Seite angelegt. Erste Ideen aufgeschrieben.
This commit is contained in:
parent
77d801311f
commit
1c313c050f
|
@ -0,0 +1,25 @@
|
|||
Idee, wie man eine CA für Web-Server aufsetzen könnte.
|
||||
|
||||
=Idee=
|
||||
Wir eröffnen eine CA, deren Passwort unter mehreren Leuten (z. B. 5) aufgeteilt wird. Nur alle 5 Leute zusammen können neue Zertifikate unterschreiben. Es geht nur um Webserver Zertifikate.
|
||||
|
||||
Vorteil: Man muss "nur" das root-Zertifikat dieser CA in seinem Browser installieren und der Browser prüft das Zertifikat des Web-Servers.
|
||||
|
||||
=Technik=
|
||||
* Die CA läuft auf einem Computer, der nicht am Internet hängt.
|
||||
* Irgendwas müssen wir uns wegen Key-Loggern oder anderen Backdoors einfallen lassen?
|
||||
** Signierungen laufen nur auf einem Rechner, der von einer speziellen CD gebooted wurde (Image muss noch gebaut werden).
|
||||
** Z. B. könnte jeder Passwortteil per ssh von dem Laptop der Passwortteilinhaber kommen. Vorher werden die pub ssh-keys der Passwortteilinhaber in das Image gespielt.
|
||||
** Ein paar Hash-Werte (Sha-1, Ripe-160, MD5, ...) des Images werden veröffentlicht.
|
||||
** variable Daten werden in einem verschlüsselten Containerfile gehalten. Der Schlüssel dazu ist auf dem Image, auch 5-fach verschlüsselt ...
|
||||
* Cool wäre ja auch gleich eine Crypto-Card ...
|
||||
|
||||
=Policy=
|
||||
* Wer bekommt ein Zertifikat unterschrieben?
|
||||
* Gültigkeit der Zertifikate?
|
||||
* Wie oft werden CRLs erstellt?
|
||||
* Alles wird sofort veröffentlicht! D. h. Technik, Policy und Vorkommnisse.
|
||||
* Die 5 Passwortteilinhaber werden:
|
||||
** gewählt?
|
||||
** zufällig bestimmt?
|
||||
* Die 5 Passwortteilinhaber geben Ihren Teil des Passworts an jeweils eine zu bestimmende weitere Person (falls mal jemand seinen Teil vergisst).
|
Loading…
Reference in New Issue