认证机构如何应对这种威胁?这听起来像是一场噩梦,不得不把钥匙挡在所有人的目光之外,即使是系统管理员也是如此。一直以来,密钥必须每天使用,通常是通过Internet连接的签名服务使用。
#1 楼
认真的认证机构使用繁琐的程序。在核心,CA密钥将存储在硬件安全模块中。但这只是事情的一部分。 CA本身必须受到物理保护,其中包括主动措施和追溯措施。主动措施旨在防止攻击成功。例如,CA将存储在带有钢门和防护装置的保险库中。机器本身已被锁定,带有多个挂锁,没有人会持有多个挂锁钥匙。物理安全至关重要。 HSM只是最深的一层。
追溯措施是在事故发生后恢复。 HSM将记录所有签名。该机器处于24/7全天候视频监视之下,并具有异地记录功能。这些措施是关于知道发生了什么(如果您愿意,先验地知道如果发生问题,我们将能够对其进行后验分析)。例如,如果发出了“非法”证书,但是可以重建此类证书的完整列表,则恢复就像撤销有问题的证书一样“容易”。
对于额外的恢复,CA是通常分为长期处于离线状态的根CA和短暂的中间CA。两种机器都在笼子和掩体中。根CA从未连接到网络。定期对根CA进行物理访问,并进行双重控制(至少两个人在一起,并进行视频录制),以发出中间CA和CRL的证书。如果中间CA被彻底黑客入侵(以至于其私钥被盗,或者伪造的证书列表无法重建),这可以撤销它。
严重的根CA的初始设置涉及一个关键仪式,其中有一群审计员用窥探的眼神和形式主义,这是宋朝的中国皇帝所视的。没有任何数量的审核可以保证没有漏洞;但是,可以使用这种仪式来了解已做的事情,表明已经考虑过安全问题,以及在可能发生的情况下确定出现问题的罪魁祸首。我参与了一些这样的仪式;它们确实是一个大型的“安全剧院”,但不仅具有展示活动的优点,而且还具有其他优点:它们迫使人们为所有事情制定书面程序。
现在的问题是:现有的CA是否真的存在?严重,以上述方式?以我的经验,他们大多是。如果CA与VISA或万事达卡有关系,那么您可以确定HSM,钢质和不耐高温的底盘是安装的一部分;否则,您将无法进行安装。 VISA和万事达卡(MasterCard)涉及金钱,并且必须非常重视。再说一遍,这是关于金钱的。但是保险公司将需要采取所有物理措施以及会计和审计。正式而言,这将使用WebTrust之类的证书。微软将它们添加到“禁止证书”列表中,这可以看作是“已撤销,我们的意思是真的”,尽管如此,软件仍必须竭尽全力地接受它们。
“弱” CA主要是国家控制的根CA。如果Microsoft认为尚未提供足够的保险,则Microsoft可以拒绝包括私人企业的根密钥(他们希望确保CA的财务状况稳定,以便可以维持运营);我知道一家银行有数以百万计的客户,他们试图将其根密钥包含在Windows中,并且由于他们“太小”而被解雇。但是,微软在对抗主权国家官方CA方面要弱得多。如果他们想在X国开展业务,他们真的负担不起拒绝政府X的根CA密钥。不幸的是,在保护其CA密钥时,并非所有政府都“认真” ...
评论
感谢您提供的大量信息。我有连帽长袍和蜡烛的图像。但是说真的,这听起来非常令人印象深刻。
–lynks
2012年12月3日在16:08
即,对于政府管理的MSFT,其审计要求与商业CA不同(来源),尽管我没有足够的信息说明基于状态的CA的要求和审计是“较弱”还是“更强”
–半比特
2012年12月3日在16:09
Diginotar上的信息不正确;您会发现,Diginotar甚至不知道发出了什么,以及就凭据而言未发出的内容。处理Diginotar折衷之所以如此困难的原因是缺乏知识。后来,证书被广泛使用,但即使现在也不能确定这是创建的证书的完整列表。可以在FoxIT报告中阅读此信息,或者了解Diginotar的机制和不良的安全做法。
–布伦南
2012年12月3日17:33
@Brennan差异是否是Digiodoar破产并处于清算状态时Comodo仍从事证书业务的主要原因;还是在Comodo案中还有其他令人沮丧的情况允许他们继续经营?
–丹在火光中摆弄
2012年12月3日,21:35
@DanNeely Comodo在PKI / CA方面拥有世界上最重要的专业知识,即PHB。几乎所有组织都搞砸了,但是有些错误是无法恢复的。先前的Comodo错误之一包括RA的危害。 RA可以在线访问并处理最终用户数据,因此很容易遭到破坏,但它不会破坏PKI的整体安全性。像Diginotar一样,根CA暴露的私钥或未经审核的未经授权使用(例如Diginotar的情况)导致了政府赞助的针对伊朗境内和境外异议人士的攻击。是的,这确实杀死了Diginotar,是的。
–布伦南
2012年12月23日下午0:11
#2 楼
在物理方面,他们首先使根CA完全脱机。通常发生的情况是,他们设置了根CA,使下属完全退出,然后使根CA完全脱机,并使硬盘驱动器和HSM(有时甚至是整个服务器)从本质上锁定了它们的安全。接下来,他们对网络进行分段,以确保从属/发行CA的安全。
最后,在这些下属上,他们使用HSM来存储证书。
OCSP和CRL用于吊销证书,但这不仅如此简单。
在程序方面,它们有很多层,包括带锁的房间,需要多个人同时撤消/签署下属或根(A Key Signing Ceremony)。这些是24/7录制的(音频和视频),除了管理员和行政人员外,还需要CA的信任人。这是很大的一笔。这是视频。
编辑:与多项式所说的相反,从我所见,HSM对于CA甚至对于内部CA的大型实现都是司空见惯的。
评论
是的,这并不是说diginotar被黑客入侵,而且comodo在此之前已经失去了对其附属证书之一的控制。据推测,它们是在经过主要浏览器信任之前进行审核的,但是系统并不是完美无缺的,只需要一个不良的CA就可以破坏整个系统。而且我希望即使在声誉卓著的CA公司,高管们也会竭尽所能地降低成本和成本。
– ewanm89
2012年12月3日15:24
精彩的视频,对正在发生的事情有高水平的了解。一注;关键的签署仪式是针对根DNS证书颁发机构的; “一张证书来统治所有人”。如果有人获得了该私钥,他们可以通过伪装成DNS根目录并用自己的DNS替换网络上所有受信任的DNS服务器来关闭整个Internet。这是托马斯·珀金(Thomas Pornin)的答案中需要认真保护的钥匙的最主要例子。
– KeithS
2012-12-04 2:33
@KeithS我注意到他们似乎都穿着DNS-标记的衣服,我没有意识到DNS使用的是PKI,尽管现在我想到了。
–lynks
2012-12-5 12:02
@lynks并非所有的DNS都使用PKI。请参阅:DNSSec。 zh.wikipedia.org/wiki/Domain_Name_System_Security_Extensions
–杰索拉
2012年12月5日15:40
#3 楼
并非每个CA(政府,商业或私有)都以相同的方式存储私钥。大多数合法的运营商都使用HSM。供应商可能使用从根到SubCa的单向链接发布CRL吊销列表。 (仅传输的串行电缆,音频电缆,QR代码,仅连接了几个引脚的以太网等等。)要确定具体信息,这实际上取决于您所谈论的产品。
例如,每部电话(Android,iPhone,Blackberry),操作系统(Linux,Windows等),甚至某些Web浏览器(Firefox)都维护独立的信任库。
这些供应商中的每一个都有不同的标准,以确定哪些CA在该给定产品中有资格成为“根CA”。具体来说,每个供应商都有不同的证书,过程和程序(例如冷存储要求),每个CA都必须遵循这些证书,CA和CA才能包含在该根信任列表中。 CA遵循以下审核标准(应解决您的所有技术和程序问题)
ETSI 102 042
ETSI 101 456
CA的WebTrust
WebTrust EV就绪审核
ISO 21188(请注意,它们不接受ISO 27001)
具体来说,CA必须完成审核,并每十二(12)个月向Microsoft提交审核结果。审核必须涵盖Microsoft将通过分配扩展密钥用法(EKU)启用的完整PKI层次结构。我们启用的所有证书使用情况都必须定期审核。审核报告必须记录PKI层次结构的完整范围,包括颁发审核所涵盖的特定类型证书的任何子CA。合格的审核包括:
用于证书颁发机构的WebTrust v1.0或更高版本,由许可的WebTrust for CA审核员完成,
ETSI TS 101 456 v1.2.1或更高版本,
ETSI TS 102 042 V1.1.1或更高版本,或
ISO 21188:2006,“金融服务的公共关键基础结构-做法和政策框架”,由CA审计师的授权WebTrust或根据与CA所在辖区的评估人员的法律和政策运作的审计机构完成。
(请注意,这些审核要求不适用于政府CA,并且可能有所不同)。
在此处详细了解有关MSFT根的技术和审核指南
另外:
绝对有可能在不公开私钥(将请求卸载到该密钥的情况下)并永久跟踪该私钥的每次使用的HSM中存储私钥。我不记得这些标准中是否有任何一项都要求HSM,但是鉴于HSM的成本相对较低,我无法想象为什么它没有完成。
评论
感谢所有链接和谷歌的东西,那是一个很大的帮助。我假设“供应商”是指“浏览器/设备供应商”?换句话说:将证书集成到其产品中的人。
