PKI: Differenza tra CPS e CP

3

RFC3647 descrive la differenza tra un CPS e un CP come segue:

The main differences between CPs and CPSs can therefore be summarized as follows:

  • A PKI uses a CP to establish requirements that state what participants within it must do. A single CA or organization can use a CPS to disclose how it meets the requirements of a CP or how it implements its practices and controls.
  • A CP facilitates interoperation through cross-certification, unilateral certification, or other means. Therefore, it is intended to cover multiple CAs. By contrast, a CPS is a statement of a single CA or organization. Its purpose is not to facilitate interoperation (since doing so is the function of a CP).
  • A CPS is generally more detailed than a CP and specifies how the CA meets the requirements specified in the one or more CPs under which it issues certificates.

C'è una frase che ha senso per me nella spiegazione sopra:

A single CA or organization can use a CPS to disclose how it meets the requirements of a CP

Se ho capito bene, il CP imposta i requisiti generali (ad es. dovresti convalidare la proprietà del dominio prima di emettere un certificato), e il CPS menziona come lo fa in pratica (ad esempio controllando i record DNS per un token). Il CP potrebbe aver già dato quella pratica come esempio.

Quindi, poiché un CP e un CPS sono per lo più scritti dalla stessa CA, non ha molto senso dividerli. Se cito nel CP che la proprietà deve essere convalidata e che ciò potrebbe essere fatto controllando i record DNS per un token, molto probabilmente il CPS conterrà esattamente le stesse informazioni. Potrei essere in grado di capire l'uso di avere sia un CPS che un CP nel caso in cui una CA abbia radici separate, ognuna delle quali potrebbe avere un CPS diverso, basato sullo stesso CP.

Ho confrontato il CPS di Let's Encrypt con il suo CP , e ho scoperto che il CP è un po 'più generico e affronta alcuni argomenti che non sono trattati nel CPS, ma anche il in altro modo.

  • Qualcuno può spiegare quale sia il vero valore di avere sia un CPS che un CP è, quando sono scritti dalla stessa CA e se lo farebbe o meno è buona norma scrivere solo un CPS in quel caso?
  • Non dovrebbe esserci un CP standard globale, che può essere usato da tutte le CA per basare il proprio CPS?
posta Michael 02.06.2017 - 10:23
fonte

2 risposte

3

Il CP descrive quali sono i requisiti. Il CPS descrive in che modo vengono soddisfatti tali requisiti.

Ad esempio, il CP può richiedere che la CA principale debba essere configurata in modo che richieda la presenza di due persone da reparti separati per portarla online. Il CPS deve quindi descrivere il modo in cui questo viene raggiunto, mantenendolo in una struttura sicura che richiede due chiavi separate o richiedendo due passphrase separate da inserire o richiedendo due smart card separate. Se è necessario modificare la modalità di funzionamento della CA, ad es. quando è necessario spostarsi in una nuova struttura con regole di accesso diverse o quando si passa a un nuovo sistema operativo, potrebbe essere necessario riscrivere il CPS ma non è necessario modificare il CP.

Inoltre, mentre entrambi i documenti possono essere scritti dalla stessa organizzazione, vale a dire l'entità che esegue la CA, consiglio vivamente di essere scritti da parti separati dell'organizzazione. Per un affidabile sistema PKI, la separazione dei compiti è essenziale, e non solo nelle operazioni, ma anche nella supervisione. Le persone che gestiscono la CA dovrebbero essere supervisionate da un altro dipartimento, il cui compito è quello di impostare gli standard e verificare che le operazioni seguano tali standard. Se le stesse persone fanno entrambe le cose, stanno effettivamente controllando se stesse - in altre parole, non hanno affatto controllo. Come consulente, a volte mi è stato chiesto di scrivere entrambi i documenti, e consiglio sempre strongmente contro di esso. Preferirei che il mio cliente portasse un concorrente a fare uno di loro, o per lo meno, a verificare il mio lavoro, piuttosto che rischiare che io sia io a scrivere le condizioni e adempierle.

    
risposta data 26.07.2017 - 15:16
fonte
2

Vorrei iniziare ripetendo ciò che è già noto:

CP sets out the Policy and CPS describes the Practice (how the Policy is implemented)

Come da RFC, la Politica (CP) dovrebbe indicare a) quali requisiti vengono soddisfatti eb) quali regole saranno applicate per soddisfarli. È destinato ad essere di alto livello. Per determinare se un particolare certificato soddisferà determinati requisiti aziendali e se può "interagire" con un altro certificato il cui CP è simile / uguale.

La Practice Statement (CPS) deve entrare nei dettagli, espandendo il modo in cui è implementata. Non può discostarsi da CP, ma può chiarire qualsiasi potenziale ambiguità - in particolare con il resto. implementazione.

Can someone explain what the real value of having both a CPS and a CP is, when they are written by the same CA, and whether or not it would be good practice to only write a CPS in that case?

Se stavo cercando di scegliere un certificato (PKI per la precisione) per le mie esigenze di business, il CP sarebbe il documento più adatto a cui fare riferimento, poiché riguarda l'applicabilità allo scopo.

Se fossi una nuova CA che cercasse di ottenere il più rapidamente possibile l'accettazione, identificare l'PKI common purpose e compatibile sarebbe importante - e per questo CP è il più documento adatto a cui fare riferimento.

I potrebbe inferire anche questi dal CPS, ma sarebbe molto complicato e se il CPS non fa esplicita menzione di una regola o uno scopo, probabilmente non accurato.

Quindi la mia opinione è: Sì, un CPS da solo potrebbe essere sufficiente, ma solo se fa esplicitamente menzionare lo scopo, l'applicabilità e le regole - eliminando così l'ipotesi lavoro. Se lo fa, forse quella sezione potrebbe anche essere indicata come Sezione CP, e ciò significa che siamo tornati al punto in cui ci troviamo.

Shouldn't there be a global standard CP, which can be used by all CAs to base their CPS on?

Cavalli per i corsi. Dopo aver scritto lo standard, si sono evoluti diversi scopi comuni. Quindi, con il senno di poi, potremmo avere alcuni set di CP standard globali, senza escludere nuovi tipi di PKI.

Gli organismi degli standard sono sempre alle prese con quanto dovrebbero essere stretti gli standard, per non soffocare l'innovazione. Standard più rigorosi = più interoperabilità, ma anche maggiore pressione per la conformità, perché ogni potenziale innovazione può anche essere vista come una deviazione rispetto allo standard. Non fermerà del tutto l'innovazione, ma lo renderà sicuramente difficile. Per questo motivo, penso che fosse ok quando è stato scritto lo standard. Forse la mancanza di uno standard globale in questo settore non fa ancora troppo male adesso. Ma questa è solo la mia opinione.

    
risposta data 26.07.2017 - 14:46
fonte

Leggi altre domande sui tag