security – ¿Cómo proteger la clave privada de su CA?

Pregunta:

Estoy a punto de implementar mi propia Autoridad de Certificación (CA) solo para uso interal.

Ahora hay un problema, que la CA privada nunca debe ser explotada. Entonces, ahora mismo, la clave privada está encriptada.

¿Qué más se puede hacer para mejorar la seguridad de la clave privada?

Respuesta:

Trabajé en una empresa donde la seguridad de la clave CA era fundamental para el éxito continuo del negocio. Con este fin, la clave se cifró mediante un protocolo personalizado que requería que al menos 2 personas estuvieran presentes con tokens físicos conectados a terminales para descifrarla (había al menos 5 de estos tokens, cualquiera de los 2 combinados funcionaría). Los terminales se separaron físicamente de la máquina real con la clave CA. La interfaz que tenían los usuarios que lo descifraron era una terminal VT220 que les permitía ingresar los tokens de descifrado y luego seleccionar lo que querían 'firmar' con la clave (nunca dándoles acceso a la clave descifrada). Este sistema significaba que al menos 4 personas tendrían que trabajar juntas para comprometer la clave, dos poseedores de tokens, el tipo que tenía acceso al centro de datos y otra persona que tenía acceso de root en el servidor (porque la clave descifrada nunca se almacenó en el servidor solo en la memoria, no podía simplemente robar la caja, y las personas con root en este servidor específico no tenían acceso a DC).

Si está interesado en obtener más detalles sobre este tipo de configuración, Bruce Schneier tiene un excelente sitio que cubre el diseño y la implementación de la seguridad informática:

http://www.schneier.com/

También ha publicado un libro realmente bueno, Criptografía aplicada que encontré que me ayudó a comprender los fundamentos de sistemas como este y cómo diseñar infraestructuras más seguras (legibles para personas que no usan protectores de bolsillo):

http://www.schneier.com/book-applied.html

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım