Seriöse Zertifizierungsstellen wenden schwere Verfahren an. Im Kern wird der CA-Schlüssel in einem Hardware-Sicherheitsmodul gespeichert. aber das ist nur ein teil der sache. Die Zertifizierungsstelle selbst muss physisch geschützt sein, einschließlich proaktiver und retrospektiver Maßnahmen.

Bei proaktiven Maßnahmen geht es darum, Angriffe zu verhindern erfolgreich. Zum Beispiel wird die CA in einem Tresorraum mit Stahltüren und Schutzvorrichtungen aufbewahrt. Die Maschinen selbst sind mit mehreren Vorhängeschlössern verschlossen, und niemand hält mehr als einen Vorhängeschlossschlüssel. Die physische Sicherheit ist von größter Bedeutung. Das HSM ist nur die tiefste Schicht.

Bei retrospektiven Maßnahmen geht es darum, sich nach einem Vorfall zu erholen. Der HSM protokolliert alle Signaturen. Das Gerät wird rund um die Uhr per Video überwacht und außerhalb des Standorts aufgezeichnet. Bei diesen Maßnahmen geht es darum zu wissen, was passiert ist (wenn Sie es vorziehen, a priori zu wissen, dass wir es im Falle eines Problems a posteriori analysieren können). Wenn beispielsweise "illegale" Zertifikate ausgegeben wurden, aber die vollständige Liste dieser Zertifikate wiederhergestellt werden kann, ist die Wiederherstellung genauso "einfach" wie das Widerrufen der fehlerhaften Zertifikate.

Für eine zusätzliche Wiederherstellung wird häufig die Zertifizierungsstelle verwendet aufgeteilt in eine langlebige Stammzertifizierungsstelle, die offline gehalten wird, und eine kurzlebige Zwischenzertifizierungsstelle. Beide Maschinen befinden sich im Käfig und im Bunker; Die Stammzertifizierungsstelle ist niemals mit einem Netzwerk verbunden. Auf die Stammzertifizierungsstelle wird physisch mit doppelter Kontrolle (mindestens zwei Personen zusammen und Videoaufzeichnung) regelmäßig zugegriffen, um das Zertifikat für die Zwischenzertifizierungsstelle und die CRL auszustellen. Auf diese Weise kann eine Zwischenzertifizierungsstelle widerrufen , wenn sie gründlich gehackt wurde (bis zu dem Punkt, an dem ihr privater Schlüssel gestohlen wurde oder die Liste der betrügerisch ausgegebenen Zertifikate nicht wiederhergestellt werden kann).

Die erstmalige Einrichtung einer seriösen Stammzertifizierungsstelle umfasst eine Schlüsselzeremonie mit Herden von Auditoren mit neugierigen Blicken und einen Formalismus, der von einem chinesischen Kaiser nicht verachtet worden wäre die Song-Dynastie. Keine Prüfung kann das Fehlen von Schwachstellen garantieren. Diese Art von Zeremonie kann jedoch verwendet werden, um zu wissen , was getan wurde, um zu zeigen, dass Sicherheitsprobleme in Betracht gezogen wurden , und um den Schuldigen zu identifizieren, wenn Ärger entsteht. Ich war an mehreren solchen Zeremonien beteiligt; Sie sind wirklich ein großes "Sicherheitstheater", haben aber Verdienste, die über die bloße Darstellung von Aktivitäten hinausgehen: Sie zwingen die Menschen, schriftliche Verfahren für alles zu haben.

Die Frage ist Jetzt: Sind vorhandene Zertifizierungsstellen auf die oben beschriebene Weise wirklich ernst? Nach meiner Erfahrung sind sie meistens. Wenn die Zertifizierungsstelle etwas mit VISA oder MasterCard zu tun hat, können Sie sicher sein, dass HSM, Stahl und schlecht gelaunte Pitbulls Teil der Installation sind. Bei VISA und MasterCard geht es um Geld und es wird sehr ernst genommen.

