Come mantenere la sicurezza e la fiducia con una coppia di chiavi PGP per una squadra o un gruppo di persone?

Naviga le tue risposte
3

Ho visto molti casi in cui un'azienda o un'organizzazione genera e utilizza una coppia di chiavi PGP per una squadra o un gruppo di persone. Molto probabilmente hanno tutte una copia delle chiavi private e pubbliche sulle loro singole macchine o si collegano al server centrale e usano l'utilità gpg lì (tutti conoscono la password della chiave segreta condivisa).

Cosa succede quando un membro del team lascia l'azienda? E se andassero ladri alla partenza? Supponi di aver copiato il segreto / chiave sulla loro chiavetta USB personale prima di revocare l'accesso al server centrale o di vederli cancellare la loro coppia di chiavi.

Sarebbe estremamente scomodo e poco pratico revocare e riemettere la chiave PGP della "squadra" ogni volta che qualcuno lascia l'azienda (immagina una squadra di oltre 10 persone).

Che cosa fanno attualmente le aziende? Ignorano semplicemente la possibilità che un ex membro del team agisca con malizia?

Per uno scenario realistico, parliamo esplicitamente di una casella di posta [email protected] con la chiave PGP "Example Inc. Security Team" <[email protected]> (0xAAF00F00) dove Bob , Alice e Charlie (il team) ha accesso alla cassetta postale e alla coppia di chiavi pubblica / privata PGP.

La chiave mailbox e PGP serve per ricevere report di vulnerabilità di sicurezza ad alta gravità per Example Inc. e il team sfrutta la crittografia e la firma di messaggi per la corrispondenza con i ricercatori di sicurezza.

    
posta JustinBull 20.03.2014 - 19:32
fonte

2 risposte

2

L'impostazione che hai descritto non è l'ideale. Sarebbe meglio implementare un'autorità di certificazione e impostare tutti con i propri keypair privati-pubblici. Esistono schemi in cui concedere l'accesso a una risorsa condivisa mediante ACL a livello di applicazione o una chiave simmetrica utilizzata per l'accesso e crittografata con la chiave pubblica di ogni persona. Dovresti quindi modificare queste chiavi condivise per qualsiasi risorsa interessata quando qualcuno esce.

For a realistic scenario, let's talk explicitly about a [email protected] mailbox with PGP key "Example Inc. Security Team" (0xAAF00F00) where Bob, Alice, and Charlie (the team) have access to the mailbox, and PGP public/private keypair.

Nel tuo scenario, la coppia di chiavi condivisa non è rilevante. Anche se hanno le loro chiavi, una volta decodificato ce l'hanno. Se si dispone di un documento crittografato e si ha la chiave, e si lascia con entrambi non sarebbe importante o perché a differenza di un documento cartaceo in uno schedario è banale fare copie. Se esco dall'azienda, perché ho ancora accesso al mailserver? Se non ho accesso e ho ancora la chiave di decifrazione, dovrei entrare e presumibilmente sconfiggere alcuni altri livelli di sicurezza per ottenere persino l'accesso per decrittografarlo.

Non consiglierei di condividere la casella di posta come questa in generale perché non ci sarebbe alcuna responsabilità per chi ha inviato una mail o che ha letto una mail perché sta condividendo tecnicamente l'identità. Meglio avere il messaggio inserito in un sistema con RBAC. Forse dovresti implementare una soluzione HSM combinata con certificati / chiavi per l'accesso al sistema e la decrittografia è di proprietà del sistema e non degli utenti.

La sicurezza deve essere applicata a strati. Non consentire le pen drive, esegui l'accesso tramite Citrix con tutte le funzioni di stampa e copia e incolla disattivate, fallo in modo che l'unico modo per ottenere una copia dei dati sia di scattare una foto (è possibile proibire fisicamente telefoni cellulari e fotocamere) . La preoccupazione qui è davvero la capacità di copiare i dati digitali. Potresti implementare alcune soluzioni basate su DRM che potrebbero potenzialmente indirizzare anche questo, ma il DRM può essere sconfitto e non impedisce la copia o il screen caping.

    
risposta data 20.03.2014 - 21:08
fonte
1

Non c'è modo di distribuire la chiave a tutti e allo stesso tempo di poter ritirare l'accesso a chiunque del team.

Possibili soluzioni per la crittografia :

  • Il mittente viene crittografato a tutti i membri del tuo team, ciascuno con la sua chiave privata.

  • Se è necessario disporre di una chiave singola, disporre di un " servizio di decrittografia centrale" in cui tutti i membri del team possono inserire elementi per decrittografarlo, la chiave rimane sul server.

    Potresti anche decrittografarlo sul server e firmarlo e spedirlo nuovamente a tutti gli altri membri del team.

  • Dividi la chiave in blocchi, in modo che solo i membri della squadra possano decodificare il contenuto insieme. Nessuna singola persona può usare la chiave da sola. Pensaci come una sorta di RAID 5/6.

    C'è persino un flag che puoi impostare nello standard OpenPGP per questo, non sono sicuro che ci siano implementazioni là fuori.

Possibili soluzioni per la firma :

  • Alcuni membri del gruppo (ad esempio, il caposquadra) agiscono come una specie di autorità di certificazione e fanno in modo che l'altra parte abbia fiducia in lui. Firmerà tutti gli altri membri della squadra. L'altro lato è ora in grado di verificare tutte le firme del tuo team.
  • Avere un " servizio di firma centrale" come quello che avevamo per la crittografia.
  • Distribuisci sottochiavi della chiave primaria. Puoi revocare ognuno di questi, ma la chiave primaria, gli UID e quindi il trust in entrata rimangono gli stessi.
risposta data 20.03.2014 - 20:09
fonte

Leggi altre domande sui tag

Metodologie di test della sicurezza API Come controllare le firme di firma del codice eseguibile?