Poważne urzędy certyfikacji stosują ciężkie procedury. Zasadniczo klucz CA będzie przechowywany w module bezpieczeństwa sprzętu; ale to tylko część sprawy. Sam CA musi być fizycznie chroniony, co obejmuje środki proaktywne i retrospektywne .

Środki proaktywne mają na celu zapobieganie atakom kolejny. Na przykład CA będzie przechowywany w skarbcu ze stalowymi drzwiami i osłonami. Same maszyny są zamknięte, na kilka kłódek i nikt nie ma więcej niż jednego klucza do kłódki. Bezpieczeństwo fizyczne ma ogromne znaczenie; HSM jest tylko najgłębszą warstwą.

Środki retrospektywne dotyczą powrotu do zdrowia po wypadku. HSM będzie rejestrować wszystkie podpisy. Maszyna jest objęta całodobowym nadzorem wideo, z możliwością nagrywania poza miejscem pracy. Środki te dotyczą wiedzy o tym, co się wydarzyło (jeśli wolisz, wiedząc a priori , że w przypadku wystąpienia problemu będziemy mogli go przeanalizować a posteriori ). Na przykład, jeśli wyemitowano „nielegalne” certyfikaty, ale pełną listę takich certyfikatów można odtworzyć, odzyskiwanie jest tak „łatwe”, jak unieważnienie naruszających certyfikatów.

W celu dodatkowego przywrócenia często urząd certyfikacji podzielony na długotrwały główny urząd certyfikacji, który jest utrzymywany w trybie offline, oraz krótkotrwały pośredni urząd certyfikacji. Obie maszyny znajdują się w klatce i bunkrze; główny urząd certyfikacji nigdy nie jest połączony z siecią. Do głównego urzędu certyfikacji uzyskuje się fizyczny dostęp, z podwójną kontrolą (co najmniej dwie osoby razem i nagrywanie wideo) w celu emitowania certyfikatu dla pośredniego urzędu certyfikacji i listy CRL. Umożliwia to odwołanie pośredniego urzędu certyfikacji, jeśli został całkowicie zhakowany (do tego stopnia, że ​​jego klucz prywatny został skradziony lub nie można odbudować listy certyfikatów emitowanych przez oszustów).

Początkowa konfiguracja poważnego głównego urzędu certyfikacji obejmuje ceremonię kluczową ze stadami audytorów o wścibskich oczach i formalizm, którym nie gardziłby chiński cesarz z dynastia Song. Żadna ilość audytów nie gwarantuje braku luk; jednak tego rodzaju ceremonia może być wykorzystana, aby dowiedzieć się , co zostało zrobione, aby pokazać, że kwestie bezpieczeństwa zostały przemyślane i, co może, zidentyfikować sprawcę, jeśli pojawiają się kłopoty. Brałem udział w kilku takich ceremoniach; są naprawdę wielkim „teatrem bezpieczeństwa”, ale mają zalety wykraczające poza zwykły pokaz działań: zmuszają ludzi do posiadania pisemnych procedur dla wszystkiego .

Pytanie brzmi teraz: czy istniejące CA są naprawdę poważne, w sposób opisany powyżej? Z mojego doświadczenia wynika, że ​​w większości są. Jeśli CA ma coś wspólnego z VISA lub MasterCard, możesz być pewien, że HSM, stal i źle hartowane pitbulle są częścią instalacji; VISA i MasterCard dotyczą pieniędzy i traktują je bardzo poważnie.

W przypadku CA, które są zawarte w przeglądarkach internetowych i systemach operacyjnych, dostawca przeglądarki lub systemu operacyjnego zwykle wymaga dużego ubezpieczenia. Tu znowu chodzi o pieniądze; ale wtedy towarzystwo ubezpieczeniowe będzie wymagało wszelkich środków fizycznych oraz księgowości i audytu. Formalnie będzie to korzystać z certyfikatów, takich jak WebTrust.

Dotyczy to nawet niesławnych urzędów certyfikacji, takich jak DigiNotar czy Comodo: pamiętaj, że chociaż zostały zhakowane i wydano fałszywe certyfikaty, wspomniane certyfikaty są znane i zostały unieważnione (a Microsoft dodał je do listy „zabronionych certyfikatów”, co może być postrzegane jako rodzaj „unieważnionych i naprawdę mamy to na myśli” - oprogramowanie musi mimo wszystko zrobić wszystko, aby je zaakceptować).

„Słabe” urzędy certyfikacji to w większości główne urzędy certyfikacji kontrolowane przez stan. Microsoft może odmówić dołączenia klucza głównego z prywatnego przedsięwzięcia, jeśli Microsoft uzna, że ​​nie zostało zapewnione wystarczające ubezpieczenie (chcą mieć pewność, że urząd certyfikacji jest stabilny finansowo, aby można było utrzymać operacje); Znam bank z milionami klientów, którzy próbowali włączyć klucz roota do systemu Windows i zostali zwolnieni na podstawie tego, że byli „za mali”. Jednak Microsoft jest znacznie słabszy w stosunku do oficjalnych CA z suwerennych państw; jeśli chcą robić interesy w kraju X, tak naprawdę nie mogą sobie pozwolić na odrzucenie głównego klucza CA od rządu X. Niestety, nie wszystkie rządy są „poważnie”, jeśli chodzi o ochronę ich kluczy CA ...

