{{historisch}}[[Kategorie:todo]]
Idee, wie man eine CA für Web-Server aufsetzen könnte.

=Idee=
Wir eröffnen eine CA, deren Passwort unter mehreren Leuten (z. B. 5) aufgeteilt wird. Nur alle 5 Leute zusammen können neue Zertifikate unterschreiben. Es geht nur um Webserver Zertifikate.

Vorteil: Man muss "nur" das root-Zertifikat dieser CA in seinem Browser installieren und der Browser prüft das Zertifikat des Web-Servers.

=Technik=
* Die CA läuft auf einem Computer, der nicht am Internet hängt.
* Irgendwas müssen wir uns wegen Key-Loggern oder anderen Backdoors einfallen lassen?
** Signierungen laufen nur auf einem Rechner, der von einer speziellen CD gebooted wurde (Image muss noch gebaut werden).
** Z. B. könnte jeder Passwortteil per ssh von dem Laptop der Passwortteilinhaber kommen. Vorher werden die pub ssh-keys der Passwortteilinhaber in das Image gespielt.
** Ein paar Hash-Werte (Sha-1, Ripe-160, MD5, ...) des Images werden veröffentlicht.
** variable Daten werden in einem verschlüsselten Containerfile gehalten. Der Schlüssel dazu ist auf dem Image, auch 5-fach verschlüsselt ...
* Cool wäre ja auch gleich eine Crypto-Card ...

=Policy=
* Wer bekommt ein Zertifikat unterschrieben?
* Gültigkeit der Zertifikate?
* Wie oft werden CRLs erstellt?
* Alles wird sofort veröffentlicht! D. h. Technik, Policy und Vorkommnisse.
* Die 5 Passwortteilinhaber werden:
** gewählt?
** zufällig bestimmt?
* Die 5 Passwortteilinhaber geben Ihren Teil des Passworts an jeweils eine zu bestimmende weitere Person (falls mal jemand seinen Teil vergisst).