在COVID-19疫情爆发前,证书颁发机构的监管已经非常复杂且艰巨,而在疫情期间,社交距离要求、隔离和就地避难命令使得面对面的会面异常困难,导致无法验证数字证书。
例如,主要Web浏览器需要证书颁发机构(CA)进行年度审核,该审核由第三方公司到现场执行。更重要的是,CA会执行密钥仪式,密钥仪式通常用于生成数字证书的公钥和私钥,甚至用于吊销或销毁受损的证书。
大多数密钥仪式不仅需要审计员,而且还需要公证人、法定代表人、正式见证人和密钥仪式“主人”以及来自CA本身的管理人员。这些仪式只能由经过授权的人员在安全设施中进行;访问这些设施通常需要多层身份验证,包括智能卡和生物识别扫描。未能进行审核或延迟密钥生成仪式可能造成毁灭性后果,这不仅影响有问题的CA,而且还影响依赖于该CA证书的每个HTTPS网站、代码签名的应用程序和经过身份验证的数字文档。
Sectigo(前身为Comodo)公司SSL首席技术官Nick France说:“我们必须进行审核,而且我们必须将密钥材料安全地保存在数据中心中,这要求人们亲自前往现场。”
在最佳情况下,此类活动需要经历精心的规划和艰苦的过程。据总部位于英国的GlobalSign公司首席信息安全官Arvid Vermote称,冠状病毒大流行使本来已经很复杂的审计和密钥管理操作更具挑战性,特别是在网络钓鱼攻击的证书滥用日益增加之际。
一些世界最大的CA机构表示,在当前情况下,他们仍在处理密钥管理活动。但是目前尚不清楚这种情况能持续多久,尤其是当情况恶化时,这对网络安全的基石意味着什么。
密钥仪式挑战
大多数CA具有广泛的业务连续性和灾难恢复计划,以确保根密钥得到保护,并在必要时进行生成和吊销。但是他们承认,他们没有为COVID-19做好充分准备。
Vermote说,几年前,GlobalSign解决了围绕根密钥的安全性和可用性的风险。该公司在三个不同的洲设有分支机构,这些分支机构拥有活跃的成对的根密钥,可在其他一个或两个分支机构因自然灾害、地缘政治破坏或其他灾难性事件而无法访问时管理密钥。
Vermote说:“我们最初解决了这些问题,我们认为这足以确保弹性。”
但是,当冠状病毒全球大流行影响GlobalSign的所有三个分支机构时,这种情况发生了变化。GlobalSign和其他CA已被认为是其运营所在的绝大多数国家和地区中必不可少的业务,这使工作人员可以旅行和访问数据中心以进行关键的密钥管理仪式。
但是由于这些活动在大流行期间涉及大量工作和风险,因此,CA已尝试调整其做法和时间表。例如,大型CA DigiCert表示,他们推迟了一些非关键密钥管理活动,以优先考虑其员工的安全,并“鼓励保持社交距离,直到这种流行病平息”。
该公司发言人说,DigiCert正在与客户联系,以预计需求并相应地进行安排,并且不会预见重大影响。
有些密钥仪式比其他仪式更容易实现。例如,France表示,Sectigo定期为下属或“子CA”执行密钥签名仪式。“我们的很多合作伙伴都有子CA,从我们的根证书授权品牌给他们。我们维护并运行该子CA –这是贴牌做法,并且,因为他们的证书是从根证书签名,所以我们需要进入数据中心并执行仪式。”
虽然密钥签名仪式的发生频率比密钥生成仪式的发生频率高,但是它们并不需要那么多的参与者;建议让审核员参与,但不强求。France说,幸运的是,Sectigo去年年底和今年大流行之前曾举行过密钥生成仪式。
他说:“我们并不是很担心,因为至少对于我们来说,那些密钥生成仪式一次生成了大量密钥。但是我们确实需要基于这些密钥创建证书,这确实需要访问这些数据中心内多层安全的机架,以离线签名设备。”
有些组织没有延迟密钥管理仪式,他们选择了不同的方法。互联网号码分配机构(IANA)管理着全球IP地址和DNS根区域分配,他们计划于4月23日在美国举行DNSSEC根签名仪式。他们没有推迟该活动,ICANN(负责监管IANA)决定在一个仪式中签署9个月的证书,而不是每隔90天进行签名。
