česky | english
Předmluva
Toto je zpráva o posouzení rizika na základě AS / NZS 4360: 2004. Je ve stavu rozpracování a nebyla schválena výborem CAcert.
Contents
Kontext
Toto posouzení rizik se vztahuje na činnost CAcert jako certifikační autority. Mnoho povinností v oblasti správy a provozu certifikační autority CAcert se váže na provoz sdružení CAcert Incorporated a tyto aspekty jsou začleněny do tohoto hodnocení rizik.
Rizika, která mají být spravována, jsou ta, která mají vliv na životaschopnost funkce certifikační autority CAcertu.
Dotaz (Iang): Co je to organizace? Je zde CAcert Inc Association, the certifiční autorita, síť zaručovatelů, rozličné jiné, a konečně komunita. Organizace jako celek je snad komunitou, ale také CA... Odpověď (dan): Omezme se na CA a na určité rozšíření týkající se závislostí řízení / komunity
Externí kontext
CAcert je komunitní organizace působící v oblasti ověřování totožností a poskytující službu certifikátů / X509 na tom postavenou. Pracuje globálně. Jako u všech certifikačních autorit (CA) jsou rizika součástí korektního procesu a technologie, která podporuje kvalitní ověření totožností (identit) pro držitele certifikátů. Reputace (pověst) je pro CAcert nesmírně důležitá.
Povinnosti certifikační autority CAcert závisí na komunitě zaručovatelů a Dohoda komunity CAcert nastavuje standard vzájemného závazku, který CAcert musí obhájit. Na rozdíl od většiny CA rozdíl mezi zaručením a vydáním certifikátu vytváří velký závazek sloužit komunitě zaručovatelů.
Klíčovými cíli činnosti CAcert je získat statut vložení [kořenových certifikátů] (InclusionStatus) do předních prohlížečů. OrganizaceMozilla vyžaduje - ke splnění předpokladů pro statut vložení - dokončení projektu Audit, což je tedy hlavním cílem.
Projekt Audit je založen na NLnet a je veden podle závazku vydávat k určeným [kalendářním] datům výsledky.
Interní kontext
Podkomisi výboru a správy (M-SC) tvoří dobrovolníci, kteří vzali tyto cíle organizace za své. Ovšem jejich čas je omezen. CAcert je inkorporovanou organizací v australském Novém Jižním Walesu (NSW), řízenou výborem. Výbor delegoval CEO-podobné [asi: výkonné] povinnosti na M-SC.
Aktiva CAcert zahrnují vlastnictví serverů, které poskytují různé on-line funkce nezbytné pro provoz CA. Služby auditu a dokumentace byly smluvně zakotveny, například hosting nebo správa firewallu.
Finanční aktiva CAcert jsou široce dotované aktivity závislé na vydávání výsledků.
Vnitřním cílem je zlepšit správu systému na podporovatelnou úroveň.
Ošetření rizik
Rizika hodnocená výše než Medium (střední) budou ošetřena. Medium rizika budou ošetřena, jestliže to umožní čas/cena. Riziko určují faktory následků/pravděpodobnosti, uvedené dále.
Hodnocení následků
Zde se popisují škody, které nastanou, splní-li se hrozba.
Kategorie následků
Význam
Katastrofický
Ovlivní životnost organizace na dlouhou dobu
Velké
Způsobí, že kořenové certifikáty CAcert budou vyřazeny z předních prohlížečů
Ztráta utajení kořenových privátních klíčů CAcert
Způsobí odvolávání nebo nové vydávání certifikátů ve velkém měřítku
Vážné poškození pověsti (reputace) CAcert: managementu / osazenstva / kritických systémů
Neschopnost vydávat certifikáty déle než dva týdny
Významná nepříjemnost pro uživatele certifikátů CAcert v širokém měřítku, jako nečitelné ověření e-mailů podepsaných CAcert/ nedostupnost serverů CAcert chybou CRL/OCSP
Mírné
Neschopnost vydávat certifikáty déle než dva týdny
Odmítnutí služby CRL nebo OCSP delší než 5 minut
Významná PR žádala o zjištění nedostatků (?)
