CA memorizzando la chiave radice in una cassetta di sicurezza della banca. Preoccupazione?

2

Il CP / CPS di SwissSign Gold Certificate afferma che:

5.1 "...Two identical clones of the SwissSign Gold CA keys are stored off line in Swiss bank safe deposit boxes."

Hanno persino inserito la pagina Why SwissSign come primo "punto vendita":

The «master key» for our certificates is stored safely at two Swiss banks

Questo è comune tra le CA? Non è una preoccupazione che la chiave privata sia stampata da qualche parte? Non dovrebbero essere all'interno di un HSM senza un modo per estrarlo?

    
posta Victor 29.03.2018 - 15:33
fonte

1 risposta

5

Con le chiavi per un'autorità di certificazione, deve esserci un equilibrio tra riservatezza (devono garantire che le chiavi non siano divulgate senza autorizzazione) e disponibilità (non è necessario perdere la chiave completamente altrimenti non possono usalo per firmare i certificati).

Se memorizzavano la propria chiave in un HSM senza il modo di estrarla, c'è il rischio reale che l'HSM rilasciasse la chiave, ea quel punto sarebbero un po 'in difficoltà in termini di rilascio di più certificati.

Da ciò che ho visto della gestione della CA che divide la chiave e la memorizza in luoghi fisicamente sicuri, è pratica molto comune.

    
risposta data 29.03.2018 - 15:52
fonte

Leggi altre domande sui tag