Po stronie fizycznej główny urząd certyfikacji jest najpierw całkowicie wyłączony. Zwykle dzieje się tak, że konfigurują główny urząd certyfikacji, przydzielają podwładnych, a następnie wyłączają główny urząd certyfikacji i zabierają dyski twarde oraz moduły HSM (czasami nawet cały serwer) i zasadniczo zamykają je w sejfie.

Następnie dokonują segmentacji sieci, aby zapewnić bezpieczeństwo tym podrzędnym / wystawiającym urzędom certyfikacji.

Wreszcie na tych podwładnych używają modułów HSM do przechowywania certyfikatów.

OCSP i CRL są używane do unieważniania certyfikatów, ale nie jest to takie proste.

Z proceduralnego punktu widzenia mają szaloną liczbę warstw, w tym zamknięte pokoje, które wymagają wielu osób w tym samym czasie, aby odwołać / podpisać podwładnych lub korzenie (Ceremonia podpisania klucza). Są one nagrywane 24 godziny na dobę, 7 dni w tygodniu (audio i wideo) i wymagają zaufanej osoby ze strony urzędu certyfikacji, oprócz administratorów i kierownictwa. To wielka sprawa. Oto wideo.

Edycja: W przeciwieństwie do tego, co powiedział Polynomial, z tego, co widziałem, HSM są powszechne w urzędach certyfikacji, a nawet w dużych wdrożeniach wewnętrznych urzędów certyfikacji.

Nie każdy urząd certyfikacji (rządowy, komercyjny lub prywatny) przechowuje klucze prywatne w ten sam sposób. Większość legalnych operatorów korzysta z HSM. Możliwe, że dostawca publikuje listy odwołań CRL przy użyciu łącza w jedną stronę od katalogu głównego do SubCa. (Kable szeregowe tylko do transmisji, kable audio, kody QR, Ethernet z podłączonymi tylko kilkoma pinami ... itd.)

Aby uzyskać szczegółowe informacje, to naprawdę zależy od produktu, o którym mówisz.

Na przykład każdy telefon (Android, iPhone, Blackberry), system operacyjny (Linux, Windows itp.), a nawet niektóre przeglądarki internetowe (Firefox) utrzymują niezależne zaufane sklepy.

Każdy z tych dostawców ma różne standardy co do tego, które CA kwalifikują się jako „główne CA” w danym produkcie. W szczególności każdy dostawca ma różne certyfikaty, procesy i procedury (takie jak wymagania dotyczące chłodni), których każdy CA musi przestrzegać, zanim zostanie umieszczony na tej głównej liście zaufania.

Firma Microsoft ma główny program certyfikatów i to wymaga od każdego CA przestrzegania następujących standardów audytu (które powinny odpowiadać na wszystkie pytania techniczne i proceduralne)

• ETSI 102042
• ETSI 101 456
• WebTrust dla CA
• WebTrust EV Readiness audyty
• ISO 21188 (uwaga, nie akceptują ISO 27001)

W szczególności, CA musi ukończyć audyt i przedłożyć jego wyniki firmie Microsoft co dwanaście (12) miesięcy. Audyt musi obejmować pełną hierarchię PKI, która zostanie włączona przez firmę Microsoft poprzez przypisanie rozszerzonych zastosowań kluczy (EKU). Wszystkie zastosowania certyfikatów, które udostępniamy, muszą być okresowo kontrolowane. Raport z audytu musi udokumentować pełny zakres hierarchii PKI, w tym każdy podrzędny urząd certyfikacji, który wydaje określony rodzaj certyfikatu objętego audytem. Kwalifikujące się audyty obejmują:

• WebTrust for Certificate Authorities w wersji 1.0 lub nowszej, przeprowadzane przez licencjonowanego audytora WebTrust for CAs,

• ETSI TS 101 456 v1.2.1 lub nowsza,

• ETSI TS 102 042 V1.1.1 lub nowsza lub

• ISO 21188: 2006, „Infrastruktura klucza publicznego dla usług finansowych - Praktyki i ramy polityki”, wypełnione przez licencjonowanego audytora WebTrust for CAs lub instytucję audytową działającą zgodnie z prawem i polityką dotyczącą asesorów w tej samej jurysdykcji co CA.

