27 lines
1.5 KiB
Plaintext
27 lines
1.5 KiB
Plaintext
{{historisch}}[[Kategorie:todo]]
|
|
Idee, wie man eine CA für Web-Server aufsetzen könnte.
|
|
|
|
=Idee=
|
|
Wir eröffnen eine CA, deren Passwort unter mehreren Leuten (z. B. 5) aufgeteilt wird. Nur alle 5 Leute zusammen können neue Zertifikate unterschreiben. Es geht nur um Webserver Zertifikate.
|
|
|
|
Vorteil: Man muss "nur" das root-Zertifikat dieser CA in seinem Browser installieren und der Browser prüft das Zertifikat des Web-Servers.
|
|
|
|
=Technik=
|
|
* Die CA läuft auf einem Computer, der nicht am Internet hängt.
|
|
* Irgendwas müssen wir uns wegen Key-Loggern oder anderen Backdoors einfallen lassen?
|
|
** Signierungen laufen nur auf einem Rechner, der von einer speziellen CD gebooted wurde (Image muss noch gebaut werden).
|
|
** Z. B. könnte jeder Passwortteil per ssh von dem Laptop der Passwortteilinhaber kommen. Vorher werden die pub ssh-keys der Passwortteilinhaber in das Image gespielt.
|
|
** Ein paar Hash-Werte (Sha-1, Ripe-160, MD5, ...) des Images werden veröffentlicht.
|
|
** variable Daten werden in einem verschlüsselten Containerfile gehalten. Der Schlüssel dazu ist auf dem Image, auch 5-fach verschlüsselt ...
|
|
* Cool wäre ja auch gleich eine Crypto-Card ...
|
|
|
|
=Policy=
|
|
* Wer bekommt ein Zertifikat unterschrieben?
|
|
* Gültigkeit der Zertifikate?
|
|
* Wie oft werden CRLs erstellt?
|
|
* Alles wird sofort veröffentlicht! D. h. Technik, Policy und Vorkommnisse.
|
|
* Die 5 Passwortteilinhaber werden:
|
|
** gewählt?
|
|
** zufällig bestimmt?
|
|
* Die 5 Passwortteilinhaber geben Ihren Teil des Passworts an jeweils eine zu bestimmende weitere Person (falls mal jemand seinen Teil vergisst).
|