Sto cercando i pro e i contro dell'esternalizzazione della Public Key Infrastructure (PKI) di un'organizzazione. Capisco che la risposta all'opportunità o meno di esternalizzarsi dipenderà dall'ambiente e dall'organizzazione. Quali sono i rischi associati all'outsourcing PKI e quali sono i trucchi tecnici relativi all'outsourcing PKI?
Uno dei principali rischi che ho incontrato quando lavoro con le banche che esternalizzano la loro PKI è la protezione del certificato radice. Se ti affidi al PKI per proteggere qualcosa che è di fondamentale importanza per l'azienda, vuoi davvero che il tuo provider PKI garantisca la sicurezza del certificato di root.
Ci sono alcuni fornitori che lavorano veramente duramente su questo, usando molti meccanismi per convincere i clienti a usarli. Dall'esperienza, includo in queste placche a pressione, scanner retina, chiavi sincronizzate doppie, trappole per uomo, copertura video dell'accesso root, accesso parziale concesso al provider e in parte a te - praticamente tutto quello che ti aspetteresti da un genio del male un film di James Bond.
Un altro problema riguarda la connettività: se si utilizza la PKI per i servizi in tempo reale, la perdita di connettività al provider causerà un Denial of Service. Assicurati che abbiano collegamenti resilienti a te e ai tuoi clienti o altri utenti.
Il grande professionista dell'outsourcing del PKI è che non devi farlo da solo. Il mantenimento di una PKI è complesso, quindi costoso; un'entità specializzata può mutualizzare i costi su più PKI ospitati.
I grandi costi associati al mantenimento di una PKI sono:
Hosting fisico: almeno la CA radice deve trovarsi in una stanza fisicamente sicura e preferibilmente usare un Modulo di sicurezza hardware , che non è il componente hardware più economico di sempre. Spazio ufficio per la stanza, videocamere, guardie, cani di cattivo umore ... implicano costi ricorrenti elevati. Ricorda che la chiave radice di un PKI PKI concentra le esigenze di sicurezza (è così che funziona la crittografia: la sicurezza della chiave è estesa alla sicurezza del tutto), quindi questo è un obiettivo di valore molto alto per gli aggressori.
Procedure di gestione: l'infrastruttura PKI è, per sua natura, un sistema per associare le chiavi pubbliche alle identità fisiche. Ciò implica, per ogni iscrizione al certificato, l'esecuzione di una procedura mediante la quale il richiedente viene fisicamente identificato (con qualsiasi nozione di identità rilevante per la propria situazione). Ciò implica necessariamente alcuni elementi non informatici, ad es. interazioni tra esseri umani. I dipendenti sono costosi. Inoltre, la maggior parte delle operazioni che coinvolgono un PKI devono essere organizzate in modo da garantire sicurezza e responsabilità, ad es. cerimonie chiave . Definire semplicemente queste procedure e scriverle è un compito arduo.
Implementazione legale: i certificati possono avere valore legale e in molti casi vengono immaginati proprio a causa di tale valore legale (ad esempio come un modo per sostituire le firme autografe con le firme digitali, realizzare un processo senza carta). Sapere cosa fare per ottenere il valore legale è un argomento altamente tecnico - nel senso del "lavoro dell'avvocato". In alcune giurisdizioni, sono necessarie valutazioni Common Criteria .
Quindi il mio consiglio sarebbe di esternalizzare "di default". La complessità inerente a una PKI sicura ("sicura" in entrambi i sensi crittografici e legali) è quasi sempre ampiamente sottostimata.
L'infrastruttura PKI potrebbe aiutarti.
Non sono esattamente sicuro di quali siano le tue esigenze, ma potresti insistere per generare un certificato di root per dire 10-20 anni e pubblicare i tuoi elenchi di revoche di certificati per i clienti, e quindi generare "sub CA" per la delega di specifiche attività di firma delle chiavi con limitazioni specifiche sulla firma delle chiavi, come lunghezza della chiave, tipo di chiavi da firmare, periodo massimo di tempo, ecc. (consultare i dettagli x509).
In questo modo, tramite delega, la persona è sul te per proteggere la CA principale e, se in qualsiasi momento desideri revocare la delega, puoi pubblicare CRL per le CA delegate.
Ora hai il controllo definitivo e puoi configurare e offline la CA principale, e solo pubblico sono necessarie le catene di certificati e la CA pubblica.
In questo modo, possono ancora eseguire il loro lavoro in outsourcing, ma si mantiene il controllo sulle chiavi del castello per poter parlare.
Leggi altre domande sui tag cryptography outsourcing public-key-infrastructure key-management