Für die Zertifizierungsstelle, die in Webbrowsern und Betriebssystemen enthalten ist, ist für den Browser oder den Betriebssystemanbieter in der Regel eine hohe Versicherung erforderlich. Auch hier geht es um Geld; Die Versicherungsgesellschaft wird dann jedoch alle physischen Maßnahmen sowie die Buchhaltung und Prüfung verlangen. Formal werden hierfür Zertifizierungen wie WebTrust verwendet.

Dies gilt auch für berüchtigte Zertifizierungsstellen wie DigiNotar oder Comodo: Beachten Sie, dass diese Zertifikate gehackt wurden und gefälschte Zertifikate ausgestellt wurden sind bekannt und wurden widerrufen (und Microsoft hat sie zu einer Liste von "verbotenen Zertifikaten" hinzugefügt, die als eine Art "widerrufen, und wir meinen es wirklich so" angesehen werden können - Software muss sich alle Mühe geben, sie trotzdem zu akzeptieren).

Die "schwache" Zertifizierungsstelle ist meistens die staatlich kontrollierte Stammzertifizierungsstelle. Microsoft kann die Aufnahme eines Stammschlüssels aus einem privaten Unternehmen ablehnen, wenn Microsoft der Ansicht ist, dass nicht genügend Versicherungen bereitgestellt wurden (sie möchten sicherstellen, dass die Zertifizierungsstelle finanziell robust ist, damit der Betrieb aufrechterhalten werden kann). Ich kenne eine Bank mit Millionen von Kunden, die versucht haben, ihren Stammschlüssel in Windows aufzunehmen, und die mit der Begründung entlassen wurden, sie seien "zu klein". Microsoft ist jedoch viel schwächer gegenüber offiziellen Zertifizierungsstellen aus souveränen Staaten. Wenn sie in Land X Geschäfte tätigen möchten, können sie es sich nicht leisten, den Stamm-CA-Schlüssel von Regierung X abzulehnen. Leider sind nicht alle Regierungen "ernst", wenn es um den Schutz ihrer CA-Schlüssel geht ...

Auf der physischen Seite halten sie zuerst die Stammzertifizierungsstelle vollständig offline. In der Regel richten sie die Stammzertifizierungsstelle ein, machen Untergebene, schalten die Stammzertifizierungsstelle dann vollständig offline und nehmen die Festplatten und HSMs (manchmal sogar den gesamten Server) und sperren sie im Wesentlichen in einem Safe.

Als Nächstes segmentieren sie das Netzwerk, um die Sicherheit der untergeordneten / ausstellenden Zertifizierungsstellen zu gewährleisten.

Schließlich verwenden diese Untergebenen HSMs zum Speichern der Zertifikate.

OCSP und CRLs werden verwendet, um Zertifikate zu widerrufen, aber es ist nicht nur so einfach.

Auf der prozeduralen Seite haben sie eine verrückte Anzahl von Ebenen, einschließlich verschlossener Räume, in denen mehrere Personen gleichzeitig Untergebene oder Wurzeln widerrufen / unterschreiben müssen (A Key Signing Ceremony). Diese werden rund um die Uhr aufgezeichnet (Audio und Video) und erfordern neben den Administratoren und Führungskräften eine vertrauenswürdige Person von der Zertifizierungsstelle. Es ist eine große Sache. Hier ist das Video.

Bearbeiten: Im Gegensatz zu den Aussagen von Polynomial sind HSMs nach meinen Erkenntnissen für Zertifizierungsstellen und sogar für große Implementierungen interner Zertifizierungsstellen üblich.

Nicht jede Zertifizierungsstelle (Regierung, Handel oder Privatwirtschaft) speichert private Schlüssel auf dieselbe Weise. Die meisten legitimen Betreiber verwenden ein HSM. Es ist möglich, dass der Anbieter CRL-Sperrlisten über einen One-Way-Link vom Stamm zum SubCa veröffentlicht. (Nur serielle Übertragungskabel, Audiokabel, QR-Codes, Ethernet mit nur wenigen angeschlossenen Pins usw.)

Um genau zu werden, hängt es wirklich davon ab, um welches Produkt es sich handelt.

Beispielsweise unterhalten jedes Telefon (Android, iPhone, Blackberry), Betriebssystem (Linux, Windows usw.) und sogar einige Webbrowser (Firefox) unabhängige Vertrauensspeicher.

