¿Cómo puedo mejorar y asegurar la firma automatizada?

3

La firma automatizada de archivos, como paquetes de software o copias de seguridad de archivos, es inherentemente riesgosa si se le otorga un cierto nivel de confianza. Tener que firmar sea un proceso automatizado significa que no hay ningún usuario sentado y verificando los archivos.

Dicho esto, ¿cuáles son los pasos que se pueden tomar para aumentar la confianza en las firmas automáticas?

Además del control de acceso obligatorio y la seguridad básica de una máquina Linux, ¿qué más se puede hacer?

    
pregunta Naftuli Kay 10.03.2016 - 06:30
fuente

1 respuesta

1

Por lo general, tienes dos vectores aquí.

  1. Pérdida de la clave privada
  2. Uso no autorizado de la clave privada

En general, se recomienda cierto respaldo de hardware para abordar el número 1, como un HSM, una tarjeta inteligente u otro dispositivo criptográfico físico.

Estos dispositivos también suelen tener algunos controles de acceso, que van desde IP ACLS con contraseñas, hasta un pin con un pequeño número de reintentos.

Como regla general, debe ser restrictivo sobre lo que puede acceder a la PK para firmar, por ejemplo, si jenkins construye su software, luego lo firma, solo permite que los procesos de jenkins accedan a la PK, además, todo el proceso de firma podría realizarse. en un esclavo jenkins separado, lo más aislado posible de todo lo demás.

Sin embargo, como todos sabemos, el control de daños es casi tan importante como los intentos realizados para evitar daños. Uno debe asegurarse de que él / ella tenga una forma de revocar la clave de firma en caso de que se vea comprometida, y planea reemplazar y hacer una transición limpia.

    
respondido por el KJ4IPS 21.11.2017 - 22:31
fuente

Lea otras preguntas en las etiquetas