CA almacenando la clave raíz en una caja de seguridad bancaria. ¿Preocupación?

Question

CA almacenando la clave raíz en una caja de seguridad bancaria. ¿Preocupación?

#1 de Rоry McCune (5 votos)

2

El CP / CPS de SwissSign Gold Certificate indica que:

5.1 "... Dos clones idénticos de las claves de SwissSign Gold CA se almacenan desactivados línea en cajas de seguridad de bancos suizos ".

Incluso pusieron en su página Why SwissSign como su primer "punto de venta":

La «llave maestra» de nuestros certificados se almacena de forma segura en dos bancos

¿Es esto común entre las CA? ¿No le preocupa que la clave privada esté impresa en alguna parte? ¿No deberían estar dentro de un HSM sin una forma de extraerlo?

certificate-authority

pregunta Victor 29.03.2018 - 15:33

fuente

1 respuesta

Lea otras preguntas en las etiquetas certificate-authority

¿Cuáles son los orificios de bucle en el túnel SSH? ¿Cómo entender la política de contraseñas de GitHub?

score 5 · Accepted Answer

Con las claves para una autoridad de certificación, debe haber un equilibrio entre la confidencialidad (deben asegurarse de que las claves no se divulguen sin autorización) y la disponibilidad (no deben perder la clave por completo, de lo contrario no pueden hacerlo). utilícelo para firmar certificados).

Si almacenaron su clave en un HSM sin la forma de extraerla, entonces existe un riesgo real de que el HSM la suelte, y en ese punto se encontrarán en un poco atados en términos de emitir más certificados.

Por lo que he visto que CA manejó dividir la clave y luego almacenarla en lugares físicamente seguros, es una práctica muy común.