Jeder dieser Anbieter hat unterschiedliche Standards, welche Zertifizierungsstellen in diesem Produkt als "Stammzertifizierungsstellen" qualifiziert sind. Insbesondere hat jeder Anbieter unterschiedliche Zertifizierungen, Prozesse und Verfahren (z. B. Kühlspeicheranforderungen), die jede Zertifizierungsstelle einhalten muss, bevor sie in diese Root-Vertrauensliste aufgenommen wird.

Microsoft verfügt über das Root-Zertifikatsprogramm und das erfordert, dass jede Zertifizierungsstelle die folgenden Prüfungsstandards befolgt (die alle Ihre technischen und verfahrenstechnischen Fragen beantworten sollten)

• ETSI 102 042
• ETSI 101 456
• WebTrust für Zertifizierungsstellen
• WebTrust EV-Bereitschaftsprüfungen
• ISO 21188 (Beachten Sie, dass sie ISO 27001 nicht akzeptieren)

Insbesondere Die Zertifizierungsstelle muss alle zwölf (12) Monate ein Audit durchführen und die Auditergebnisse an Microsoft übermitteln. Das Audit muss die vollständige PKI-Hierarchie abdecken, die von Microsoft durch die Zuweisung von EKUs (Extended Key Usages) aktiviert wird. Alle von uns aktivierten Zertifikatsverwendungen müssen regelmäßig überprüft werden. Der Prüfbericht muss den gesamten Umfang der PKI-Hierarchie dokumentieren, einschließlich aller Unterzertifizierungsstellen, die einen bestimmten Zertifikatstyp ausstellen, der von einer Prüfung abgedeckt wird. Zu den zulässigen Prüfungen gehören:

• WebTrust für Zertifizierungsstellen v1.0 oder höher, durchgeführt von einem lizenzierten Prüfer für WebTrust für Zertifizierungsstellen,

• ETSI TS 101 456 v1.2.1 oder höher,

• ETSI TS 102 042 V1.1.1 oder höher oder

• ISO 21188: 2006, "Public-Key-Infrastruktur für Finanzdienstleistungen - Praktiken und Richtlinienrahmen", entweder von einem lizenzierten WebTrust for CA-Prüfer oder einer Prüfungsbehörde, die gemäß den Gesetzen und Richtlinien für Prüfer in derselben Gerichtsbarkeit wie die Zertifizierungsstelle arbeitet.

(Beachten Sie, dass diese Prüfungsanforderungen nicht für staatliche Zertifizierungsstellen gelten und möglicherweise unterschiedlich sind.)

Lesen Sie hier mehr über die technischen und Prüfungsrichtlinien für MSFT-Wurzeln

Aside:

Es ist definitiv möglich, einen privaten Schlüssel in einem HSM zu speichern, der den privaten Schlüssel niemals verfügbar macht (verlagert die Anforderungen dazu Schlüssel) und verfolgen Sie permanent jede Verwendung dieses privaten Schlüssels. Ich erinnere mich nicht, ob für einen dieser Standards ein HSM erforderlich ist, aber angesichts der relativ geringen Kosten eines HSM kann ich mir nicht vorstellen, warum dies nicht durchgeführt wird.

Obwohl ich der oben genannten sehr gründlichen Antwort von @ Thomas zustimme, möchte ich hinzufügen, dass ich das Root-CA-System für das Debitkartensystem einer britischen Bank installiert habe (jeder kleine Chip auf der Karte) ist eigentlich ein Zertifikat).

Wir haben Thales HSM-Geräte (6-stellige £ Kosten) verwendet, die über geeignete manipulationssichere Systeme für Neigung, Temperatur, physische Angriffe usw. verfügten.

In Begriffen der Schlüsselzeremonie , bei der (wie Thomas beschreibt) Herden von Auditoren in kalten Maschinenräumen stehen - das ist komplizierter. Sie müssen sicherstellen, dass die Schlüsselgenerierungsaktivität und der Schlüsseltransport zum HSM getrennte Aktivitäten sind und dass der Schlüssel nicht durch Absprachen gefährdet werden kann. Mit den HSM-Tools von Thales kann der Schlüssel in Segmente aufgeteilt werden, die jeweils mit einem Transportschlüssel verschlüsselt sind, sodass einzelne Schlüsselhalter separat zur Schlüsselzeremonie gelangen können, und zwar durch unterschiedliche Transporte (um Himmels willen, kein Carsharing) zum Standort, normalerweise beim HSM im Produktionsserverraum.

