Come faccio ad attraversare il mio computer CA?

7

Ricordo di aver letto sulla necessità di smantellare il computer CA (mai collegandolo a nessuna rete, senza chiavetta USB, ecc.).

Mi sto preparando per l'impostazione di un numero di certificati (csr per la firma, certificati lato client per la verifica del client in Apache, WPA2 ecc.) e mi chiedo come faccio a coprire il computer. Le domande principali sono:

  1. Come posso mantenere aggiornato il sistema operativo?
  2. Come faccio a firmare (cioè trasferire i CSR al computer CA per firmare e trasferire i certificati firmati)?

Comprendo che l'utilizzo di certificati intermedi può semplificare la mia vita in qualche modo, ma non capisco come, devo ancora mantenere i certificati intermedi il più sicuro possibile, no?

    
posta Pavel 24.09.2016 - 08:53
fonte

3 risposte

5

Se sei davvero, davvero, molto serio su questo, allora:

  1. Non lo fai. Nell'improbabile eventualità che tu senta la necessità di un aggiornamento, esegui una nuova reinstallazione da un CD / DVD masterizzato.
  2. Tutti i dati devono essere trasferiti manualmente. Puoi leggere da una schermata e digitare su un altro computer, potresti prendere in considerazione i codici QR che puoi stampare e scansionare. Poiché non è che molti dati che devono essere spostati, è possibile farlo
risposta data 24.09.2016 - 21:31
fonte
5
  1. Tutti gli aggiornamenti di Windows sono disponibili come download che è possibile applicare localmente, in modo simile per Linux. Gli strumenti di gestione aziendale possono anche essere utilizzati per fornire aggiornamenti in rete senza la necessità di connettere la macchina CA a Internet. È possibile connettersi temporaneamente alla rete locale con una regola del firewall di Windows che consente solo una connessione all'indirizzo del server di gestione.

  2. I certificati intermedi si comportano come il certificato radice ma hanno un ambito più limitato. In questo modo è possibile creare una serie di certificati intermedi a fini di firma specifici e con date di scadenza brevi per limitare l'impatto di tali compromissioni. Sì, è comunque necessario mantenere sicuri i certificati intermedi, ma l'impatto del compromesso è molto meno se eseguito correttamente.

    Se è necessario creare un nuovo certificato intermedio, farlo sul computer CA con chiavetta USB pulita o simile.

    Chiaramente, capirai che deve mantenere fisicamente protetta la macchina CA. Dovrebbe essere in un armadio protetto in una stanza protetta. L'accesso alla macchina deve essere strettamente controllato e tutti gli accessi registrati con cura.

AGGIORNAMENTO: qualcun altro ha menzionato l'utilizzo di un modulo di crittografia hardware (HSM). Certamente ciò migliorerebbe anche la sicurezza sulla macchina CA, rendendo molto più difficile compromettere le chiavi ed è altamente raccomandato. Avrei dovuto includerlo prima.

    
risposta data 24.09.2016 - 12:26
fonte
0

C'è una soluzione in modo da poter evitare questo airgapping e i rischi / difficoltà con esso, ma comunque ottenere la stessa sicurezza.

Ciò che si desidera proteggere contro è la compromissione della chiave privata CA. Se la chiave privata della CA viene compromessa, sei fregato e devi sostituire la CA. Ma per una CA client-auth, non importa se un malware riesce a raggiungere una firma, poiché è possibile revocare facilmente tale certificato in seguito.

Questa sicurezza può essere ottenuta memorizzando la chiave privata su un dispositivo sicuro, chiamato "HSM". Ci sono molti dispositivi che hanno le caratteristiche di sicurezza di un HSM, ma uno che raccomanderei è Yubikey 4.

La cosa buona con Yubikey 4 è che può essere impostato per richiedere una pressione fisica del pulsante prima di firmare qualcosa, il che impedirebbe al malware di utilizzare in modo improprio le firme.

Che cosa vuoi avere, un dispositivo approvato dalla sicurezza come la chiave privata non tocca mai il dispositivo non sicuro (il computer).

Puoi anche utilizzare Smart Card, chiavette USB PKI e dispositivi simili come HSM.

Il vantaggio di avere un piccolo dispositivo che funge da firmatario e memorizza la chiave privata è che il dispositivo può essere facilmente fisicamente protetto semplicemente chiudendolo in una cassetta di sicurezza o di un depoist bancario.

    
risposta data 25.09.2016 - 11:11
fonte

Leggi altre domande sui tag