证书颁发机构如何存储其私有根密钥？

#1 楼

认真的认证机构使用繁琐的程序。在核心，CA密钥将存储在硬件安全模块中。但这只是事情的一部分。 CA本身必须受到物理保护，其中包括主动措施和追溯措施。

主动措施旨在防止攻击成功。例如，CA将存储在带有钢门和防护装置的保险库中。机器本身已被锁定，带有多个挂锁，没有人会持有多个挂锁钥匙。物理安全至关重要。 HSM只是最深的一层。

追溯措施是在事故发生后恢复。 HSM将记录所有签名。该机器处于24/7全天候视频监视之下，并具有异地记录功能。这些措施是关于知道发生了什么（如果您愿意，先验地知道如果发生问题，我们将能够对其进行后验分析）。例如，如果发出了“非法”证书，但是可以重建此类证书的完整列表，则恢复就像撤销有问题的证书一样“容易”。

对于额外的恢复，CA是通常分为长期处于离线状态的根CA和短暂的中间CA。两种机器都在笼子和掩体中。根CA从未连接到网络。定期对根CA进行物理访问，并进行双重控制（至少两个人在一起，并进行视频录制），以发出中间CA和CRL的证书。如果中间CA被彻底黑客入侵（以至于其私钥被盗，或者伪造的证书列表无法重建），这可以撤销它。


严重的根CA的初始设置涉及一个关键仪式，其中有一群审计员用窥探的眼神和形式主义，这是宋朝的中国皇帝所视的。没有任何数量的审核可以保证没有漏洞；但是，可以使用这种仪式来了解已做的事情，表明已经考虑过安全问题，以及在可能发生的情况下确定出现问题的罪魁祸首。我参与了一些这样的仪式；它们确实是一个大型的“安全剧院”，但不仅具有展示活动的优点，而且还具有其他优点：它们迫使人们为所有事情制定书面程序。


现在的问题是：现有的CA是否真的存在？严重，以上述方式？以我的经验，他们大多是。如果CA与VISA或万事达卡有关系，那么您可以确定HSM，钢质和不耐高温的底盘是安装的一部分；否则，您将无法进行安装。 VISA和万事达卡（MasterCard）涉及金钱，并且必须非常重视。再说一遍，这是关于金钱的。但是保险公司将需要采取所有物理措施以及会计和审计。正式而言，这将使用WebTrust之类的证书。微软将它们添加到“禁止证书”列表中，这可以看作是“已撤销，我们的意思是真的”，尽管如此，软件仍必须竭尽全力地接受它们。

“弱” CA主要是国家控制的根CA。如果Microsoft认为尚未提供足够的保险，则Microsoft可以拒绝包括私人企业的根密钥（他们希望确保CA的财务状况稳定，以便可以维持运营）；我知道一家银行有数以百万计的客户，他们试图将其根密钥包含在Windows中，并且由于他们“太小”而被解雇。但是，微软在对抗主权国家官方CA方面要弱得多。如果他们想在X国开展业务，他们真的负担不起拒绝政府X的根CA密钥。不幸的是，在保护其CA密钥时，并非所有政府都“认真” ...

#2 楼

在物理方面，他们首先使根CA完全脱机。通常发生的情况是，他们设置了根CA，使下属完全退出，然后使根CA完全脱机，并使硬盘驱动器和HSM（有时甚至是整个服务器）从本质上锁定了它们的安全。

接下来，他们对网络进行分段，以确保从属/发行CA的安全。

最后，在这些下属上，他们使用HSM来存储证书。

OCSP和CRL用于吊销证书，但这不仅如此简单。

在程序方面，它们有很多层，包括带锁的房间，需要多个人同时撤消/签署下属或根（A Key Signing Ceremony）。这些是24/7录制的（音频和视频），除了管理员和行政人员外，还需要CA的信任人。这是很大的一笔。这是视频。

编辑：与多项式所说的相反，从我所见，HSM对于CA甚至对于内部CA的大型实现都是司空见惯的。

#3 楼

并非每个CA（政府，商业或私有）都以相同的方式存储私钥。大多数合法的运营商都使用HSM。供应商可能使用从根到SubCa的单向链接发布CRL吊销列表。 （仅传输的串行电缆，音频电缆，QR代码，仅连接了几个引脚的以太网等等。）

要确定具体信息，这实际上取决于您所谈论的产品。

例如，每部电话（Android，iPhone，Blackberry），操作系统（Linux，Windows等），甚至某些Web浏览器（Firefox）都维护独立的信任库。