Zpoždění postupu podle příruček auditu / systémů (?)
Neplánované výdaje vyšší než 1000 €
Menší
Tisk ve spojení s kompromitováním méně důležitých systémů
Akce, které vyžadují právní zastoupení
Porušení důvěrných komunikací
Neplánované výdaje vyšší než 400 € a nižší než 1000 €
Nevýznamné
Nedostupnost méně důležitých systémů, trvající méně než 1 den
Nutnost zrušit registraci totožnosti jednotlivce
(skutečně tyto by měly být stanoveny a zrušeny managementem)
Dotaz (iang): Ve výběru katastrofických a velkých rizik je zajímavá poznámka, která klade přežití organizace výše, než CA a důvěru (explicitní a implicitní) stran. Celkem s tím souhlasím, ale určitě se o tom musí diskutovat. Uvedený výběr jistým způsobem odráží "širší poslání" bezpečnosti, spíše než "užší poslání certifikátů zdarma". Odpověď (dan): Jak já to chápu, je ke splnění "širšího poslání bezpečnosti" vyžadována řídicí struktura, aby obdržela nezbytnou důvěryhodnost, která je zcela nařízena v bezpečnosti komunity.
Dotaz (iang): Současná debata o datu narození (DoB) se zakládala na hrozbě krádeže totožnosti (identity). Současný vývoj trhu důvěry v USA (USA-credit-market) indikuje, že krádež totožnosti ve velkém rapidně vzrostl z menšího rizika (pokud pokrytého) na velké riziko (jak se regulátoři angažovali, jsou pravděpodobné pokuty, žádá se rozsáhlá revize bezpečnosti, atd.). Odpověď (dan): Tohle skoro vede k posouzení rizik založenému na PR a právním risku (což je skoro stejné [?]). Vlastně nevím, je-li to tak špatné.
Hodnocení pravděpodobnosti
Skoro jisté
Denně
Pravděpodobné
Jednou za 3 měsíce
Možné
Jednou za rok
Nepravděpodobné
Jednou za 5 roků
Vzácné
Méně než jednou za 5 roků
Matice rizik
Rizika jsou:
- E - Extrémní
- V - Vysoké
- S - Střední
- N - Nízké
Následky
Nevýznamné
Menší
Mírné
Velké
Katastrofické
Skoro jisté
V
V
E
E
E
Pravděpodobné
S
V
V
E
E
Možné
N
S
V
E
E
Nepravděpodobné
N
N
S
V
E
Vzácné
N
N
N
S
V
Aktiva
Zde jsou uvedena aktiva se (zhodnoceným následkem) v případě, že aktivum přestane existovat.
Dlouhodobá aktiva
- Splnění závazků pro zahrnutí CA do Mozilly (Velká)
- Stav začlenění (Mírná)
- Reputace (pověst) (Velká)
- Podpora komunity, například ochota zaručovatelů zaručovat lidi (Mírná)
Systémy
Různá aktiva jsou z různých důvodů kritická. Dále je uvedeno, které bezpečnostní hledisko aktiva má následky.
