¿Cómo dejo el espacio vacío de mi computadora CA?

7

Recuerdo haber leído acerca de la necesidad de separar el aire de la computadora de CA (nunca lo conecté a ninguna red, ningún dispositivo USB, etc.).

Me estoy preparando para configurar una serie de certificados (csr's para firmar, certificados del lado del cliente para la verificación de clientes en Apache, WPA2, etc.) y me pregunto cómo puedo realizar una conexión de aire al ordenador. Las principales preguntas son:

  1. ¿Cómo mantengo el sistema operativo actualizado?
  2. ¿Cómo hago la firma real (es decir, transfiriendo los CSR a la computadora de CA para firmar y transferir los certificados firmados de nuevo)?

Entiendo que usar certificados intermedios puede hacer mi vida un poco más fácil, pero no entiendo cómo, todavía necesito mantener los certificados intermedios lo más seguros posible, ¿no es así?

    
pregunta Pavel 24.09.2016 - 08:53
fuente

3 respuestas

5

Si estás realmente, muy, muy serio acerca de esto, entonces:

  1. No lo haces. En el muy improbable caso de que sienta la necesidad de una actualización, vuelva a realizar la instalación desde un CD / DVD grabado.
  2. Cualquier dato debe ser transferido manualmente. Puede leer desde una pantalla y escribir en otra computadora, puede considerar códigos QR que puede imprimir y escanear. Como no hay que muchos datos que deban moverse, se puede hacer.
respondido por el Thomas 24.09.2016 - 21:31
fuente
5
  1. Todas las actualizaciones de Windows están disponibles como descargas que puede aplicar localmente, de manera similar para Linux. Las herramientas de administración empresarial también se pueden usar para proporcionar actualizaciones en red sin necesidad de conectar la máquina de CA a Internet. Podría conectarse temporalmente a la red local con una regla de firewall de Windows que solo permita una conexión a la dirección del servidor de administración.

  2. Los certificados intermedios actúan como el certificado raíz pero tienen un alcance más limitado. Por lo tanto, puede crear un conjunto de certificados intermedios para fines de firma específicos y con fechas de vencimiento cortas para limitar el impacto de que se comprometan. Sí, aún necesita mantener seguros los certificados intermedios, pero el impacto del compromiso es mucho menor si se realiza correctamente.

    Si necesita crear un nuevo certificado Intermedio, hágalo en la máquina de CA con una memoria USB limpia o similar.

    Claramente, comprenderá que debe mantener la máquina de CA asegurada físicamente. Debe estar en un gabinete asegurado en una habitación asegurada. El acceso a la máquina debe controlarse estrictamente y todo el acceso debe registrarse cuidadosamente.

ACTUALIZACIÓN: otra persona mencionó el uso de un módulo de cifrado de hardware (HSM). Ciertamente, esto también mejoraría la seguridad en la máquina de CA, lo que hace que sea mucho más difícil comprometer las claves y es altamente recomendable. Debería haber incluido eso antes.

    
respondido por el Julian Knight 24.09.2016 - 12:26
fuente
0

Hay una solución para que pueda evitar este cambio de aire y los riesgos / dificultades con él, pero aún así puede lograr la misma seguridad.

Lo que quiere proteger contra, es el compromiso de la clave privada de CA. Si la clave privada de la entidad emisora de certificados se ve comprometida, está atornillado y necesita reemplazar la CA. Pero para una CA de cliente-autenticación, no importa si un malware logra una firma, ya que puede revocar ese certificado fácilmente más adelante.

Esta seguridad se puede obtener almacenando la clave privada en un dispositivo seguro, llamado "HSM". Hay muchos dispositivos que tienen las características de seguridad de un HSM, pero uno que recomendaría es el Yubikey 4.

Lo bueno de Yubikey 4 es que se puede configurar para que requiera presionar un botón físico antes de firmar algo, lo que también evitaría que el malware maltrate las firmas.

Lo que desea tener es un dispositivo con seguridad aprobada, como la clave privada que nunca toca el dispositivo inseguro (la computadora).

También puede usar tarjetas inteligentes, dispositivos USB PKI y dispositivos similares como un HSM.

Lo bueno de tener un dispositivo pequeño que actúa como el firmante y almacena la clave privada, es que el dispositivo puede ser asegurado físicamente simplemente encerrándolo en una caja de seguridad bancaria o bancaria.

    
respondido por el sebastian nielsen 25.09.2016 - 11:11
fuente

Lea otras preguntas en las etiquetas