O Fred Piper, Διευθυντής του Royal Holloway Information Security Group και ειδήμων σε θέματα κρυπτογραφίας, υπογραμμίζει την κρισιμότητα της σωστής διαχείρισης της κρυπτογραφίας και των κλειδιών αυτής.
NetWeek: Ποιοι τομείς της κρυπτογραφίας θα πρέπει να απασχολούν τον τυπικό CIO;
Fred Piper: Το κεντρικότερο θέμα σε όλες τις εφαρμογές της κρυπτογράφησης είναι αυτό της διαχείρισης των κλειδιών (Key Management). Αν ο CIO χάσει τα κλειδιά, τότε χάνεται και όλη η ασφάλεια που παρέχει η κρυπτογράφηση. Οσο δυνατός κι αν είναι ένας αλγόριθμος, αν δε γίνεται σωστή διαχείριση των κλειδιών, τότε αναιρείται η ασφάλεια στο σύνολό της. Σε ένα γενικότερο πλαίσιο, η πρόκληση για κάθε CIO είναι το να αποφασίσει ποια πληροφορία επιθυμεί να προστατεύσει, να εκτιμήσει το είδος της προστασίας που χρειάζεται και να διασφαλίσει ότι η προστασία παρέχεται σωστά και ολοκληρωμένα.
NetWeek: Σε τι βαθμό μπορεί να αυτοματοποιηθεί το Key Management, στο πλαίσιο της εταιρικής χρήσης;
Fred Piper: Σε αρκετά μεγάλο βαθμό. Πολλές από τις έτοιμες λύσεις περιλαμβάνουν και τη λειτουργικότητα της διαχείρισης των κλειδιών. Στην πραγματικότητα, δεν θα πρέπει να μας απασχολεί τόσο η δυνατότητα αυτοματοποίησης, όσο η διασφάλιση του ότι είμαστε ευαισθητοποιημένοι και αποδίδουμε στο κρίσιμο αυτό θέμα τη δέουσα προσοχή.
NetWeek: Υπάρχει κάποιο πλεονέκτημα για τους χρήστες που δεν θα επιλέξουν την «εύκολη» λύση της αυτοματοποίησης;
Fred Piper: Εξαρτάται από τα ιδιαίτερα χαρακτηριστικά του προϊόντος που έχουν επιλέξει. Σε κάθε περίπτωση αποτελεί, βέβαια, πλεονέκτημα το να κατανοεί κανείς τον τρόπο με τον οποίο γίνεται η διαχείριση των κλειδιών.
NetWeek: Πόσο περίπλοκο είναι το θέμα της διαχείρισης των κλειδιών;
Fred Piper: Δεν θα πρέπει να είναι κάτι το περίπλοκο. Εάν κανείς διαθέτει το πακέτο λογισμικού που δημιουργεί δημόσια κλειδιά, τότε θα έχει εγκαταστήσει και τις Αρχές Πιστοποίησης (Certification Authorities, CA) που εκδίδουν τα πιστοποιητικά. Από την άλλη, αν κάποιος δεν καταλαβαίνει το θέμα της διαχείρισης, τότε είναι προτιμότερο να επιλέξει τη λύση εκείνη που περιλαμβάνει την αυτοματοποιημένη διαχείριση των κλειδιών.
NetWeek: Ποιος ο ρυθμός των εξελίξεων στον τομέα της κρυπτογραφίας;
Fred Piper: Η κρυπτογραφία δεν αποτελεί τομέα στον οποίο έχουν σημειωθεί σημαντικές εξελίξεις τελευταία. Εξετάζουμε διαρκώς νέους αλγόριθμους και τεχνικές για τη δημιουργία κλειδιών. Συνολικά, ωστόσο, πέρα από κάποια πρωτόκολλα στο Internet, δεν θα έλεγα ότι υπάρχουν ιδιαίτερες εξελίξεις στην κρυπτογραφία.
NetWeek: Η ασφάλεια της Πληροφορικής δεν μπορεί ποτέ να είναι απόλυτη. Η κρυπτογραφία έχει καλύτερες, ή χειρότερες, προοπτικές;
Fred Piper: Κάθε λογάριθμος κρυπτογράφησης έχει συγκεκριμένο χρόνο ζωής. Το χαρακτηριστικό αυτό ανάγει το κόστος σε κεντρικό παράγοντα προβληματισμού. Οταν αγοράζετε μια λύση, θα πρέπει να έχετε συναίσθηση του ότι ο αλγόριθμος δε θα ζήσει για πάντα και να προσαρμόζετε κατάλληλα την υποδομή και τα όποια λειτουργικά ζητήματα. Αλλωστε, κανείς δεν επαφίεται μόνο στην κρυπτογράφηση, αλλά στο σύνολο της υποδομής και της διαχείρισής της.
NetWeek: Πώς επηρεάζεται η κρυπτογραφία από τάσεις όπως η σύγκλιση των Τηλεπικοινωνιών και της Πληροφορικής, το αυξημένο mobility και το cloud computing; Πώς μπορεί η κρυπτογραφία να ανταποκριθεί στις προκλήσεις που τίθενται στο διευρυμένο αυτό περιβάλλον;
Fred Piper: Το cloud computing μάλλον δεν επηρεάζει καθόλου την κρυπτογράφηση. Είναι θέμα της υποδομής διαχείρισης. Η σύγκλιση, από την άλλη, την επηρεάζει αρκετά. Εφόσον οι πληροφορίες διακινούνται πλέον σε ένα ανοικτό δίκτυο, τότε αυξάνονται και οι πιθανότητες για την αναχαίτισή τους. Γι’ αυτό και αυξάνεται, άλλωστε, η χρήση της κρυπτογράφησης. Παρά το ότι οι ίδιοι οι αλγόριθμοι δεν αλλάζουν, καθίσταται πλέον απαραίτητος ένας διαφορετικός τρόπος διαχείρισης των κλειδιών και της υποστηρικτικής υποδομής.