Kritické systémy
Aktivum
Utajenost
Integrita
Krátkodobá dostupnost
Dlouhodobá dostupnost
Kořenový klíč (Root Key, RK)1
Velká
Mírná
Mírná (<1 týden)
Velká (>1 týden)
Mechanismus podepisování (signing mechanism, SM) včetně hlavního webu
Nevýznamná
Velká
Mírná (<2 týdny)
Velká (>2 týdny)
Nevýznamná
Velká
Mírná (<5 minut) nebo 99.9999%
Velká (>5 minut) nebo < 99.999%
DNS 4
Žádná
Velká
Mírná (<5 minut) nebo 99.9999%
Velká (>5 minut) nebo < 99.999%
Databáze uživatelů (UDB)
Velká
Velká
Menší (<24 hodin)
Mírná 5 (>24 hodin)
Hlavní web včetně ping-testu e-mailu/domény
Menší6
Nevýznamná
Menší (<24 hodin)
Mírná5 (>24 hodin)
Nekritické systémy
Aktivum
Utajenost
Integrita
Krátkodobá dostupnost
Dlouhodobá dostupnost
Server seznamů (e-maily výbor/arbitráž)
Mírná
Mírná
Menší <1 týden
Střední >1 týden
Server e-mailů
Mírná
Mírná
Menší <1week
Mírná7 >1 týden
Wiki
Menší (pro acl stránky)
Menší (pro acl stránky)
Menší <1 týden
Mírná >1 týden
Blog
Nevýznamná
Mírná
Nevýznamná <2 týdny
Menší >2 týdny
IRC
Nevýznamná
Nevýznamná
Nevýznamná <2 týdny
Menší >2 týdny
SVN
Nevýznamná
Menší
Nevýznamná <2 týdny
Minor >2 týdny
CATS
Menší
Mírná
Nevýznamná <2 týdny
Menší >2 týdny
Test
Nevýznamná
Mírná8
Nevýznamná <2 týdny
Menší >2 týdny
Audit
CO DÁL: zjistit/určit účel auditu
Ostatní aktiva
- Finanční aktiva (Mírná)
- Domény (cacert.org a další [cacert.at - významná?]) (Velká)
Hrozby
Po zařazení do prohlížečů Mozilla se profil hrozby významně zvedne. Protože schopnost odpovědi na tuto hrozbu závisí na čase, předpokládá tento odhad rizik, že už bylo dosaženo statutu vložení [kořenových certifikátů CAcert do prohlížeče Mozilla / Firefox].
- Komerční CA
- Model "nulové ceny", který používá CAcert, významně podkopává životaschopnost ostatních, komerčních CA.
- "Krakeři, louskači"
- Předpokládá se, že budou financováni komerčními CA
- Podvodné zločinecké organizace
- Vydávání certifikátů finančních institucí bude v útocích typu "vylákání" (phishing) vysoce ziskové
- Vláda
Některé vlády považují šifrování ve velkém měřítku za hrozbu managementu nutnosti mapovat hrozby vůči účelům/prioritám právních/zpravodajských služeb
- Zákon
- Předvolání k soudu k obhájení záležitostí týkajících se certifikátů
- Konfiskace systémových aktiv při obviněních jako pirátství, porušení autorských práv (copyrightu)
- Nespokojené osazenstvo / členové
Dotaz (iang): výše uvedené body představují původce [osoby, organizace], zatímco hrozby mohou být: hacking, právo (podaný případ, právní exekuce, soukromé vyšetřování, vyšetřování jiným regulátorem, atd.); kromě toho krádeže, ztráty, destrukce, nečitelné zálohy; chybějící data, sdílení dat, zneužití zdrojů,... hm, to vypadá na další matici. Původce / čin / celkový účinek? Odpověď (dan): Rád bych je umístil do tabulky posouzení rizik (Risk Assesment, RA) níže.
Posouzení rizik
Systémy
Identifikátory rizik jsou zřetězením systému, bezpečnostního rizika (Confidentiality [důvěrnost] / Integrity [integrita] / Availability [dostupnost]) a jednoznačného identifikátoru.
