första land implementerat EU-direktivet om ”kvalificerade signaturer” med certifikat, den enda typ av digitala signaturer som har laga kraft inom EU.

Det bör tilläggas att dessa europeiska initiativ bara gäller logisk access till informationssystem och att PKI fortfarande inte har slagit igenom på allvar inom fysisk access. I nuläget är det väldigt få offentliga företag som väljer PKI till fysisk access, eftersom teknologin är ny och ganska komlicerad, enligt Graebel.

– Jag tror att det kommer att bli vanligare när FIPS 201-2 implementeras och fler produkter som stödjer teknologin lanseras på marknaden.

Related images

PKI_shutterstock_11720422_524x291

Comment

You must be logged in to post a comment.