Làm cách nào để bảo mật khóa riêng của CA?

Tôi sắp triển khai Tổ chức chứng nhận (CA) của riêng mình để chỉ sử dụng nội bộ.

Bây giờ có một vấn đề, rằng CA riêng không bao giờ nên được khai thác. Vì vậy, ngay bây giờ khóa riêng được mã hóa.

Những gì khác có thể được thực hiện để tăng cường bảo mật của khóa riêng?

Tôi đã làm việc tại một công ty nơi bảo mật của khóa CA là rất quan trọng đối với sự thành công liên tục của doanh nghiệp. Cuối cùng, khóa được mã hóa bằng giao thức tùy chỉnh yêu cầu ít nhất 2 người có mặt với các mã thông báo vật lý được cắm vào thiết bị đầu cuối để giải mã nó (có ít nhất 5 trong số các mã thông báo này, bất kỳ 2 mã kết hợp nào cũng hoạt động). Các thiết bị đầu cuối được tách biệt vật lý với máy thực tế bằng phím CA. Giao diện mà người dùng đã giải mã nó là thiết bị đầu cuối VT220 cho phép họ nhập mã thông báo giải mã và sau đó chọn những gì họ muốn 'ký' bằng khóa (không bao giờ cho họ quyền truy cập vào khóa được giải mã). Hệ thống này có nghĩa là ít nhất 4 người sẽ phải làm việc cùng nhau để thỏa hiệp khóa, hai người giữ mã thông báo, người có quyền truy cập vào trung tâm dữ liệu,

Nếu bạn quan tâm đến nhiều chi tiết hơn về loại thiết lập này, Bruce Schneier có một trang web tuyệt vời bao gồm thiết kế và triển khai bảo mật máy tính:

http://www.schneier.com/

Ông cũng đã xuất bản một cuốn sách thực sự về Mật mã học ứng dụng mà tôi tìm thấy đã giúp tôi hiểu các nguyên tắc cơ bản của các hệ thống như thế này và cách kiến ​​trúc cơ sở hạ tầng an toàn hơn (những người không đeo túi bảo vệ có thể đọc được):

http://www.schneier.com/book-applied.html

Một lợi ích lớn là giữ cho khóa CA riêng trên một máy tính chuyên dụng bị cắt hoàn toàn khỏi mạng. Sau đó, bạn sẽ ký và cũng có thể tạo chứng chỉ mới trên máy này và sau đó sử dụng phương tiện vật lý để chuyển chứng chỉ mới ra khỏi máy CA.

Chẳng hạn như thiết lập tất nhiên cũng sẽ bao gồm các cân nhắc liên quan đến tính khả dụng vật lý của máy, cũng như các hạn chế đối với các phương tiện truyền thông được phép. Một thanh USB di chuyển tốt có lẽ không phải là lựa chọn tốt nhất ...

(Đây là một ví dụ rất rõ ràng về sự đánh đổi giữa an ninh và tiện lợi.)

Tôi đã đưa ra hai câu trả lời khác và nhận xét, vì tôi nghĩ cả hai đều xuất sắc. Nếu bạn quyết định để đi cho cả hai người, và sức mạnh đó cũng là thích hợp, tôi mạnh chăm sóc tư vấn trong thế hệ đầu tiên của khóa, kể từ thời điểm tốt nhất để thỏa hiệp một phím không được sử dụng (nơi có nhiều tiêu chuẩn, biện pháp phòng ngừa lặp lại có thể được áp dụng) nhưng tại thời điểm tạo ra, việc sử dụng một lần sẽ dễ dàng bị lật đổ hơn nhiều.

Hướng dẫn tuyệt vời này để tiến hành một buổi lễ tạo khóa sẽ phác thảo một số giao thức tiêu chuẩn có thể giúp bảo đảm việc tạo khóa, mặc dù chúng chủ yếu làm mọi thứ được chứng kiến ​​bởi nhiều kiểm toán viên am hiểu, những người (b) lập hồ sơ đương thời tất cả mọi thứ được thực hiện (c) theo một giao thức được xác định trước được viết bởi một người khác không phải là người thực thi.

Tùy thuộc vào mức độ nghiêm trọng của bạn, bạn nên cân nhắc sử dụng phần cứng Trin 140-2 ( http://en.wikipedia.org/wiki/FIPS_140#Security_levels ) để lưu trữ khóa CA và sao lưu các khóa đó. Bạn nên có một CA gốc và một CA trung gian để bạn có thể giữ CA gốc của mình ngoại tuyến và được bảo mật về mặt vật lý. Root chỉ cần thiết để gia hạn hoặc ký các CA trung gian mới, trong khi các CA trung gian vẫn trực tuyến cho các hoạt động hàng ngày. Như những người khác đã gợi ý, đảm bảo hệ quan trọng và quản lý chủ chốt với n của m soát là rất quan trọng.

CPS VeriSign (nay là Symantec) là một tài liệu tham khảo tốt về cách CA thương mại tạo và bảo vệ các khóa của nó. Xem các chương 5 và 6, cụ thể: http://www.verisign.com/reposeective/cps/ . (Tôi đã làm việc tại VeriSign trong vài năm)

Ngoài ra, NIST có một số ấn phẩm tốt về Quản lý khóa ( http://csrc.nist.gov/publications/draft/800-57/Draftinks800-57-Part1-Rev3_May2011.pdf ) và công ty của bạn cũng nên có CPS trong đó chỉ định các chính sách và thực tiễn bạn sử dụng để quản lý CA. IETF cung cấp một mẫu tốt: http://www.ietf.org/rfc/rfc2527.txt

Câu hỏi tuyệt vời và một số câu trả lời tuyệt vời quá.

Hãy nhớ rằng bạn đi trước 90% so với hầu hết những người khác chỉ bằng cách xem xét vấn đề này thay vì mù quáng trước.

Giữ điều đó trong tâm trí và thực hiện những lời khuyên khác ở đây, tôi chỉ đơn giản là thêm: đừng nghỉ ngơi trên vòng nguyệt quế của bạn; Theo dõi tin tức về bảo mật và mật mã cho cả các vấn đề chung liên quan đến việc cấp chứng chỉ, thu hồi, bẻ khóa, v.v. và chắc chắn nhất là về các lỗ hổng và các vấn đề với các sản phẩm cụ thể bạn sử dụng để tạo và quản lý khóa của mình.

Cuối cùng: bảo mật vật lý. Làm một cái gì đó 'bằng chứng tin tặc' sẽ không giúp ích gì nếu tôi có thể kiếm một công việc như một người dọn dẹp hợp đồng trong tòa nhà của bạn và sau đó đặt đĩa chứa chứng chỉ gốc của bạn vào túi của tôi một ngày nào đó. Bạn sẽ ngạc nhiên khi có bao nhiêu người bỏ lỡ điều đó.