–lynks
2012年12月3日在16:01
每个电话(Android,iPhone,Blackberry),操作系统(Linux,Windows等),甚至某些Web浏览器(Firefox)都维护独立的信任库。我没有全部介绍,但还有更多。我不知道列入的要求是什么。
–半比特
2012年12月3日在16:03
是的,谢谢,是在澄清我理解您对卖方的意思。
–lynks
2012年12月3日,16:06
#4 楼
虽然我同意@Thomas的上述非常详尽的答复,但我想补充一点,我为英国银行自己的借记卡系统安装了根CA系统(卡上的每个微芯片实际上都是证书)。我们使用了Thales HSM设备(成本为6英镑),该设备具有适用于倾斜,温度,物理攻击等的防篡改系统。
在关键仪式上,托马斯(Thomas描述)有一群审核员站在冷机房周围,这比这复杂得多。您需要确保密钥生成活动和密钥到HSM的传输是分开的活动,并且密钥不能被共谋破坏。 Thales HSM工具允许将密钥分成多个部分,每个部分都用运输密钥进行加密,这样,每个密钥持有人就可以通过不同的运输方式(为了天才,无需汽车共享)分别进入密钥仪式。位置,通常在生产服务器机房中的HSM上。
请不要认为成为根CA很简单-是的,我知道您可以使用免费的工具来创建根CA。 —您需要确定自己的风险承受能力,以及是否可以建立根CA以匹配威胁模型。例如对于借记卡证书(其后果可能是“整个银行”),花费的总金额是巨大的,并且有很多人四处奔波,以确保没有一个人可以串通或控制钥匙。
如果您只是将Root CA创建为本地测试系统,则显然风险模型会有所不同。
我的建议是,除非您的规模像大型组织(《财富》 500强),或者成为根CA是您的实际业务,然后外包。
评论
我忘了补充一点,当运输钥匙无法正确输入时,我们的一项关键仪式变得非常紧张。因为我们看不到密钥持有者正在输入的内容-我们让他们继续尝试以防输入错误。然后,灯泡瞬间“钥匙上有I或字母O了吗?” “是”,它解释了问题,因为它是十六进制代码!
–卡勒姆·威尔逊(Callum Wilson)
2012年12月4日上午11:15
大声笑着涉及互联网安全级别的人员在看到十六进制代码时没有意识到:)
– Stijn de Witt
2014年4月4日19:39
#5 楼
与其全力闯入掩体和窃取不可能完成的私钥任务,不如简单地破解私钥。这一切都可以在自己舒适的家中完成。您只需要CA公钥,一些已签名的数据,样本签名和一台量子计算机。我已经有75%的东西了,如果有人愿意,我很乐意将战利品分成50/50。评论
很烂有点不切实际,但很笨拙。
– Mark C.华莱士
2012年12月4日上午11:18
抱歉,我用我的时间机器检查了一下,您的Quantum计算机有缺陷,它变成了一只死猫
–伊朗棉兰
2012年12月4日14:58
#6 楼
许多人要做的一件事是使用子证书和吊销列表。这并不意味着不会发生问题,并且私钥已被信任的CA窃取,但是,如果CA从未使其私钥可访问,则它们将获得一定程度的保护。相反,他们可以使用私钥对派生的CA证书进行签名,然后使用该CA证书(有效期要少得多)对要分发的证书进行签名。这样就不必再将主私钥暴露给网络了。如果确实发生了泄露,因为他们知道子证书将必须指定他们控制的撤销列表是有效的,因此然后也可以撤消受感染的子证书。
检查特定CA是否这样做的一种简单方法是检查证书上的信任链。通常,在给定证书和受信任的根CA证书之间会存在一个甚至几个CA证书。
#7 楼
一个简单的(相当不幸的)答案是,他们确实没有。系统管理员被认为是安全的,他们以保护任何敏感公司服务器相同的方式来保护其签名框。在执行CSR的情况下,可能需要人为操作,但是如果他们投入足够的时间和精力,绝对没有什么可以阻止坚定的攻击者破坏CA网络的。最多,他们会使用HSM来存储私有数据键,尽管我打赌好钱这并不常见。评论
HSM的使用使我无所适从。我想在这种情况下,没有人可能会知道钥匙。就在盒子里。但是似乎仍然如此有价值的目标每天都会受到严重的(外国政府)攻击。而且考虑到每个网络最终都被破坏了,我想知道为什么我从未听说过这样的破坏。我是否高估了价值(感谢乔治)?
–lynks
2012年12月3日,14:21
外国政府攻击它的问题在于,如果可以追溯到外国政府,它们将陷入重大政治困境。没有足够的收益。
– AJ亨德森
2012年12月3日14:34
@lynks我认为AJ在这里。如果获得归因,就会使他们陷入令人讨厌的政治局势。对于他们来说,让自己的国内CA颁发一个其公民的浏览器会很乐意接受的伪造证书也更便宜,更安全。
–多项式
2012年12月3日14:37
有没有投票支持者愿意实际解释他们的投票?如果没有人知道为什么,则给-1并没有多大意义。
–多项式
2012年12月4日下午6:57
我想这是因为您的赌注以及似乎可以猜测的东西与其他答案和评论相矛盾...
–naught101
2012-12-14 12:50
评论
图片:arstechnica.com/security/2012/11/…。技术细节:blogs.technet.com/b/askds/archive/2009/09/01/…