我在安全领域没有任何经验,我需要你的帮助。我想确保以下建议是否适用且安全,如果不是,请给我您的解决问题的建议。
某公司想建立一个网站来管理和监控他们的员工,现在每个员工都有一个唯一的昵称,但是,官方希望使用 S/MIME 协议,以便让员工之间可以传输敏感消息。这些员工在管理公钥和证书方面有很大的问题,我可以使用Keybase.io(它的开源)并改进它来上传员工的证书和公钥吗?
你认为它会安全吗,当 john 想向 Sara 发送消息时,他会输入她的昵称,系统会从服务器请求她的公钥并验证她的证书,如果不是这样,这种方式是否安全?我该如何改进它?
keybase.io仅允许社交媒体网站的用户访问彼此的公钥(如果目标社交媒体网站存在公钥)。
它与 GPG 的“密钥服务器”功能没有什么不同,它为用户提供了一种获取我的公钥的方法。
您提出的问题归结为PKI(公钥基础设施)。
有许多解决方案可用作交钥匙选项;然而,语气和问题的方向表明可能需要定制一次性解决方案(虽然我不一定推荐它,不是因为你不能,而是因为它是并且可能是一场法律噩梦)你应该尽职调查.
首先复习高级功能的实现。接下来研究该领域专家提供的细节。
使用现有解决方案的一件事是大部分繁重的工作已经到位。然而,大多数使用集中式 PKI 管理方法的旧 PKI 结构已经让位于 GPG 采用的分布式方法,该方法利用“信任圈”与传统的托管类型管理解决方案相比。
我将专注于我认为您问题的核心:
一家公司想要建立一个网站来管理和监控他们的员工
这里有两个部分:管理(允许用户找到彼此的公钥,并且可能您还希望能够控制谁是该网络的一部分)和监控(允许公司解密任何受保护的数据,例如在某人退出后)。
正如@jas- 所说,您当然需要某种公钥基础设施(PKI)来做到这一点。我与@jas- 的不同之处在于我不认为像 PGP 这样的分布式“信任圈”是答案,因为公司本质上是一个集中的权威;如果会计部门的 Janice决定将她的狗添加到您的公司电子邮件网络中,那么在 PGP 模型中您无法阻止它。
处理这种情况的正常方法是购买商业 PKI 软件,该软件为您的公司设置私有根 CA 并插入您的公司电子邮件系统(如 Microsoft Exchange),以提供公钥查找和私有解密密钥备份(又名托管)全部用户。提供此功能的 PKI 公司还将提供一个 Outlook 插件,该插件将签名和加密按钮添加到用户的撰写窗口。