Bitte denken Sie nicht, dass es einfach ist, eine Stammzertifizierungsstelle zu sein. Ja, ich weiß, dass Sie eine Stammzertifizierungsstelle mit erstellen können Kostenlose Tools - Sie müssen Ihren eigenen Risikoappetit ermitteln und herausfinden, ob Sie eine Stammzertifizierungsstelle erstellen können, die dem Bedrohungsmodell entspricht. z.B. Bei Debitkartenzertifikaten (bei denen der Folgeverlust "die gesamte Bank" sein könnte) war der Gesamtbetrag enorm und es liefen viele Leute herum, um sicherzustellen, dass keine einzelne Person den Schlüssel kollidieren oder kontrollieren konnte.

Wenn Sie nur eine Stammzertifizierungsstelle als lokales Testsystem erstellen, ist das Risikomodell eindeutig anders.

Mein Rat wäre, es sei denn, Sie haben die Größe von eine große Organisation (Fortune 500) oder es ist Ihr eigentliches Geschäft, eine Stammzertifizierungsstelle zu sein und diese dann auszulagern.

Anstatt sich die Mühe zu machen, in einen Bunker einzubrechen und den unmöglichen Stil der Mission mit privatem Schlüssel zu stehlen, könnte man einfach den privaten Schlüssel knacken. Dies kann alles bequem von zu Hause aus erfolgen. Sie benötigen lediglich den öffentlichen CA-Schlüssel, einige signierte Daten, eine Beispielsignatur und einen Quantencomputer. Ich habe bereits 75% der Sachen, wenn jemand das letzte bisschen hat, bin ich glücklich, die Beute 50/50 aufzuteilen.

Eine Sache, die viele tun, ist die Verwendung von Unterzertifikaten und Sperrlisten. Dies bedeutet nicht, dass keine Probleme auftreten und private Schlüssel von vertrauenswürdigen Zertifizierungsstellen gestohlen wurden. Wenn die Zertifizierungsstelle ihren privaten Schlüssel jedoch nie zugänglich macht, haben sie einen gewissen Schutz. Sie können stattdessen ihren privaten Schlüssel verwenden, um ein abgeleitetes CA-Zertifikat zu signieren, und dann dieses CA-Zertifikat (mit einer viel eingeschränkteren Gültigkeitsdauer) verwenden, um Zertifikate für die Verteilung zu signieren. Dann muss der private Hauptschlüssel niemals dem Netzwerk ausgesetzt werden.

Wenn ein Verstoß auftritt, können sie, da sie wissen, dass das Unterzertifikat die von ihnen kontrollierte Sperrliste angeben muss, um gültig zu sein, dies tun Widerrufen Sie dann auch ein gefährdetes Unterzertifikat.

Eine einfache Möglichkeit, um zu überprüfen, ob eine bestimmte Zertifizierungsstelle dies tut, besteht darin, die Vertrauenskette für das Zertifikat zu überprüfen. Oft befinden sich zwischen dem angegebenen Zertifikat und dem vertrauenswürdigen CA-Stammzertifikat ein oder sogar mehrere CA-Zertifikate.

Die einfache (und ziemlich unglückliche) Antwort lautet, dass dies nicht wirklich der Fall ist. Den Systemadministratoren wird vertraut, dass sie sicher sind, und sie sichern ihre Signaturfelder auf die gleiche Weise, wie Sie jeden sensiblen Unternehmensserver sichern würden. In Fällen der Durchführung von CSRs ist möglicherweise ein menschlicher Schritt erforderlich, aber es gibt absolut nichts, was einen entschlossenen Angreifer davon abhält, ein CA-Netzwerk zu gefährden, wenn er genügend Zeit und Mühe investiert. Sie würden höchstens einen HSM um die privaten Schlüssel zu speichern, obwohl ich gutes Geld wetten würde, dass es nicht alltäglich ist.