Da ich das Privileg hatte, mit einigen der besten, wenn nicht sogar den besten PKI- und Sicherheitsexperten auf diesem Gebiet zusammenzuarbeiten, habe ich gelernt, wie wichtig die Praktiken zur Sicherung der Plattform der Stammzertifizierungsstelle (CA) sind. Dazu gehören die Sicherheit auf der Ebene software , hardware und die physische Sicherheit.
Ebenso habe ich bei der Arbeit an verschiedenen Projekten und mit vielen verschiedenen Kunden "faszinierende" Geschichten darüber gehört, wie manche Unternehmen die Sicherheit ihrer Root-CA auf die leichte Schulter nehmen. Nein, die Root-CA sollte nicht im Schreibtisch von jemandem aufbewahrt werden, nur weil die Schublade abgeschlossen ist. Der "alte" Server, der in einem Rack steht und an nichts angeschlossen ist, kann nicht außer Betrieb genommen werden, weil er "nichts tut".
In diesem Blogeintrag möchte ich mich auf die physischen Sicherheitsaspekte rund um die Root-CA konzentrieren.
Die Root-CA ist das wichtigste Element in der PKI-Architektur. Alles nachgelagerte hängt von ihrer Vertrauenswürdigkeit ab. Wenn dieser Teil kompromittiert ist, ist auch alles andere kompromittiert. Es versteht sich von selbst, dass extreme Sicherheitsmaßnahmen für den Zugang zur Root-CA dringend empfohlen werden.
Wenn wir die physische Sicherheit betrachten, ist es wichtig, die folgenden Fragen zu stellen:
Wo werden die Root-CA und das gesamte kryptografische Material gespeichert?
Konzentrieren wir uns auf die Einrichtungen, in denen die Stammzertifizierungsstelle und das gesamte Kryptomaterial aufbewahrt werden sollen. Wie sicher ist diese Einrichtung? Gibt es dort 24/7/365 Wachen? Werden alle Aktivitäten überwacht? Wie lange wird das Video der Sicherheitskameras aufbewahrt? Gibt es angemessene Kontrollen für den Zugang zu den Einrichtungen?
Wer hat Zugang zu der Einrichtung? Was ist das SoD-Modell (Separation/Segregation of Duties)?
Keine Person sollte in der Lage sein, sich allein Zugang zur Root-CA zu verschaffen oder allein durch irgendwelche Zugangspunkte zu gehen, um die Root-CA abzurufen. SoD ist extrem wichtig, nicht nur aus offensichtlichen Sicherheitsgründen, sondern auch für alle notwendigen Prüfungszwecke.
Es muss ein klares und solides SoD-Modell entwickelt, dokumentiert und befolgt werden. Jedem Einzelnen müssen Rollen und Aufgaben zugewiesen werden, für die er verantwortlich ist.
Wie wird der Zugang zur Einrichtung kontrolliert und protokolliert (der "Gatekeeper")?
Diese Person ist für die Zugangskontrolle zu den Einrichtungen zuständig. Damit werden auch die Aufgaben zwischen denjenigen, die physischen Zugang zur Stamm-CA haben, und denjenigen, die keinen Zugang haben, aufgeteilt.
Wie wird der Zugriff der Root-CA protokolliert?
Jeder Zugriff auf die Root-CA muss protokolliert werden. Die Zugriffsprotokolle sollten schnell abrufbar sein und relevante Informationen enthalten, z. B. den Grund für den Zugriff auf die Root-CA, das Datum, die Uhrzeit und das Personal, das darauf zugegriffen hat. Wie detailliert die Protokolle sein sollen, bleibt allein der Organisation überlassen. Die vorgeschlagenen Parameter sind als Mindestanforderungen zu verstehen.
Wie wird das kryptografische Material gespeichert und gesichert?
Es liegt auf der Hand, dass die Stammzertifizierungsstelle und das gesamte kryptografische Material unbedingt ordnungsgemäß aufbewahrt werden müssen. Dies ist der wertvollste Besitz der PKI und sollte auch so behandelt werden. Wird es in einem Safe aufbewahrt? In einem Tresor? Es ist wichtig, dass sie so aufbewahrt werden, dass eine einzelne Person keinen Zugriff darauf hat.
Wurden geeignete Disaster Recovery (DR)- und Business Continuity (BC)-Prozesse entwickelt und getestet?
Regelmäßige DR- und BC-Übungen sollten durchgeführt werden, um sicherzustellen, dass der Geschäftsbetrieb im Falle einer Störung schnell und effizient wiederhergestellt werden kann. Der ordnungsgemäße Zugang zu den Einrichtungen und zur Stamm-CA sollte überprüft werden. Die gesamte Dokumentation sollte auf dem neuesten Stand sein, getestet und von allen Beteiligten, die an den DR- und BC-Maßnahmen beteiligt sind, verstanden werden.
Natürlich gibt es noch viele andere Faktoren für den Schutz der Root-CA, z. B. hardware Sicherheitsmodule (HSM), wie sie eingesetzt werden sollen, Überlegungen zur Architektur, Kartenquoren usw. All diese Methoden sind wichtig, zusätzlich zur physischen Sicherheit der Root-CA Ihres Unternehmens.
