Ddca

Aus C3D2
Wechseln zu: Navigation, Suche


Vorlage:historisch
Achtung!
Historisch!
Dieser Artikel enthält keine relevanten Informationen zu den aktuellen Geschehnissen. Ferner handelt es sich um einen archivierten Artikel.


Idee, wie man eine CA für Web-Server aufsetzen könnte.

Idee

Wir eröffnen eine CA, deren Passwort unter mehreren Leuten (z. B. 5) aufgeteilt wird. Nur alle 5 Leute zusammen können neue Zertifikate unterschreiben. Es geht nur um Webserver Zertifikate.

Vorteil: Man muss "nur" das root-Zertifikat dieser CA in seinem Browser installieren und der Browser prüft das Zertifikat des Web-Servers.

Technik

  • Die CA läuft auf einem Computer, der nicht am Internet hängt.
  • Irgendwas müssen wir uns wegen Key-Loggern oder anderen Backdoors einfallen lassen?
    • Signierungen laufen nur auf einem Rechner, der von einer speziellen CD gebooted wurde (Image muss noch gebaut werden).
    • Z. B. könnte jeder Passwortteil per ssh von dem Laptop der Passwortteilinhaber kommen. Vorher werden die pub ssh-keys der Passwortteilinhaber in das Image gespielt.
    • Ein paar Hash-Werte (Sha-1, Ripe-160, MD5, ...) des Images werden veröffentlicht.
    • variable Daten werden in einem verschlüsselten Containerfile gehalten. Der Schlüssel dazu ist auf dem Image, auch 5-fach verschlüsselt ...
  • Cool wäre ja auch gleich eine Crypto-Card ...

Policy

  • Wer bekommt ein Zertifikat unterschrieben?
  • Gültigkeit der Zertifikate?
  • Wie oft werden CRLs erstellt?
  • Alles wird sofort veröffentlicht! D. h. Technik, Policy und Vorkommnisse.
  • Die 5 Passwortteilinhaber werden:
    • gewählt?
    • zufällig bestimmt?
  • Die 5 Passwortteilinhaber geben Ihren Teil des Passworts an jeweils eine zu bestimmende weitere Person (falls mal jemand seinen Teil vergisst).