但互联网协会互联网技术、政策和倡导负责人Olaf Kolkman认为,这种做法有利有弊。
他说:“每个季度对密钥进行签名的原因是为了降低风险。如果其中一个区域签名密钥遭到攻击,则你至少只有有限的暴露时间(为期90天)。”
Kolkman曾在IANA担任加密官员,并曾参加过DNSEC根签名仪式,他指出,提前签名密钥会延长攻击窗口—当这些密钥被盗或者被暴露时。网络罪犯可以使用密钥对恶意软件进行代码签名,民族国家行为者可以将其用于精心设计的网络间谍活动-或更糟糕的是,攻击会破坏互联网本身。
他说:“你可能会看到电影里的场景。”
另外,在大流行期间举行密钥仪式会带来更多直接的健康问题。
ICANN的IANA服务副总裁Kim Davies表示,该组织试图尽量减少参加仪式的现场参加者的数量。周四的活动将有7人在现场,而过去的仪式(例如2016年DNSSEC密钥转换)现场有超过20人。
他说:“我们最终选择了一种方法,我们尝试使所有人尽可能地参与,但是以远程方式进行。”他补充说,ICANN为远程参与者建立了安全的视频会议渠道。
Davies说,尽管ICANN数据中心的礼堂可容纳30人,但安全笼或安全室却不是这样,这些区域是密钥材料存放的位置,位于硬件安全模块(HSM)中,通常为6英尺x 12英尺。该仪式每次需要三个人在安全室里。
根据Davies的说法,ICANN于1月份采取了早期行动,并为员工购买了个人保护设备(PPE)。他说:“当然,我们是否需要为仪式穿全身的防护服,还需要进行讨论,但我们最终认为这是没有必要的。”
‘路演’
并非所有密钥管理仪式都可以延迟或提前数周或数月计划。证书颁发机构有时会出现紧急情况,需要撤消甚至销毁根密钥。在这种情况下,仪式必须进行。
GlobalSign最近遇到了这种情况。该公司发现存在合规性问题,需要销毁可能受到破坏的密钥,这迫使Vermote和其他员工在本月初进行了“路演”。
Vermote说:“通常,在规划全局密钥管理时,你会考虑密钥的生成和证书的吊销。但是你不会考虑销毁密钥。”
对于密钥生成或签署证书吊销列表(CRL),你只需要前往一个密钥管理位置。但是对于密钥销毁,准则规定你需要销毁你所拥有的所有密钥副本,这可能需要前往多个数据中心。
Vermote说:“上个月我们面临的挑战是,我们必须销毁我们所有全球地点的所有这些密钥的副本,而这些地点都处于锁定或半锁定命令之下,这相当有趣。”
他说,该过程是一个挑战,因为GlobalSign需要五到六个受信任的个人才能访问所有位置的根密钥。这涉及大量的旅行和暴露于冠状病毒的风险。而且,Vermote说,这些人通常是该公司中高管,包括他本人。如果其中之一受到感染,则将破坏密钥管理的业务连续性计划,并使其他GlobalSign员工面临风险。
但是GlobalSign不能简单地用有问题的私钥撤销证书。
Vermote说:“由于它们被用于为文档加上时间戳,因此,如果你真的将其撤消,则所有证书都将失效。就我们而言,这意味着用GlobalSign证书签名的数百万PDF文档将被视为无效,我们当然不希望看到这种情况。”
因此,Vermote和GlobalSign在所有地点进行了路演,以审查密钥管理活动并在官方审核员在场的情况下销毁密钥。这包括存储活跃密钥对的三个主要位置(带有“被动”副本作为备份存储的位置不需要密钥仪式)。
本月初,Vermote必须访问GlobalSign存储活跃密钥对的三个位置之一,因为他是指定的密钥管理者,同时他还是该欧洲位置的仪式主持。Vermote一大早就带着GlobalSign的一位同事,开车穿越多个国家到达该设施,期间他们经过多个警察站点和边境巡逻检查站,接受行李箱搜索、旅行批准审查,甚至还有关于社交距离的指令。
他说:“有人告诉我们,我的同事离我太近了,我不得不让他坐在汽车的后座。同时,我们必须在另一个办事处停下来,以取回存储在保险箱中的密钥,这些密钥是解锁密钥材料必需的材料。”