这些供应商中的每一个都有不同的标准，以确定哪些CA在该给定产品中有资格成为“根CA”。具体来说，每个供应商都有不同的证书，过程和程序（例如冷存储要求），每个CA都必须遵循这些证书，CA和CA才能包含在该根信任列表中。 CA遵循以下审核标准（应解决您的所有技术和程序问题）


ETSI 102 042
ETSI 101 456
CA的WebTrust
WebTrust EV就绪审核
ISO 21188（请注意，它们不接受ISO 27001）

具体来说，CA必须完成审核，并每十二（12）个月向Microsoft提交审核结果。审核必须涵盖Microsoft将通过分配扩展密钥用法（EKU）启用的完整PKI层次结构。我们启用的所有证书使用情况都必须定期审核。审核报告必须记录PKI层次结构的完整范围，包括颁发审核所涵盖的特定类型证书的任何子CA。合格的审核包括：



用于证书颁发机构的WebTrust v1.0或更高版本，由许可的WebTrust for CA审核员完成，
ETSI TS 101 456 v1.2.1或更高版本，
ETSI TS 102 042 V1.1.1或更高版本，或
ISO 21188：2006，“金融服务的公共关键基础结构-做法和政策框架”，由CA审计师的授权WebTrust或根据与CA所在辖区的评估人员的法律和政策运作的审计机构完成。

（请注意，这些审核要求不适用于政府CA，并且可能有所不同）。

在此处详细了解有关MSFT根的技术和审核指南

另外：

绝对有可能在不公开私钥（将请求卸载到该密钥的情况下）并永久跟踪该私钥的每次使用的HSM中存储私钥。我不记得这些标准中是否有任何一项都要求HSM，但是鉴于HSM的成本相对较低，我无法想象为什么它没有完成。

#4 楼

虽然我同意@Thomas的上述非常详尽的答复，但我想补充一点，我为英国银行自己的借记卡系统安装了根CA系统（卡上的每个微芯片实际上都是证书）。

我们使用了Thales HSM设备（成本为6英镑），该设备具有适用于倾斜，温度，物理攻击等的防篡改系统。

在关键仪式上，托马斯（Thomas描述）有一群审核员站在冷机房周围，这比这复杂得多。您需要确保密钥生成活动和密钥到HSM的传输是分开的活动，并且密钥不能被共谋破坏。 Thales HSM工具允许将密钥分成多个部分，每个部分都用运输密钥进行加密，这样，每个密钥持有人就可以通过不同的运输方式（为了天才，无需汽车共享）分别进入密钥仪式。位置，通常在生产服务器机房中的HSM上。

请不要认为成为根CA很简单-是的，我知道您可以使用免费的工具来创建根CA。 —您需要确定自己的风险承受能力，以及是否可以建立根CA以匹配威胁模型。例如对于借记卡证书（其后果可能是“整个银行”），花费的总金额是巨大的，并且有很多人四处奔波，以确保没有一个人可以串通或控制钥匙。

如果您只是将Root CA创建为本地测试系统，则显然风险模型会有所不同。

我的建议是，除非您的规模像大型组织（《财富》 500强），或者成为根CA是您的实际业务，然后外包。

#5 楼

与其全力闯入掩体和窃取不可能完成的私钥任务，不如简单地破解私钥。这一切都可以在自己舒适的家中完成。您只需要CA公钥，一些已签名的数据，样本签名和一台量子计算机。我已经有75％的东西了，如果有人愿意，我很乐意将战利品分成50/50。

#6 楼

许多人要做的一件事是使用子证书和吊销列表。这并不意味着不会发生问题，并且私钥已被信任的CA窃取，但是，如果CA从未使其私钥可访问，则它们将获得一定程度的保护。相反，他们可以使用私钥对派生的CA证书进行签名，然后使用该CA证书（有效期要少得多）对要分发的证书进行签名。这样就不必再将主私钥暴露给网络了。

如果确实发生了泄露，因为他们知道子证书将必须指定他们控制的撤销列表是有效的，因此然后也可以撤消受感染的子证书。

检查特定CA是否这样做的一种简单方法是检查证书上的信任链。通常，在给定证书和受信任的根CA证书之间会存在一个甚至几个CA证书。

#7 楼

一个简单的（相当不幸的）答案是，他们确实没有。系统管理员被认为是安全的，他们以保护任何敏感公司服务器相同的方式来保护其签名框。在执行CSR的情况下，可能需要人为操作，但是如果他们投入足够的时间和精力，绝对没有什么可以阻止坚定的攻击者破坏CA网络的。最多，他们会使用HSM来存储私有数据键，尽管我打赌好钱这并不常见。