La confiance, en ce qui concerne la plupart des composants d'une infrastructure à clé publique (PKI ) , se gagne. Elle est établie à la suite d'une sorte d'évaluation. Une évaluation qui implique souvent un contrôle de révocation ou un contrôle de la politique.
Dans le cas de l'autorité de certification racine, cependant, la confiance n' est pas gagnée. Dans le cas de l'autorité de certification racine, la confiance est attribuée. Cette confiance est souvent obligatoire du point de vue des abonnés et des parties qui se fient à l'AC.
C'est pourquoi, lorsqu'on envisage de créer une nouvelle autorité de certification racine, il est impératif de le faire d'une manière qui soit bien comprise, bien documentée et bien exécutée.
L'histoire de la sécurité de l'AC racine qui en résulte doit être irréprochable et capable de répondre à tous les niveaux d'assurance qui peuvent en fin de compte s'enchaîner à cette nouvelle racine. C'est cette histoire qui constitue en fin de compte la base de toute confiance attribuée.
Cependant, pour raconter efficacement cette histoire de sécurité, il est souvent nécessaire de créer une série de documents formels, dont l'un est appelé document de cérémonie de signature de la clé de l'autorité de certification racine. Il s'agit d'un document qui décrit et régit le processus de création de clés pour une nouvelle autorité de certification racine. C'est ce processus initial qui crée la paire de clés de l'autorité de certification racine sur laquelle l'ensemble du site PKI sera finalement chaîné. En d'autres termes, la confiance d'une PKIcommence avec l'autorité de certification racine et les processus utilisés pour la créer.
C'est pourquoi il n'est pas rare d'exiger la présence de plusieurs parties, telles que l'audit, le service juridique, les opérations et les témoins, pour assister à ce processus. Ces participants attestent que toutes les pratiques établies ont été suivies et que la confiance dans la racine est effectivement justifiée.
Il ne fait aucun doute que la cérémonie de la clé racine est un élément important de la création d'une nouvelle ICP ( PKI). Ce blog détaille les cinq principales erreurs de cérémonie de la clé racine que je rencontre généralement lors de l'évaluation des ICP des clients.
- Chaîne de contrôle
Lors de la création d'une paire de clés de l'autorité de certification racine, il est impératif que des contrôles compensatoires soient établis et mis en œuvre tout au long du processus. Cela signifie qu'il faut toujours savoir qui a le contrôle et l'accès à ces clés, y compris pendant le processus de construction.
Il ne sert pas à grand-chose de créer un plan d'accès complet en plusieurs parties aux clés privées de l'autorité de certification racine si, après leur création, l'autorité de certification racine est laissée sans surveillance dans la salle de conférence pendant la pause déjeuner.
Il est essentiel, pour que le site PKIsoit digne de confiance, de pouvoir affirmer légitimement que tous les contrôles établis ont toujours été utilisés, pendant toute la durée de vie des clés. Y compris le jour de la création.
Il est impératif de maintenir une chaîne de conservation crédible, les clés privées étant continuellement protégées par tous les contrôles applicables.
- Audit
Le rôle de l'audit est d'authentifier le processus. Ce sont les personnes qui n'ont théoriquement aucun intérêt direct dans le site PKI, si ce n'est qu'elles certifient que les processus établis ont été respectés.
L'attestation par l'audit du respect d'un processus bien connu lors de la création de la clé fait partie intégrante de l'établissement d'une confiance fondamentale dans toute PKI.
En l'absence d'une composante d'audit pour la cérémonie de la clé racine, les parties qui se fient à vous doivent simplement croire que vous avez fait ce qu'il fallait. En fonction des niveaux d'assurance que vous avez l'intention de fournir avec les certificats résultants, cela n'est souvent pas suffisant.
Un auditeur indépendant doit toujours être présent pendant toutes les parties de la cérémonie de remise de la clé racine.
