¿Cómo mantener la seguridad y la confianza con un par de llaves PGP para un equipo o grupo de personas?

4

He visto muchos casos en los que una empresa u organización genera y usa un par de llaves PGP para un equipo o grupo de personas. Lo más probable es que todos tengan una copia de las claves privadas y públicas en sus máquinas individuales o inicien sesión en el servidor central y utilicen la utilidad gpg allí (todos conocen la contraseña de la clave secreta compartida).

¿Qué sucede cuando un miembro del equipo abandona la empresa? ¿Qué pasa si se deshacen a la salida? Supongamos que copiaron la clave secreta en su memoria USB personal antes de que revocara el acceso al servidor central o los viera eliminar su par de llaves.

Sería extremadamente inconveniente y poco práctico revocar y volver a emitir la clave PGP del "equipo" cada vez que alguien abandona la empresa (imagen de un equipo de más de 10 personas).

¿Qué hacen las empresas actualmente? ¿Simplemente ignoran la posibilidad de que un ex miembro del equipo actúe con malicia?

Para un escenario realista, hablemos explícitamente sobre un buzón [email protected] con la clave PGP "Example Inc. Security Team" <[email protected]> (0xAAF00F00) donde Bob , Alice y Charlie (el equipo) tiene acceso al buzón y al par de llaves públicas / privadas de PGP.

El buzón y la clave PGP son para recibir informes de vulnerabilidades de seguridad de alta gravedad para Example Inc. y el equipo aprovecha el cifrado y la firma de mensajes para la correspondencia con los investigadores de seguridad.

    
pregunta JustinBull 20.03.2014 - 19:32
fuente

2 respuestas

2

La configuración que describiste no es ideal. Sería mejor implementar una autoridad de certificación y configurar a todos con sus propios pares de llaves público-privadas. Existen esquemas en los que luego otorgaría acceso a un recurso compartido mediante las ACL en el nivel de la aplicación o al tener una clave simétrica que se usa para el acceso y se cifra con la clave pública de cada persona. Luego, cambiará estas claves compartidas para cualquier recurso afectado cuando alguien se vaya.

  

Para un escenario realista, hablemos explícitamente sobre un   buzón de [email protected] con clave PGP "Ejemplo Inc. Equipo de seguridad"    (0xAAF00F00) donde Bob, Alice y Charlie (el   equipo) tienen acceso al buzón y al par de llaves públicas / privadas de PGP.

En su escenario, el par de llaves compartido no es relevante. Incluso si tienen sus propias claves, una vez que están desencriptadas las tienen. Si tiene un documento encriptado y tiene la clave, y se va con los dos tampoco importaría, porque a diferencia de un documento en papel en un archivador, es trivial para hacer copias. Si abandono la empresa, ¿por qué todavía tengo acceso al servidor de correo? Si no tengo acceso y todavía tengo la clave de descifrado, tendría que ingresar y presumiblemente derrotar algunas otras capas de seguridad para incluso obtener acceso para descifrarlo primero.

No recomendaría compartir el buzón de correo de esta manera en general porque no habría responsabilidad por quién envió un correo electrónico o quién leyó un correo electrónico porque técnicamente están compartiendo la identidad. Es mejor tener el mensaje introducido en un sistema con RBAC. Tal vez usted implementaría una solución HSM combinada con certificados / claves para acceder al sistema y el descifrado es propiedad del sistema, no de los usuarios.

La seguridad debe aplicarse en capas. No permita que las unidades de memoria USB, haga que inicien sesión a través de Citrix con todas las impresiones y copie y pegue deshabilitada, haga que la única forma de obtener una copia de los datos sea tomando una foto (podría prohibir físicamente los teléfonos celulares y las cámaras) . La preocupación aquí es realmente la capacidad de copiar datos digitales. También podría implementar algunas soluciones basadas en DRM para abordar esto, pero DRM puede ser derrotado y no evita la copia o la captura de pantalla.

    
respondido por el Eric G 20.03.2014 - 21:08
fuente
1

No hay forma de distribuir la clave a todos y, al mismo tiempo, poder retirar el acceso a cualquiera del equipo.

Posibles soluciones para cifrado :

  • El remitente encripta a todos los miembros de su equipo, cada uno con su clave privada.
  • Si necesita tener una sola clave, tenga un " servicio de descifrado " central donde todos los miembros del equipo puedan poner cosas para descifrarlo, la clave permanece en el servidor.

    También puede descifrarlo en el servidor y firmarlo y enviarlo nuevamente a todos los demás miembros del equipo.

  • Dividir la clave en partes, de modo que solo n miembros del equipo puedan descifrar el contenido juntos. Ninguna persona puede usar la llave por su cuenta. Piense en ello como un tipo de RAID 5/6.

    Incluso hay una marca que puedes establecer en el estándar OpenPGP para esto, no estoy seguro de que haya implementaciones por ahí.

Posibles soluciones para firmar :

  • Haga que algún miembro del grupo (por ejemplo, el líder del equipo) actúe como una autoridad de certificación y haga que la otra parte confíe en él. Él firmará a todos los demás miembros del equipo. El otro lado ahora puede verificar todas las firmas de su equipo.
  • Tenga un " servicio de firma " central como el que tenemos para el cifrado.
  • Distribuir subclaves de la clave principal. Puede revocar cada uno de ellos, pero la clave principal, los UID y, por lo tanto, la confianza entrante permanecen igual.
respondido por el Jens Erat 20.03.2014 - 20:09
fuente

Lea otras preguntas en las etiquetas