id
Aktivum
Hrozba
Pravdě-podobnost
Následky
Výsledné riziko
Náprava
Pravdě-podobnost (po nápravě)
Následky (po nápravě)
Riziko (po nápravě)
RK.C.1
Důvěrnost kořenového klíče
Podvodné zločinecké organizace
Nepravdě-podobné
Velké
Vysoké
Řízený fyzický přístup a výmaz narušení (tamper zeroisation)
Vzácná
Velké
Střední
RK.C.2
Důvěrnost zálohy kořenového klíče
Podvodné zločinecké organizace
Nepravdě-podobné
Velké
Vysoké
Bankovní trezor
Vzácná
Velké
Střední
RK.I
Integrita kořenového klíče
Soupeřící CA/kraker
Mírná
Nepravdě-podobné
Nízké
není potřebná
RK.A
Dostupnost (dlouhodobá) kořenového klíče
Riziko RK.C.1 nebo předvolání
Nepravdě-podobné
Velké
Vysoké
Přístupné postupy backup/restore a činnost ve více zemích
Vzácná
Velké
Střední
SM.I
Změny mechanismu podpisu
Soupeřící CA/kraker
Nepravdě-podobné
Velké
Vysoké
Postupy auditu k detekci falešných podpisů
Vzácná
Velké
Střední
SM.A
Dlouhodobá dostupnost mechanismu podpisu
Soupeřící CA/kraker
Nepravdě-podobné
Velké
Vysoké
jako u RK.A
Vzácná
Velké
Střední
OCSP.I
Ukazatele OCSP/CRL kompromitovány, následek - DoS řádným uživatelům (neplatný stav platného / platný stav neplatného certifikátu)
Podvodná zločinná organizace / Kraker / Soupeřící CA
Nepravdě-podobné
Velké
Vysoké
důvěryhodné služby
OCSP.A
DDoS služby CRL/OCSP
Vydírání podvodnou zločinnou organizací / Kraker/soupeřící CA
Nepravdě-podobné
Velké
Vysoké
Redundance služby (lze?)
Vzácná
Velké
Střední
DNS.I
Falešné záznamy DNS pro hlavní web/CRL/OCSP
Kraker/Soupeřící CA/zločinný podvod
Nepravdě-podobné
Velké
Vysoké
Změna řízení a Monitorování integrity s akcí opravy/ukončení. Zásady TTL (?). DNSSEC
Nepravdě-podobné
Mírné
Střední
DNS.A
DNS nedostupné kvůli DDoS
Jako u OCSP.A
Vzácná
Velké
Střední
Přídavné služby, je-li náprava DNS.I možná
Vzácná
Mírné
Střední
UDB.C
Prozrazena databáze uživatelů
Krakeři/soupeřící CA, zločinní podvodníci
Možné
Velké
Extrémní
Neočekávané dotazy spustí uzavření DB a audit kódu hlavního rozhraní a IDS na SM
Nepravdě-podobné
Mírná
Nízké
UDB.I
Poškozená databáze uživatelů
Zločinní podvodníci získají výnosné certifikáty vydíráním zaručovatele
Možné
Mírné
Střední
Kontrola zaměřená na domény/zaručení
Možné
Malé
Nízké
Legenda:
- RK = Root Key (kořenový klíč)
- SM = Signing Mechanism (mechanismus podpisu)
- OCSP = Online Certificate Status Protocol (online protokol stavu certifikátu) spolu s CRL = Certificate Revocation List (seznam odvolaných certifikátů;
- DDoS = Distributed Denial of Service (distribuované odepření služby [zahlcení serveru mnoha požadavky z různých stran])
- DoS = Denial of Service (odepření služby [zahlcení serveru mnoha požadavky])
- DNS = Domain Name Service/System (služba/systém doménových názvů)
- UDB = User Database (databáze uživatelů)
- IDS = asi: Intrusion Defense System (systém obrany proti proniknutí)
Kritéria Mozilly
Jsou založena na Zásadách certifikátů CA Mozilly (Mozilla CA Certificate Policy 1.2). Číslování se shoduje s požadavky v uvedených Zásadách.
id
Aktivum
Hrozba
Pravdě-podobnost
Následky
Výsledné riziko
Náprava
Pravdě-podobnost (po nápravě)
Následky (po nápravě)
Riziko (po nápravě)
MOZ.4.U
Vydávání certifikátů bez znalosti entit, na jejichž údaje se certifikáty odkazují
Vnitřní chyby/škodící zasvěcené osoby
MOZ.4.F
Vědomé vydávání certifikátů zjevně pro podvodné použití.
