Migrace klíčů do jiných systémů

Infineon Security Platform

Řešení Infineon Security Platform

Migrace klíčů do jiných systémů

Jakmile je uživatel systému nastaven jako uživatel platformy Security Platform, může nastat požadavek na poskytnutí zabezpečeného prostředí specifického pro uživatele nejen do počítače, kde proběhla instalace, ale také do dalších počítačů, ke kterým má uživatel přístup. Vícenásobné instalace v různých počítačích nepomohou, protože zabezpečovací prvky nebudou kompatibilní, například e-mail podepsaný na jednom počítači nebude akceptován na jiném počítači z důvodu různých podepisovacích klíčů.

Základy migrace

Platforma Infineon Security Platform nabízí možnost zachovat a spravovat tuto situaci nabídnutím cesty migrace pro tajný klíč specifický pro uživatele. Základní myšlenkou této technologie je striktní oddělení správní a provozní funkce migrace. Toto oddělení se vyžaduje, aby byla zaručena privátnost migrovaných tajných klíčů, současně se tak zajistí, že neexistují žádné prostředky k přenosu tajných klíčů bez znalosti správní instance.

Po úspěšné migraci uživatele cílový počítač hostuje zcela stejné bezpečnostní prostředí, které je rovněž k dispozici na zdrojovém počítači. Z pohledu uživatele platformy Infineon Security Platform neexistuje žádný rozdíl v provozním chování systémů.

Nicméně tyto dva počítače jsou stále nezávislé platformy Infineon Security Platform. Migrace uživatelských klíčů nemá žádný vliv na strukturu primárního zabezpečení platformy Infineon Security Platform. Především tajné klíče uložené v čipu Trusted Platform Module nejsou touto operací dotčeny.

V serverovém režimu provádí migraci pověření a nastavení specifická pro uživatele server Trusted Computing Management Server. Po přihlášení uživatelé získají nutné aktualizace vždy, když se jejich pověření a nastavení změní. Toto se rovněž nazývá cestování. Aktualizace z databáze serveru přepíše místní pověření a nastavení specifické pro uživatele.
V samostatném režimu se pověření a nastavení specifická pro uživatele na zdrojovém a cílovém počítači migrace sloučí.

Migrace se provede pomocí Průvodce migrací platformy Infineon Security Platform.

Migrace do počítače bez existujících uživatelských klíčů a certifikátů:
Proces migrace nainstaluje do počítače, do kterého migrujete, nové uživatelské klíče a certifikáty.
Je potřeba provést konfiguraci funkcí platformy Security Platform, aby používaly tyto nové klíče a certifikáty.
Migrace do počítače s existujícími uživatelskými klíči a certifikáty (jiný základní uživatelský klíč):
Proces migrace učiní neplatnými klíče a certifikáty stávající platformy Security Platform instalované do počítače, do kterého migrujete. Šifrovaná data mohou být následkem této operace ztracena. Než budete pokračovat, dešifrujte šifrovaná data nebo se s žádostí o postup obnovení obraťte na správce systému.
Migrace do počítače s existujícími uživatelskými klíči a certifikáty (stejný základní uživatelský klíč):
Pokud již cílový počítač používá stejný základní uživatelský klíč jako zdrojový počítač, potom proces migrace sloučí vaše uživatelské klíče a certifikáty. Po dokončení migrace budou aktivní klíče a certifikáty z archivu migrace. Staré klíče a certifikáty se ponechají. Tímto způsobem neztratíte žádná šifrovaná data.
Pokud jste například šifrovali data pomocí systému souborů EFS nebo jednotky PSD na zdrojovém i cílovém počítači migrace, ale použili jste na obou počítačích jiné certifikáty, potom migrace aktivuje na cílovém počítači certifikát ze zdrojového počítače. Certifikát, který cílový počítač používal dříve, se ponechá, a bude možné ho kdykoliv opět aktivovat.
Migrace a jednotka Personal Secure Drive:
  • Pokud uživatel konfiguroval jednotky Personal Secure Drive na zdrojovém počítači na vyměnitelné médium (například na jednotku USB Flash), lze toto médium použít rovněž na cílovém počítači.
  • Pokud uživatel konfiguroval jednotky Personal Secure Drive na zdrojovém počítači na pevný disk, je důležité zálohovat veškeré soubory bitové kopie jednotky Personal Secure Drive, které mají být migrovány, a uložit záložní soubory bitové kopie zdrojového počítače do umístění, ke kterému mohou oba počítače přistupovat. Chcete-li použít kopii zdrojové jednotky Personal Secure Drive na cílovém počítači, musíte obnovit příslušný záložní soubor bitové kopie zdrojového počítače. Po migraci budete mít na zdrojovém a cílovém počítači dvě nezávislé jednotky Personal Secure Drive. Uživatelé pravděpodobně budou potřebovat na cílovém počítači překonfigurovat jednotky Personal Secure Drive (viz Správa jednotek Personal Secure Drive). Chcete-li jednotku Personal Secure Drive překonfigurovat, zaškrtněte možnost Chci změnit nastavení jednotky Personal Secure Drive a postupujte podle pokynů na obrazovce.
  • Stávající nastavení a pověření jednotky PSD bude na cílovém počítači přepsáno, pokud se základní uživatelské klíče na zdrojovém a cílovém počítači liší. V tomto případě doporučujeme před migrací uložit nešifrovanou kopii dat jednotky PSD. To můžete provést odstraněním jednotky PSD se zaškrtnutou možností uložení nešifrované kopie (viz Správa jednotek Personal Secure Drive).


©Infineon Technologies AG