CA'nızın özel anahtarını nasıl koruyabilirsiniz?

Yalnızca Sertifika Yetkilendirmesini (CA) yalnızca karşılıklı kullanım için uygulamak üzereyim.

Şimdi bir sorun var, CA özellerinden asla yararlanılmamalı. Yani şimdi özel anahtar şifrelenmiş.

Özel anahtarın güvenliğini artırmak için başka ne yapılabilir?

CA anahtarının güvenliğinin, işin devam eden başarısı için kritik olduğu bir şirkette çalıştım. Bu amaçla, anahtar şifresini çözmek için terminallere takılı fiziksel belirteçlerle birlikte en az 2 kişinin bulunmasını gerektiren özel bir protokol kullanılarak şifrelenmiştir (bu belirteçlerin en az 5'i vardı, herhangi bir ikisi çalışacaktı). Terminaller, gerçek makineden CA anahtarıyla fiziksel olarak ayrıldı. Kullanıcıların şifresini çözen kullanıcı arayüzü, şifre çözme simgelerini girmelerine ve ardından anahtarla 'imzalamak' istediklerini seçmelerine (şifre çözme anahtarına erişmelerine asla izin vermeme) seçmelerini sağlayan bir VT220 terminaliydi. Bu sistem, anahtarın güvenliğini sağlamak için en az 4 kişinin birlikte çalışması gerektiği, veri merkezine erişimi olan iki belirteç sahibinin olduğu anlamına geliyordu.

Bu tür kurulum hakkında daha fazla ayrıntıyla ilgileniyorsanız, Bruce Schneier, bilgisayar güvenliği tasarımı ve uygulamasını kapsayan harika bir siteye sahiptir:

http://www.schneier.com/

Ayrıca, bunun gibi sistemlerin temellerini ve daha güvenli altyapıların nasıl geliştirileceğini (cep koruyucuları kullanmayan insanlar tarafından okunabilir) anlamamda bana yardımcı olduğunu bulduğum çok iyi bir kitap Uygulamalı Şifreleme yazdı:

http://www.schneier.com/book-applied.html

Büyük bir kazanç, özel CA anahtarını ağdan tamamen kesilmiş özel bir bilgisayarda tutmaktır. Ardından, bu makinede yeni sertifikalar imzalar ve muhtemelen de oluşturur ve ardından yeni sertifikaları CA makinesinden aktarmak için fiziksel bir ortam kullanırsınız.

Böyle bir kurulum elbette makinenin fiziksel kullanılabilirliği ile ilgili hususların yanı sıra izin verilen ortamlardaki kısıtlamaları da içerir. İyi yolculuk edilmiş bir USB bellek çubuğu muhtemelen seçeneklerin en iyisi değildir ...

(Bu arada güvenlik ve rahatlık arasındaki değiş tokuşa çok açık bir örnek.)

Diğer iki cevabı oyladım ve yorumda bulundum, çünkü ikisinin de mükemmel olduğunu düşünüyorum. Her ikisine de gitmeye karar verirseniz ve bu uygun olabilirse , anahtarın ilk nesline dikkat etmenizi şiddetle tavsiye ederim , çünkü bir anahtarı tehlikeye atmanın en iyi zamanı kullanımda değildir (birçok standart, tekrarlanabilir önlem olabilir. uygulanmakta) fakat üretim zamanında, bir kereye mahsus olmak, altüst etmek çok daha kolaydır.

Anahtar üretimi töreni yapmak için bu mükemmel rehber, anahtar üretimi güvenli kılmaya yardımcı olabilecek standart protokollerin bazılarını ana hatlarıyla belirtir; (c) yürütücü dışında biri tarafından yazılmış önceden belirlenmiş bir protokole göre yapılan her şey (c).

Ne kadar ciddi olduğunuza bağlı olarak, CA anahtarlarını ve yedekleri saklamak için FIPS 140-2 ( http://en.wikipedia.org/wiki/FIPS_140#Security_levels ) donanımını kullanmayı düşünmelisiniz . Bir kök CA'ya ve bir ara CA'ya sahip olmalısınız, böylece kök CA'nızı çevrimdışı ve fiziksel olarak güvende tutabilirsiniz. Kök yalnızca yeni ara CA'ları yenilemek veya imzalamak için gerekir, oysa ara CA'lar günlük işlemler için çevrimiçi kalır. Başkalarına tavsiye ettiler ile, anahtar oluşturma ve yönetimini güvence altına n ait m kontrolünde önemlidir.

VeriSign (şimdi Symantec) CPS, ticari bir CA'nın anahtarlarını nasıl ürettiği ve koruduğu konusunda iyi bir referanstır. Özellikle 5. ve 6. bölümlere bakınız: http://www.verisign.com/repository/cps/ . (Birkaç yıl VeriSign'da çalıştım)

Ayrıca, NIST'in Anahtar Yönetimi ( http://csrc.nist.gov/publications/drafts/800-57/Draft_SP800-57-Part1-Rev3_May2011.pdf ) ve oluşturma konusunda birçok iyi yayını var ve şirketinizin de bir CPS’si olmalıdır. CA'nızı yönetmek için kullandığınız politikaları ve uygulamaları belirtir. IETF iyi bir şablon sunar: http://www.ietf.org/rfc/rfc2527.txt

Harika bir soru ve çok iyi cevaplar.

İleride kör bir şekilde şarj etmek yerine bu konuyu göz önünde bulundurarak çoğu insanın% 90'ını geçediğinizi unutmayın.

Bunu aklımızda tutup diğer tavsiyeyi burada alarak, şunu ekleyeceğim: Hem sertifika verme, iptal, çatlama vb. hem de genel olarak anahtarlarınızı oluşturmak ve yönetmek için kullandığınız belirli ürünlerdeki güvenlik açıkları ve konularla ilgili genel konular için güvenlik ve şifreleme haberlerine dikkat edin.

Son olarak: fiziksel güvenlik. Bir şeyi 'bilgisayar korsanlığı kanıtı' yapmak binanızda bir kontrat temizleyici olarak sadece bir iş bulabilir ve bir gün kök sertifikanı içeren diski cebime koyabilirsem yardımı olmaz. Bunu kaç kişinin özlediğine şaşıracaksın.