去年12月,美国加强国家网络安全委员会(U.S. Commission on Enhancing National Cybersecurity Commission)为即将上任的总统政府制定了“一个雄心勃勃但重要的目标”:“到2021年,不再出现以身份(尤其是密码使用)为主要攻击媒介的重大违规行为。[1]
根据这一努力,委员会建议要求所有机构在所有政府系统中使用强认证。 此外,他们指出,用于满足这一要求的工具不应局限于政府基于PKI的个人身份验证(PIV)凭证。 相反,委员会建议认证要求“应基于性能(即强),因此它们包括其他(即非PIV)形式的认证。
FIDO联盟很高兴发布一份新的白皮书,以支持委员会的建议。 题为 “ 利用 FIDO 标准在美国政府机构中扩展 PKI 安全模型 ,” 本文讨论了如何使用 FIDO 解决方案来增强政府环境中的网络安全,并作为传统 PKI 的补充。 该文件由FIDO 的公共政策和隐私工作组 (P3WG)编写。
正如本文所详述的,包含 FIDO 的方法的好处是提供更易于使用且更易于与旧应用程序集成的其他身份验证解决方案。 但是,这些解决方案仍保留了与非对称公钥加密相关的核心安全性
- 例如,正如派生 PIV 凭证 (DPC) 程序允许通过证明拥有 PIV 卡来颁发单独的 PKI 证书一样,NIST 800-157 中指定的 DPC 工作流程 可用于颁发FIDO公钥/私钥对,链接到与PIV卡关联的同一身份记录。 主要区别在于,密钥对不是“完整”公钥基础结构的一部分,而是“轻量级”密钥对的一部分。
- 此外,对于政府生态系统中不需要获得 PIV 的人,FIDO 提供了一种发行和维护成本更低且易于使用的替代方案。 这确保了个人至少具有某种基于公钥加密的强身份验证。
新论文明确指出,PIV仍然是美国政府认证的黄金标准,并将继续是联邦企业的核心组成部分。 但是,随着各机构努力实现委员会的建议,使用FIDO增强PIV解决方案的方法可以改善整个联邦企业的网络卫生状况,并帮助美国更有效地保护数字资产。
到 2021 年消除基于密码的漏洞是一个雄心勃勃的目标,但这并非不可能。 凭借 300 多种 FIDO 认证产品,美国和世界其他国家政府可以依靠不断发展的 FIDO® 解决方案生态系统来提供更简单、更强大的身份验证。
[1] 参见加强国家网络安全委员会关于保护和发展数字经济的报告,可在 https://www.nist.gov/sites/default/files/documents/2016/12/02/cybersecurity-commission-report-final-post.pdf