PKI vs. FIDO
Hvordfor FIDO og PKI er en sikker løsning for organisasjonen – Og hvem bør man velge?
PKI (Public Key Infrastructure):
- Bruker digitale sertifikater for distribusjon av offentlig nøkkel
- Sertifikater, signert av betrodde myndigheter (CA), sikrer ekthet
- Etablerer sikker bakgrunnsautentisering gjennom kryptografiske forbindelser
- Innebygd støtte fra operativsystemer, nettlesere og applikasjoner effektiviserer integrasjonen
FIDO (Fast Identity Online):
- Genererer distinkte nøkkelpar for hvert nettsted (Relying Party)
- Nettsteder beholder offentlige nøkler, noe som reduserer risikoen for angrep på tvers av nettsteder
- Private nøkler forblir trygt lagret på individuelle enheter
- Nylig utvikling tillater lagring av FIDO-nøkler på Android- og iOS-enheter
- Inneholder biometrisk autentisering for økt sikkerhet og brukerenkelhet
I PKI er digitale sertifikater ryggraden for distribusjon av offentlige nøkler, signert av pålitelige sertifikatmyndigheter (CA-er) for å sikre deres autentisitet.
Dette systemet gjør det mulig for brukere å kommunisere sikkert ved å kryptere data med mottakerens offentlige nøkkel, som kun kan dekrypteres ved hjelp av mottakerens tilhørende private nøkkel.
PKI validerer sømløst brukeridentiteter i bakgrunnen når de får tilgang til sensitiv informasjon på et nettverk, takket være omfattende innfødt støtte fra IT-økosystemaktører.
FIDO-autentisering fungerer annerledes. I stedet for å stole på sertifikater, genererer FIDO unike nøkkelpar for hvert nettsted, med nettstedet som lagrer de offentlige nøklene.
Denne tilnærmingen, kjent som "scoped"-nøkler, minimerer virkningen av angrep på ett nettsted som påvirker andre.
FIDO-nøkler, trygt lagret på individuelle enheter, ble tradisjonelt plassert i dedikerte tokens eller plastkort, men kan nå også lagres i Android- og iOS-enheter.
Disse adgangsnøklene reduserer avhengigheten av passord ytterligere og kan forsterkes med biometrisk autentisering som fingeravtrykk eller ansiktsskanning for en brukervennlig opplevelse.
Hva har PKI og FIDO til felles?
Siden PKI og FIDO begge er avhengige av asymmetrisk nøkkelkryptografi – ansett som en av de mest sikre og pålitelige formene for kryptering – gir begge samme sikkerhetsnivå.
Begge eliminerer behovet for passord og tilbyr en sømløs opplevelse for sluttbrukere.
Når de kryptografiske nøklene genereres og lagres i separate smartkort eller token, er både PKI og FIDO egnet for å oppnå det høyeste Authenticator Assurance Level 3 (AAL3) definert av NIST SP 800-63
Digital Identity Guidelines og autentisering Level of Assurance 4 (LoA4) definert i ISO/IEC 29115- standarden som muliggjør eIDAS-identitetssikring HIGH.
Hva er forskjellen mellom PKI og FIDO?
Det er flere forskjeller mellom PKI og FIDO som går utover hvordan offentlige nøkler distribueres.
Tilpasning
FIDO er en åpen standard som nyter godt av økende støtte fra store teknologiprodusenter. Det er enkelt for IT avdelingen i en organisasjon å implementere FIDO.
Organisasjoner kan velge hvordan og hvor FIDO-nøkler skal distribueres – de kan integreres i adgangskort og brukernes mobiltelefoner, som sikkerhetsnøkler og smartkort,
eller som integrerte plattformautentiseringer når de er tilgjengelige. Selv om FIDO opprinnelig ble designet for autentisering på det åpne nettet der det drar nytte av bred distribusjon,
er det også tilgjengelig på store plattformer for innebygd app-autentisering.
PKI er også en åpen standard, og den har vært ryggraden i nettverkssikkerhet siden slutten av 1970-tallet.
Det krever mer nøye planlegging, distribusjon og administrasjon, men det tilbyr også muligheter utover autentisering og kan brukes til datakryptering og digitale signaturer.
Administrere
FIDO opprettholder individuelle autentiseringsnøkler for hvert tjeneste/brukerpar. Bruken av asymmetrisk kryptografi beskytter dem mot serverbrudd, og bruk av scoped-nøkler betyr at personvernet beskyttes ved å forhindre kobling av brukere på tvers av tjenester. Men det betyr også at det ikke er noe unikt, sentralisert sted for IT-team å se eller administrere kontoer.
PKI, på den annen side, er sentralt administrert av design, og de beste løsningene tilbyr robuste, on-demand revisjons- og rapporteringsmekanismer.
IT-avdelingen kan overvåke hele sertifikatlivssyklusadministrasjonsprosessen fra utstedelse til tilbakekalling av sertifikatet via en sentralisert administrasjonskonsoll.
Trust
PKI er avhengig av den hierarkiske tillitsmodellen gjennom en klarert tredjepart – en sertifiseringsmyndighet (CA) for å registrere og utstede digitale sertifikater, og på organisasjoner som megler denne tilliten mellom brukere og systemer. Imidlertid er PKI-sertifikater systemagnostiske, og det er flere implementeringer tilgjengelig for å støtte dem, noe som betyr at brukeropplevelsen og mulighetene kan variere betydelig mellom applikasjoner.
FIDO-autentisering er desentralisert, og etablerer tillit individuelt mellom systemene og deres brukere.
FIDO-nøkler kan derfor kun brukes innenfor sikkerhetsdomenet der de opprinnelig ble registrert, men brukeropplevelsen er svært konsistent på grunn av det tette samarbeidet mellom aktørene.
PKI vs. FIDO: Hva er best for dine behov?
Valget mellom PKI og FIDO bestemmes ha som er organisasjons spesifikke behov – og hvilken infrastruktur som allerede er på plass.
Vurder å bruke PKI for passordløs autentisering hvis du:
-Bruk allerede PKI-sertifikater for datakryptering, digitale signaturer eller serverautentisering
-Trenger strengere identitetsadministrasjonsprotokoller eller ønsker å bruke føderasjon for å akseptere identiteter utenfor ditt eget sikkerhetsdomene
-Trenger en prosess for sentral administrasjon og revisjon av digitale sertifikater
Vurder å bruke FIDO for passordløs autentisering hvis du:
-Ser etter en raskere implementeringstidslinje
-Ønsker å effektivisere integrasjon med nett- og mobilapper