PKI aziendale - deprecazione SHA1

Naviga le tue risposte
4

Ecco il contesto. Supponi di avere una PKI aziendale con:

  • AC_Root ( offline nell'archivio sicuro - firma SHA1)
  • SubRootA e SubrootB ( offline nell'archivio sicuro - firma SHA1)
  • SubSubRootC, SubSubRootD, SubSubRootE ... ( online in HSM - firma SHA1)
  • Certificati di entità finali (server, smart card utente, registrazione automatica, directory attiva)

Quali sono gli impatti dovuti alla deprecazione di SHA1? So che il certificato di root non è interessato, perché l'auto-firma non viene mai verificata (solo presenza nel truststore), ma per quanto riguarda i certificati Subroot?

Editori come Google o Microsoft hanno annunciato che i browser stamperanno avvertimenti e falliranno anche quando SHA1 sarà usato, e abbastanza presto (2015/2016).

  • Si tratta di un problema caldo principalmente per motivi di sicurezza o esperienza utente (avvisi nel browser, sistema operativo che rifiuta i certificati SHA1)?

  • È necessario organizzare una nuova cerimonia chiave per la creazione di una nuova catena "SHA256"? Anche per la catena offline (root e subroots)? Rilascio di nuovi certificati di entità finali con SHA256? Ti presentiamo un periodo di prova per il rinnovo della chiave?

posta crypto-learner 30.11.2014 - 12:58
fonte

3 risposte

4

Is this a hot issue for mostly security reasons [...]

Non ancora. Non c'è ancora nessun attacco pratico pubblicato. Ma è nel post. La transizione graduale ora è migliore della transizione dal precedente algoritmo di hash MD5 a SHA1. Allora non esisteva una strategia di deprecazione esplicita AFAIK e in realtà c'erano attacchi malvagi che usavano collisioni MD5. ( Fiamma ) Non dovremmo aspettare che la stessa cosa accada con SHA1.

Is it needed to organise a new key ceremony for creation of a new "SHA256" chain ? Even for offline chain (root and subroots) ? Re-issuing new end entities certificats with SHA256 ?

Sì. Offline o no non importa. La catena di certificazione è strong quanto l'anello più debole. (Escluso il root, la cui firma non ha importanza.) E anche: un certificato CA è sempre un obiettivo più succoso per un attacco rispetto a un certificato di entità finale.

Introducing a sliding period for key renewal ?

Sì. Non rilasciate nulla con SHA1 oltre le date di cut-off menzionate. Se hai emesso SHA1 fino alla data limite, esegui solo con giustificazione scritta e firma del gestore.

    
risposta data 30.11.2014 - 19:01
fonte
1

È un atto immediato, perché gli attacchi sono fattibili ora? No. Detto questo, quando si lavora con PKI, è necessario avere una visione lunga, quindi iniziare a pianificare ora.

Si stima che entro la fine del 2017, le collisioni hash precalcolate per la creazione di certificati di imposizione (e quindi di certificati CA di imposter) potrebbero scendere al di sotto di 100.000 $ nel calcolo, utilizzando risorse di cloud computing. Come sono sicuro che tu sappia, sostituire tutti questi certificati e stabilire fiducia nelle tue nuove CA non è banale.

Dovrai almeno sostituire le tue CA di emissione offline e online, oltre a sostituire tutti i certificati foglia.

Se ora crei una nuova infrastruttura CA e se i certificati hanno un ciclo di vita di due anni e se tutte le applicazioni (entrambe le applicazioni lato server che presentano certificati e client che consumano / convalidano i certificati) possono far fronte a SHA-2, e si mantiene la root esistente (quindi non è necessario toccare trust-anchors), quindi se si avvia immediatamente, è possibile semplicemente sostituire i certificati come parte del rinnovo standard.

    
risposta data 30.11.2014 - 22:24
fonte
1

Credo che leggendo vecchi white paper là fuori, che solo il certificato CA autofirmato di root non sia influenzato dal piano di deprecazione SHA-1 e possa ancora usare SHA-1, poiché i client hanno altri mezzi per verificare l'integrità di root certificati. Tutti gli altri certificati devono essere sostituiti. Ecco la descrizione completa: link

    
risposta data 03.02.2015 - 07:36
fonte

Leggi altre domande sui tag

C'è qualche rischio / rischio per la sicurezza aggiungendo padding aggiuntivo (oltre a quello richiesto) quando si utilizza AES-256 per crittografare stringhe molto brevi? È vero che i certificati richiesti con un CSR specifico possono essere utilizzati solo sulla macchina in cui è stato generato il CSR?