(Uwaga: te wymagania dotyczące audytu nie mają zastosowania do rządowych organów właściwych i mogą się różnić)

Przeczytaj więcej o wytycznych technicznych i wytycznych dotyczących audytu dla korzeni MSFT tutaj

Aside:

Zdecydowanie możliwe jest przechowywanie klucza prywatnego w HSM, który nigdy nie ujawnia klucza prywatnego (przenosi żądania do tego key) i stale śledź każde użycie tego klucza prywatnego. Nie pamiętam, czy którykolwiek z tych standardów wymaga HSM, ale biorąc pod uwagę stosunkowo niewielki koszt HSM, nie mogę sobie wyobrazić, dlaczego tak się nie dzieje.

Chociaż zgadzam się z bardzo dokładną odpowiedzią @ Thomas'a powyżej, chciałbym dodać, że zainstalowałem główny system CA dla własnego systemu kart debetowych brytyjskich banków (każdy mały chip na karcie jest właściwie certyfikatem).

Użyliśmy urządzeń Thales HSM (koszt 6 cyfr), które miały odpowiednie systemy zabezpieczające przed przechyleniem, temperaturą, atakiem fizycznym itp.

W kategoriach z kluczowej ceremonii , w której (jak opisuje Thomas) stada audytorów stojących wokół zimnych maszynowni - to bardziej skomplikowane. Należy się upewnić, że generowanie klucza i przesyłanie klucza do HSM są oddzielnymi działaniami i że klucz nie może zostać naruszony w wyniku zmowy. Narzędzia Thales HSM pozwalają na podzielenie klucza na segmenty, z których każdy jest zaszyfrowany za pomocą klucza transportowego, dzięki czemu indywidualni posiadacze kluczy mogą dotrzeć na ceremonię klucza oddzielnie, różnymi transportami (na litość boską, bez współdzielenia samochodów) do lokalizacji, zwykle w HSM w serwerowni produkcyjnej.

Nie myśl, że bycie głównym urzędem certyfikacji jest proste. - tak, wiem, że można utworzyć główny urząd certyfikacji za pomocą darmowe narzędzia - musisz wypracować własny apetyt na ryzyko i ustalić, czy możesz zbudować główny urząd certyfikacji, który będzie pasował do modelu zagrożenia. na przykład w przypadku certyfikatów kart debetowych (w przypadku których następczą stratą mógł być „cały bank”), łączna wydana kwota była ogromna i wiele osób biegało po okolicy, aby upewnić się, że żadna pojedyncza osoba nie będzie mogła zmówić się ani mieć kontroli nad kluczem.

Jeśli tworzysz główny urząd certyfikacji jako lokalny system testowy, to wyraźnie model ryzyka jest inny.

Moja rada byłaby taka, że ​​jeśli nie jesteś dużej organizacji (Fortune 500) lub bycie głównym urzędem certyfikacji to Twoja rzeczywista firma, a następnie outsourcing.

Zamiast wkładać wszystkie wysiłki włamania się do bunkra i kradzieży klucza prywatnego w stylu niemożliwym, można po prostu złamać klucz prywatny. Wszystko to można zrobić w zaciszu własnego domu. Wszystko, czego potrzebujesz, to klucz publiczny CA, niektóre podpisane dane, przykładowy podpis i komputer kwantowy. Mam już 75% rzeczy, jeśli ktoś ma ostatni kawałek, chętnie podzielę łupy 50/50.

Wiele osób korzysta z podcertyfikatów i list odwołania. Nie oznacza to, że problemy się nie zdarzają i klucze prywatne zostały skradzione zaufanym urzędom certyfikacji, ale jeśli urząd certyfikacji nigdy nie udostępni ich klucza prywatnego, mają one pewien stopień ochrony. Zamiast tego mogą użyć swojego klucza prywatnego do podpisania pochodnego certyfikatu CA, a następnie użyć tego certyfikatu CA (z dużo bardziej ograniczonym okresem ważności) do podpisania certyfikatów do dystrybucji. Wtedy główny klucz prywatny nigdy nie musi być ujawniany w sieci.

Jeśli dojdzie do naruszenia, ponieważ wiedzą, że podcertyfikat będzie musiał określić listę odwołania, którą kontroluje, aby była ważna, mogą również następnie unieważnij zagrożony podcertyfikat.

Łatwym sposobem sprawdzenia, czy robi to określony urząd certyfikacji, jest sprawdzenie łańcucha zaufania na certyfikacie. Często zdarza się, że pomiędzy danym certyfikatem a certyfikatem głównego zaufanego urzędu znajduje się jeden lub nawet kilka certyfikatów CA.

Prosta (i raczej niefortunna) odpowiedź jest taka, że ​​tak naprawdę nie jest. Administratorzy systemów są bezpieczni i zabezpieczają swoje skrzynki do podpisów w taki sam sposób, w jaki zabezpieczasz każdy wrażliwy serwer firmowy. W przypadku wykonywania CSR może być wymagany ludzki krok, ale nie ma absolutnie nic, co mogłoby powstrzymać zdeterminowanego napastnika przed włamaniem do sieci CA, jeśli włoży w to wystarczająco dużo czasu i wysiłku. Co najwyżej używaliby HSM do przechowywania kluczy prywatnych, chociaż założę się, że nie jest to powszechne.