prival 10 Geschrieben 17. Februar 2014 Melden Teilen Geschrieben 17. Februar 2014 In Zeiten von VLAN gibt es da keinen großen Overhead. Diese Maßnahmen werden nur einmal durchgeführt. Bei einer Offline CA hast du dagegen regelmäßigen Verwaltungsaufwand. Bitte nicht falsch verstehen, ich verteidige hier keine Online CA, ich zeige nur weitere Aspekte auf. Der Einsatz einer Online CA kann bspw. in einer kleinen Unternehmens- oder Testumgebung sein. Da obsiegt die vereinfachte Administration über den Sicherheitsgedanken. @Dunkelmann: Ich verstehe deinen letzten Satz nicht, sorry. Was will uns das über Online oder Offline sagen? Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 (bearbeitet) Eine offline CA ist eine VM. Gehärtet, ohne NIC, exportiert und einem entsprechenden Datenträger im Safe lagernd. Sie wird im Prinzip nur benötigt um die Sub CAs ins Leben zu bringen. Allein aus diesem einfachen Grund gibt es kein durchdachtes Requirement, was eine online Root CA rechtfertigt. Wenn ein Kunde als Requirement formuliert, dass die Root CA online sein muss, dann muss man da auch die Risiken gegenüberstellen. Spätestens dann ist die Sache erledigt. Davon ab ist mir in der Praxis keine online Root CA bei einem Kunden bekannt, der das ersthaft so betreibt. Bei allen anderen werden, also die Root CAs online betreiben, werden mit hoher Wahrscheinlichkeit auch die Prozesse und andere Dinge nicht passen. Klassischer Designfehler. bearbeitet 18. Februar 2014 von DocData Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 (bearbeitet) In Summe ist es immer auch eine Frage der Risikoabwägung. Welcher Schaden kann entstehen, was spart man sich an der Security der CA, welche Kosten stehen dem gegenüber im Desasterfall, wie hoch ist die Wahrscheinlichkeit eines Desasters? Bei der Verwendung von VMs für offline CAs gibt es noch eine Menge mehr zu beachten. So sollte man die VM immer auf einem neu installierten Host betreiben, der niemals mit dem Netzwerk verbunden war und den man nach der Arbeit an der CA komplett wiped: http://blogs.technet.com/b/lrobins/archive/2008/10/15/virtualized-offline-cas.aspx Die Nutzung eines offlinefähigen HSMs über das Netzwerk ist ein weiterer Schritt, die PKI zu schützen. bearbeitet 18. Februar 2014 von Daniel -MSFT- 1 Zitieren Link zu diesem Kommentar
Dunkelmann 96 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 @Dunkelmann: Ich verstehe deinen letzten Satz nicht, sorry. Was will uns das über Online oder Offline sagen? Eine PKI ist eine definierte Infrastruktur aus technischen und organisatorischen Bestandteilen. Zugrunde liegt eine konkret formulierte Zielsetzung: Identitätsverifizierung durch eine zentrale Instanz in einer hierachischen Infrastruktur (Das Gegenteil davon ist z.Bsp. ein Web Of Trust, wie es bei GPG zum Einsatz kommt. Hier muss jeweils eine Identitsprüfung zwischen den Individuellen Entitäten erfolgen) Zur Identitätsverifizierung gehört das Vertrauen, dass die zentrale Instanz von der die Identität bestätigt wird, interger ist. Eine Zertifizierungsstelle stellt nur Zertifikate aus. In einer PKI ist das nur ein Bruchteil der Gesamtheit - daher die Bezeichnung Infrastruktur ;) Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 (bearbeitet) Bei der Verwendung von VMs für offline CAs gibt es noch eine Menge mehr zu beachten. So sollte man die VM immer auf einem neu installierten Host betreiben, der niemals mit dem Netzwerk verbunden war und den man nach der Arbeit an der CA komplett wiped: http://blogs.technet.com/b/lrobins/archive/2008/10/15/virtualized-offline-cas.aspx Da steige ich aber aus. der Paranoialevel ist evtl. für eine Bank, für eine Landes- oder Bundesbehörde oder für eine Infrastruktur entsprechender Größe geeignet. Ich werde mich dran erinnern, wenn ich das RZ des BKA administriere. ;) bearbeitet 18. Februar 2014 von micha42 Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 (bearbeitet) Das hat nichts mit Paranoia zu tun, sondern mit Risk Management. Bei einer PKI geht es um Prozesse und Vertrauen. Was in dem Artikel beschrieben wird, ist nicht besonders aufwendig oder teuer (abgesehen von den (optionalen) HSMs. Es ist vielleicht nicht ganz so bequem, wie manch einer es gern hätte Das ist aber auch alles. bearbeitet 18. Februar 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 Off-Topic:hey mit "Paranoialevel" will ich keinen diskriminieren. Das ist nur ein schönes Wort um innerhalb des "Risk-Management" zu umschreiben, wie man zwischen Sicherheitsbedürfnis und Aufwand abwägt.:) Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 Simple Rechnung: Möglicher Schaden x Risikowahrscheinlichkeit < Budget Zitieren Link zu diesem Kommentar
micha42 29 Geschrieben 18. Februar 2014 Melden Teilen Geschrieben 18. Februar 2014 Bei mir ist immer "Budget kleiner als alles" ich hatte noch nie "irgendwas kleiner als Budget" :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.