chaves PKI por serviço ou por servidor?

5

Todos nós temos muitos serviços internos que precisam de criptografia e autenticação para serem fornecidos por algum tipo de PKI.

Os ganhos de segurança de usar um par de chaves privada / pública diferente para cada serviço justificam o trabalho extra implicado?

Ou está usando um único par de chaves por servidor Bom o suficiente?

Por exemplo, todos os meus servidores * nix possuem rsyslog, Bacula e Puppet rodando neles. O uso de um par de chaves comum e específico do servidor em todos os três serviços abre um vetor de ataque que estou negligenciando?

    
por sh-beta 30.06.2009 / 21:43

3 respostas

0

* Por exemplo, todos os meus servidores nix possuem rsyslog, Bacula e Puppet sendo executados neles. O uso de um par de chaves comum e específico do servidor em todos os três serviços abre um vetor de ataque que estou negligenciando?

Eu não tive o prazer (dor?) de implantar uma PKI, mas lidei com certificados. Eu suspeito que o per-server ficará bem, desde que a criptografia que você está usando seja de alta qualidade (ou seja, não é um método mais antigo propenso a atacar e usar uma chave de bom tamanho).

    
por 30.06.2009 / 21:57
1

Quanto mais texto cifrado estiver disponível, mais fácil será decifrar. Dito isto, toda a segurança é um trade off. Você precisa pensar o que você está usando os certificados para? Criptografia Autenticação? O que aconteceria se houvesse um compromisso? Como isso pesa contra o benefício da administração de ter menos certificados para acompanhar? Você está usando fantoches, portanto, parte da sobrecarga administrativa é reduzida.

Usamos um certificado raiz personalizado e um único par de chaves curinga, sempre que possível, em nossos sistemas internos. Isso é principalmente apenas para impedir que farejadores casuais ganhem senhas. Tenho certeza de que um hacker determinado encontraria uma maneira de entrar. Tendo acabado de expirar nosso certificado, criamos uma infraestrutura de fantoches para distribuir a chave e reiniciar os serviços. No próximo ano, precisamos apenas verificar as novas chaves no subversion e o fantoche deve fazer o resto.

    
por 30.06.2009 / 22:00
0

Acho que seria melhor ter um por servidor. Se você estiver em um ambiente em que tenha certeza de que o comprometimento de um serviço não levará ao acesso às chaves de outras pessoas em um único servidor, por servidor por serviço.

A sobrecarga de gerenciar essas chaves extras não deve ser tão ruim. O que você ganha é o conhecimento de que algum serviço comprometido (digamos, Bacula) não permitirá que o invasor comprometa as transações do Puppet. Isso vale a pena? Talvez, mas apenas se você puder assegurar-se de que alguém invadindo um serviço não pode simplesmente obter as chaves desses outros serviços de qualquer maneira.

    
por 30.06.2009 / 23:09