当他们到达目的地时,此过程比正常情况更为复杂,因为所有相关人员必须穿戴大量的个人防护设备,并使用自己的个人键盘,同时保持彼此之间的安全距离。
这个过程,Vermote共花费18个小时。但是他指出,密钥销毁的情况“非常罕见”,GlobalSign相信,只要情况不恶化,他们都可以“正常”进行密钥生成、撤销甚至销毁活动。
审核延迟和不确定性
审核并不像密钥管理仪式那么关键,但是它们仍然是证书颁发机构安全性的重要组成部分。审核失败或不完整会对证书颁发机构造成严重后果;我们曾经看到赛门铁克CA业务松懈的审核,导致谷歌、Mozilla和其他网络浏览器在2018年弃用了数千个该公司的证书(赛门铁克于2017年将该业务出售给DigiCert)。
审核程序分为两种类型:WebTrust程序,由加拿大特许专业会计师和美国注册会计师协会运行;以及ETSI程序,由欧洲电信标准协会运行。但是,有关审计的最终决策权属于主要的浏览器公司-即微软、谷歌、Mozilla和Apple。
幸运的是,某些证书颁发机构(例如DigiCert)已于今年年初在限制生效之前完成了WebTrust和ETSI审核。
但是其他组织却没有那么幸运。Vermote在2月19日的mozilla.dev.security.policy论坛中提到对审核过程的担忧。在CA代表与Mozilla和Google的官员进行了一些讨论之后,该浏览器制造商更新了有关审核延迟的指南。
Mozilla发言人说:“目前,我们尚未看到COVID-19疫情造成任何实质性影响。我们知道审核可能会延迟,因为审核员无法到现场,所以我们在此方面提供指导。”
该公司表示:“当CA意识到不可抗力将延迟他们的审核时,Mozilla希望CA能够及时披露该问题,提供定期信息更新,并保持与Mozilla根存储策略的所有其他方面的合规性。”
到目前为止,这些浏览器制造商尚未报告由大流行引起的任何问题。
有关审计和策略执行,CA和浏览器公司似乎达成一致;Sectigo高级研究员Tim Callan表示,他会感到惊讶的情况是,如果谷歌、Mozilla和微软没有为CA提供灵活性,以尽力交流和提供透明度。
Callan说:“他们有合法的必要知道CA在正确地完成其工作,审计是其中的关键部分。与此同时,他们也有合法的必要认识到,如果出于健康和法律原因,无法让WebTrust审核员来到现场,那也只能这样。”
然而,没有人知道这种大流行会持续多久,这种灵活性可能会延续多久。France表示,Sectigo已经讨论了“虚拟”审核的想法,其中第三方使用安全的视频会议渠道,例如ICANN来监视和审查CA的设施。
尽管该方法在技术上可能可行,但最终还是要取决于浏览器的根程序。
France说:“这个问题,我们尚无答案,而且我甚至认为各审计师本身对此也没有好的答案,因为这种情况史无前例。”
主要CA表示,COVID-19大流行证明了其连续性计划是有效的,并且已做好充分准备以度过难关。Cullan说:“我认为所有主要CA都完成了这项工作,这是因为我们没有看到有关重大停机的任何消息,这很重要。”
但是,Cullun说,如果要延续到一年或更长时间,则CA、Web浏览器和审计师将需要就改变某些做法和期望进行讨论。
这种情况可能引发有关CA监管的长期政策变更的讨论。Vermote说:“我认为有机会向标准中添加更多内容,以确保可以避免这些事情。”
但是也许专家们最迫切需要解决的问题是,所有CA是否都具有强大的连续性和灾难恢复计划。有些组织可能没有快速有效地应对紧急情况的基础架构或人员。
虽然GlobalSign和Sectigo都表示,他们正在大流行期间采取更为保守的方式与组织合作,但其实数字证书生态系统已经非常庞大。
Vermote说:“还有很多较小的区域性CA,而且我想知道这些CA是否可以在24小时之内进行紧急撤销,这对于密钥受攻击的情况非常必要,并且对于互联网安全至关重要。”