Security
如何保護 CA 的私鑰?
我即將實施我自己的證書頒發機構 (CA),僅供內部使用。
現在有一個問題,CA private 永遠不應該被利用。所以現在私鑰是加密的。
還可以做些什麼來增強私鑰的安全性?
我在一家公司工作,CA 密鑰的安全性對於業務的持續成功至關重要。為此,使用自定義協議對密鑰進行加密,該協議需要至少 2 個人在場,並使用插入終端的物理令牌對其進行解密(這些令牌中至少有 5 個,任何 2 個組合都可以使用)。終端通過 CA 密鑰與實際機器物理分離。解密它的使用者的界面是一個 VT220 終端,允許他們輸入解密令牌,然後選擇他們想要用密鑰“簽名”的內容(從不讓他們訪問解密的密鑰)。這個系統意味著至少需要 4 個人一起工作來破解密鑰,兩個令牌持有者,一個有權訪問數據中心的人,
如果您對此類設置的更多詳細資訊感興趣,Bruce Schneier 有一個很棒的網站,涵蓋電腦安全設計和實施:
他還出版了一本非常好的書《應用密碼學》,我發現這本書幫助我了解了此類系統的基礎知識以及如何建構更安全的基礎設施(不戴口袋保護裝置的人可以閱讀):