Declaración de práctica de certificado (CPS) sin CP (Política de certificado)?

1

Esta pregunta anterior discutió las diferencias entre un CP y CPS.

Según el RFC:

  

Por lo tanto, las principales diferencias entre CP y CPS pueden resumirse   como sigue:

     

(a) Una PKI utiliza un CP para establecer requisitos que establecen qué          Los participantes dentro de ella deben hacer. Una sola CA u organización puede          utilizar un CPS para revelar cómo cumple los requisitos de un CP o          Cómo implementa sus prácticas y controles.

Como tal, un CP establece requisitos y un CPS demuestra cómo se cumplen estos requisitos. Los certificados tienen CP especificados como OID en la extensión de certificado adecuada. Cada CP debe tener un CPS que demuestre cómo la CA satisface un CP particular. Además, de acuerdo con el RFC, los CP son la base para auditorías de CA de terceros.

Dado todo esto, ¿tiene sentido tener un CPS y no un CP?

Esta pregunta al construir una PKI interna. Un paso natural es escribir un CPS, pero la lectura del RFC lleva a darse cuenta de que el CPS está demostrando básicamente la aplicación del CP. ¿Se necesita un CP?

    
pregunta bgd223 18.01.2018 - 17:10
fuente

1 respuesta

2

Su otra pregunta parece sugerir que una CA escribe el PC, pero este no es el caso.

Un CP es escrito por la autoridad responsable de la PKI en su totalidad, generalmente llamada Autoridad de Gestión de la PKI (PMA). Es el PMA que posee las relaciones de confianza entre las entidades dentro de la PKI y es el PMA que, por lo tanto, hace todo lo posible para garantizar que la confianza no se pierda. Como parte de esto, establece reglas (políticas) que cualquier Autoridad de Certificación debe seguir para formar parte de la PKI.

Una vez que la PMA ha escrito el CP, cualquier Autoridad de Certificación que desee emitir certificados en nombre de esa PMA debe diseñar la CA de acuerdo con el CP. Una vez hecho esto, debe escribir una Declaración de Práctica de Certificación que demuestre cómo está siguiendo el PC. Tenga en cuenta que un CP bien escrito tendrá políticas de auditoría que permiten verificar las CA, entre otras cosas, el cumplimiento del CP.

Un CPS sin un CP no tiene sentido. Sin un CP, el contenido del CPS podría ser absolutamente cualquier cosa y no estaría rompiendo ninguna política.

Por ejemplo, la sección 6.2 cubre la protección de las claves privadas. Sin un CP, su CPS podría decir algo al efecto de:

  

la clave privada de la CA raíz se guarda en una memoria USB almacenada en el armario fijo

La declaración es irresponsable; pero no infringe ninguna ley o política.

Sin embargo, si su administración considera que lo anterior es inaceptable y que la clave privada debe almacenarse en un Módulo de seguridad de hardware de nivel 3 FIPS-140-2, debe incluirse en la sección 6.2 de su CP. Una vez que está allí, la declaración del CPS anterior rompe la política y no es aceptable. Intentar enviar un CPS con la declaración anterior resultaría en un rechazo por parte de la PMA y, en consecuencia, la CA no podría unirse a la PKI.

Puede ser tentador escribir solo un CPS y enviarlo para que lo revisen los colegas o la administración.

Si su CPS se devuelve sin ningún comentario y se acepta, debe preguntarse si los revisores conocen su tema o si usted diseñó en exceso la CA que está perdiendo tiempo y dinero.

Si su CPS se devuelve con comentarios (¿tal vez sugiera cómo se debe almacenar la clave privada entre otras cosas?), estos comentarios son el comienzo de un CP. Sin embargo, en lugar de muchas iteraciones de este proceso de revisión y quizás discusiones / argumentos / disparos acalorados, sería mucho más simple si una autoridad principal (¿el PMA?) Anote las reglas de funcionamiento de la PKI que deben seguir todas las CA. A la larga, un CP hará que el proceso de escribir un CPS sea mucho más sencillo. Después de todo, todos los temas deben discutirse en algún momento, así que hágalo antes de diseñar su CA.

Finalmente, recuerde que solo hay un CP que cubre todas las autoridades (CA, RA, VA) en la PKI. Cada CA (y posiblemente RA y VA si son entidades separadas de la CA) escribe un CPS para indicar cómo siguen las políticas.

Como mínimo, Acme Inc tendrá un solo Acme CP (escrito por el PMA), seguido del Acme Root CA CPS (escrito por los operadores del Root CA) y el Acme Issuing CA CPS (escrito por el Emisor Operadores de CA).

    
respondido por el garethTheRed 18.01.2018 - 20:40
fuente

Lea otras preguntas en las etiquetas