- La participation
Une cérémonie de remise de clés est nécessairement un événement de groupe. Un événement qui peut prendre quelques heures ou une journée.
Il n'est pas rare que les objectifs d'assurance visés par le site PKI exigent la présence d'un responsable de processus (maître de cérémonie), d'une équipe d'audit, d'une équipe juridique, de responsables de la conformité, de détenteurs de clés et de personnel opérationnel, y compris des témoins exécutifs.
Tout cela vise à éliminer toute allégation éventuelle de mauvaise manipulation des clés de l'autorité de certification racine et à garantir que, depuis leur création, les clés de l'autorité de certification racine ont été créées et conservées d'une manière conforme à toutes les attentes.
Cela étant, vous pouvez constater qu'il n'est pas très utile de simplement charger le responsable de l'AD de mettre en place une nouvelle autorité de certification racine, et de le faire dans une pièce, tout seul. Qui s'y fierait ?
La participation aux cérémonies de remise des clés de la racine doit être suffisante pour soutenir les niveaux d'assurance revendiqués par le site PKI. Il s'agira souvent de personnel opérationnel, de juristes, d'auditeurs et de responsables de la conformité.
- Artéfacts
Une fois que les clés de l'autorité de certification racine ont été générées, il est souvent important de conserver plusieurs traces du processus de cérémonie de la clé racine. Ces documents constituent l'enregistrement permanent décrivant pourquoi la confiance dans une PKI donnée est justifiée (au moins pour les objectifs visés).
Compte tenu de la durée de vie de la plupart des autorités de certification racines, il est tout à fait concevable et approprié que la confiance accordée à une autorité de certification racine donnée soit périodiquement réexaminée. Cela ne peut se faire que s'il y a suffisamment d'éléments à évaluer.
Ces artefacts se présentent généralement sous la forme d'un document de cérémonie de signature de la clé de l'autorité de certification racine. Ce document est un enregistrement étape par étape de ce qui s'est passé pendant le processus et est souvent signé ligne par ligne par un membre de l'équipe d'audit.
L'ensemble du document est ensuite signé et notarié par toutes les parties concernées. Il n'est pas rare non plus que l'ensemble de l'événement soit enregistré sur vidéo.
Il s'agit d'un enregistrement permanent de ce qui s'est passé et, en fin de compte, de la raison pour laquelle la confiance est justifiée.
Il ne sert pas à grand-chose de suivre un processus bien conçu, assorti d'une participation et d'un audit, si, au bout du compte, il n'y a pas de trace de ce processus.
Conservez toujours la clé de l'autorité de certification racine qui signe la documentation de la cérémonie.
- En ligne
La première erreur commise lors d'une cérémonie de remise des clés racine est de mettre en ligne l'autorité de certification racine qui n'est pas en ligne. La raison pour laquelle l'autorité de certification racine est hors ligne (et hors service) est que l'espace aérien permet à la racine d'être à l'abri des menaces courantes associées à la mise en ligne.
Cela permet de s'assurer que l'autorité de certification n'a pas été utilisée pour signer des documents de manière malveillante et qu'elle n'a jamais été exploitée qu'à l'aide de procédures normales et établies.
La dernière chose que l'on souhaite entendre lors d'une cérémonie de remise de la clé racine est "Ok, j'ai patché le serveur de l'autorité de certification racine et il est maintenant déconnecté".
Je dis souvent qu'il n'y a pas de règle des 5 secondes lorsqu'il s'agit d'Internet. Une fois que vous vous êtes connecté, vous êtes en ligne, et il n'y a pas moyen de revenir en arrière.
Il est temps de reconstruire si cela se produit.
Il y a certainement d'autres erreurs courantes commises lors d'une cérémonie de remise de clé racine, mais il s'agissait simplement d'une liste rapide de cinq choses qui, lorsqu'elles sont évitées, sont sûres de rendre votre autorité de certification racine beaucoup plus crédible dans sa revendication de sécurité.