Vnitřní chyby/škodící zasvěcené osoby
MOZ.4.T.1
ASN.1 chyby kódování DER, chybné veřejné klíče, duplicitní názvy vydavatele a pořadová čísla, nesprávná rozšíření
Vnitřní chyby/škodící zasvěcené osoby
MOZ.4.T.2
Rozšíření "cRLDistributionPoints" nebo OCSP "authorityInfoAccess", pro něž neexistuje služba CRL nebo OCSP.
Vnitřní chyby/škodící zasvěcené osoby
MOZ.6.I
Poskytnutí určité služby týkající se typických uživatelů našich softwarových produktů
Vnitřní chyby/škodící zasvěcené osoby
MOZ.6.F
Zveřejnění informací o svých zásadách a obchodních praktikách
Vnitřní chyby/škodící zasvěcené osoby
MOZ.6.V
Před vydáním certifikátu ověřit CSR způsobem přijatelným pro Mozilla Foundation
Vnitřní chyby/škodící zasvěcené osoby
MOZ.6.G
Poskytnout atestaci, že vyhovuje stanoveným požadavkům na ověření a dalším provozním kritériím, vydanou kompetentní nezávislou stranou nebo stranami s přístupem k vnitřním procesům CA.
Slabé vedení
MOZ.7.CV
Pro certifikát použitý pro digitální podpis a/nebo šifrování e-mailových zpráv dělá CA rozumná opatření k ověření, že entita předkládající žádost ovládá e-mailový účet přidružený k e-mailové adrese uvedené v certifikátu, nebo nebo byla oprávněna vlastníkem e-mailového účtu jednat v jeho zastoupení.
Vnitřní chyby/škodící zasvěcené osoby
MOZ.7.SV
Pro certifikát použitý pro servery se SSL dělá CA rozumná opatření k ověření, že entita předkládající žádost o podpis certifikátu (CSR, certificate signing request) Má registrovanou doménu/domény uvedenou/uvedené v certifikátu, nebo byla registrátorem domén oprávněna jednat v jeho zastoupení.
Vnitřní chyby/škodící zasvěcené osoby
MOZ.7.CS
Pro certifikáty použité pro digitální podpis objektů s kódem dělá CA rozumná opatření k ověření, že entita předkládající CSR je totožná s entitou uvedenou v certifikátu, nebo byla oprávněna entitou uvedenou v certifikátu jednat v jejím zastoupení.
Vnitřní chyby/škodící zasvěcené osoby
MOZ.7.EV
Vyhovuje Směrnicím pro vydávání a správu certifikátů s rozšířeným ověřením (Extended Validation Certificates) a erratu
Vnitřní chyby/škodící zasvěcené osoby
Zákony
id
Aktivum
Hrozba
Pravdě-podobnost
Následky
Výsledné riziko
Náprava
Pravdě-podobnost (po nápravě)
Následky (po nápravě)
Riziko (po nápravě)
Odkazy
Poznámky pod čarou
Kořenový klíč musí být dostupný alespoň jednou týdně, jinak nebudou dostupné CRL a OCSP. (1)
Zásady Mozilly určující dostupnost těchto služeb: http://www.mozilla.org/projects/security/certs/policy/ (2)
Pokud nebude funkční, pak přestanou Thunderbird a Firefox fungovat pro všechny servery s certifikáty CAcert. (3)
Následky jsou přímo spojeny se schopností podporovat OCSP/CRL (4)
Ztráta SSL klíče webu - předpokládá blokovaný přístup do Databáze uživatelů viz výše (7)
Na základě typických dob opakování e-mailu; pro e-mailové služby podpory / managementu / arbitráže (8)
Testové systémy mají potenciální místo prozrazení kódu, a to při migraci do provozních (9)