¿Existe una forma segura de compartir una clave PGP para usar con security.txt?

Navega tus respuestas
5

Una de las opciones para security.txt es incluir una referencia a una clave PGP para usar cuando se reportan vulnerabilidades de manera privada y segura. . Para mí, un investigador tiene mucho sentido utilizar PGP para cifrar un mensaje y reportar una vulnerabilidad.

Pero ¿qué pasa con el negocio en el otro extremo? ¿Cómo deben implementar de manera segura una clave PGP para dichos informes?

Una opción sería simplemente usar la clave personal de una persona (o, más probablemente, una única creada exclusivamente para este propósito), pero existe el riesgo de que la persona muera (no disponible) o se convierta en delincuente (DOS). / Informes MitM).

Otra opción sería generar un par de claves para este propósito y compartirlo entre un grupo de personas de confianza. Esto resuelve el problema de la "muerte" y el problema de DOS, pero aumenta el riesgo de que una persona reciba un informe y haga algo nefasto con él.

Una clave compartida también significa que cualquier titular de clave privada puede emitir un mensaje "como" esa identidad. Probablemente esto se pueda resolver dejando en claro que la clave es para "solo recibo" al acuñarla.

¿Hay una manera estándar y / o segura de hacer cosas como esta?

    
pregunta Christopher Schultz 05.09.2018 - 19:07
fuente

2 respuestas

3

Una forma que sugeriría es compartir la subclave de cifrado entre los miembros del equipo de seguridad, pero no las subclaves Certify ("master") ni las subclaves de inicio de sesión. De esta manera, cada miembro del equipo puede descifrar los mensajes enviados a la dirección de correo electrónico que figura en security.txt, pero no puede enviar un correo electrónico firmado. Las subclaves Certificar y Firmar se pueden mantener en un sistema de bóveda, que se puede usar para los siguientes fines:

  • firmando comunicación oficial
  • revocar la subclave de cifrado compartida y crear una nueva en caso de que un miembro del grupo se retire

El sistema de bóveda puede tener esas subclaves en algún tipo de HSM que no se puede eliminar físicamente; de manera similar, el sistema en sí o la sala donde se guarda deben requerir la presencia de varias personas para poder operar.

    
respondido por el mricon 05.09.2018 - 20:20
fuente
2

Gran pregunta.

Como siempre, se reduce a su modelo de amenaza específico.

Presenta una serie de interesantes (por ejemplo, información privilegiada, pícaro, muerte, etc.)

Para la mayoría de las personas que utilizan security.txt, la pregunta se detiene principalmente en "¿Cómo puedo permitir que los investigadores se comuniquen de forma segura con mi empresa?". La hipótesis es que la empresa ha abordado estas cuestiones de acceso a la clave privada. Tolerancia particular al riesgo.

Si solo una persona tiene la tarea de responder a los informes de seguridad, su clave, generada para este propósito, está bien, y la empresa acepta los tipos de riesgos que describe para un solo usuario. Si se trata de un equipo, entonces, por definición, todos los equipos tienen acceso y usted se enfrenta a la otra clase de riesgos.

Un tamaño no se ajusta a todos. Si estuviera diseñando algo y se me pidiera que considerara todas las amenazas que describe, iría con algo como lo siguiente:

Clave privada del par PGP almacenado en AWS Secrets Manager

enlace

y acceso administrado a través de roles y políticas a través del servicio de administración de claves

enlace

Esto pone a la empresa a cargo de definir los roles, políticas y controles de acceso apropiados para su perfil de riesgo y las amenazas que les interesan.

Ninguna persona, ni siquiera un grupo de personas controla "la clave privada", pero el acceso para su uso puede otorgarse y revocarse de manera central, agregando y eliminando permisos de acuerdo con las reglas de la organización.

Esto también le daría una pista de auditoría de qué miembro de un grupo usó la clave para responder a una solicitud específica.

    
respondido por el JesseM 06.09.2018 - 00:44
fuente

Lea otras preguntas en las etiquetas

¿Prevenir el acceso fraudulento a recursos restringidos en la web? ¿Son los dispositivos PS / 2 una pieza de hardware arriesgada para los dispositivos de punto de venta modernos que se están utilizando?