CA almacenando la clave raíz en una caja de seguridad bancaria. ¿Preocupación?

2

El CP / CPS de SwissSign Gold Certificate indica que:

  

5.1 "... Dos clones idénticos de las claves de SwissSign Gold CA se almacenan desactivados   línea en cajas de seguridad de bancos suizos ".

Incluso pusieron en su página Why SwissSign como su primer "punto de venta":

  

La «llave maestra» de nuestros certificados se almacena de forma segura en dos   bancos

¿Es esto común entre las CA? ¿No le preocupa que la clave privada esté impresa en alguna parte? ¿No deberían estar dentro de un HSM sin una forma de extraerlo?

    
pregunta Victor 29.03.2018 - 15:33
fuente

1 respuesta

5

Con las claves para una autoridad de certificación, debe haber un equilibrio entre la confidencialidad (deben asegurarse de que las claves no se divulguen sin autorización) y la disponibilidad (no deben perder la clave por completo, de lo contrario no pueden hacerlo). utilícelo para firmar certificados).

Si almacenaron su clave en un HSM sin la forma de extraerla, entonces existe un riesgo real de que el HSM la suelte, y en ese punto se encontrarán en un poco atados en términos de emitir más certificados.

Por lo que he visto que CA manejó dividir la clave y luego almacenarla en lugares físicamente seguros, es una práctica muy común.

    
respondido por el Rоry McCune 29.03.2018 - 15:52
fuente

Lea otras preguntas en las etiquetas