Certificate Practice Statement (CPS) senza CP (Certificate Policy)?

1

Questa precedente domanda ha discusso le differenze tra un CP e CPS.

Secondo la RFC:

The main differences between CPs and CPSs can therefore be summarized as follows:

(a) A PKI uses a CP to establish requirements that state what participants within it must do. A single CA or organization can use a CPS to disclose how it meets the requirements of a CP or how it implements its practices and controls.

In quanto tale, un CP imposta i requisiti e un CPS dimostra come questi requisiti sono soddisfatti. I certificati hanno CP specificati come OID nella corretta estensione del certificato. Ogni CP dovrebbe avere un CPS che dimostri come la CA soddisfi un particolare CP. Inoltre, secondo la RFC, i CP sono la base per gli audit di CA di terze parti.

Dato tutto questo, ha senso avere un CPS e nessun CP?

Questa domanda durante la creazione di un'infrastruttura PKI interna. Un passo naturale sta scrivendo un CPS, ma la lettura del RFC porta alla realizzazione che il CPS sta dimostrando in pratica l'applicazione del CP. È necessario un CP?

    
posta bgd223 18.01.2018 - 17:10
fonte

1 risposta

2

La tua altra domanda sembra suggerire che una CA scriva il CP, ma non è questo il caso.

Un CP è scritto dall'autorità responsabile per l'infrastruttura PKI nel suo complesso, solitamente chiamata PKI Management Authority (PMA). È il PMA che possiede le relazioni di fiducia tra le entità all'interno della PKI ed è il PMA che quindi fa tutto il possibile per garantire che la fiducia non venga persa. Come parte di ciò, stabilisce le regole (policy) che qualsiasi Autorità di certificazione deve seguire se deve far parte dell'infrastruttura PKI.

Una volta che il PMA ha scritto il CP, qualsiasi Autorità di certificazione che spera di emettere certificati per conto di tale PMA deve progettare la CA in linea con il CP. Una volta fatto, deve scrivere una Dichiarazione di certificazione che dimostri come sta seguendo il CP. Si noti che un CP ben scritto avrà criteri di controllo che consentono di verificare le CA, tra le altre cose, la conformità CP.

Un CPS senza un CP è inutile. Senza un CP, il contenuto del CPS potrebbe essere assolutamente nulla e non avrebbe infranto alcuna politica.

Ad esempio, la sezione 6.2 riguarda la protezione delle chiavi private. Senza un CP il tuo CPS potrebbe dire qualcosa all'effetto di:

the Root CA private key is held on a USB stick stored in the stationary cupboard

L'affermazione è irresponsabile; ma non infrange nessuna legge o politica.

Tuttavia, se la tua gestione ritiene inaccettabile quanto sopra e che la chiave privata debba essere archiviata in un modulo di sicurezza hardware di livello 3 FIPS-140-2, allora ciò che dovrebbe essere nella sezione 6.2 del tuo CP. Una volta lì, la precedente dichiarazione CPS infrange la politica e non è accettabile. Il tentativo di inviare un CPS con l'affermazione precedente comporterebbe il rifiuto da parte del PMA e di conseguenza l'AC non sarebbe autorizzata a partecipare al PKI.

Potrebbe essere allettante scrivere solo un CPS e inviarlo per la revisione da parte dei pari o della gestione.

Se il tuo CPS viene restituito senza commenti e accettato, devi chiederti se i revisori conoscono la loro materia, o se hai sovrainteso la tua CA, perdendo tempo e denaro.

Se il tuo CPS viene restituito con commenti (magari suggerendo come memorizzare la chiave privata tra le altre cose?) allora questi commenti sono l'inizio di un CP. Tuttavia, invece di molte iterazioni di questo processo di revisione e forse discussioni / argomenti / licenziamenti accesi, sarebbe molto più semplice se un'autorità senior (la PMA?) Annota le regole di esecuzione della PKI che tutte le CA devono seguire. A lungo termine, un CP renderà il processo di scrittura di un CPS molto più semplice - dopo tutto, tutti i temi devono essere discussi ad un certo punto, quindi fatelo prima di progettare il vostro CA.

Infine, ricorda che esiste un solo CP che copre tutte le autorità (CA, RA, VA) nell'infrastruttura PKI. Ogni CA (e possibilmente RA e VA se sono entità separate della CA) scrive un CPS per indicare in che modo stanno seguendo le politiche.

Come minimo, Acme Inc avrà un singolo CP Acme (scritto da PMA), seguito da CA CPS Acme Root (scritto dagli operatori della CA principale) e CA CPS che emette l'Acme (scritto dall'emittente Operatori CA).

    
risposta data 18.01.2018 - 20:40
fonte

Leggi altre domande sui tag