У всех нас есть множество внутренних сервисов, которым требуется шифрование и аутентификация, которые должны быть предоставлены какой-либо PKI.
Оправдывают ли повышение безопасности за счет использования разных пар закрытых / открытых ключей для каждой службы дополнительную работу?
Или достаточно использовать одну пару ключей для каждого сервера?
Например, на всех моих * nix-серверах работают rsyslog, Bacula и Puppet. Открывает ли использование общей пары ключей для каждого сервера для всех трех сервисов вектор атаки, который я не замечаю?
Чем больше доступно зашифрованного текста, тем легче его взломать. Сказав это, вся безопасность - это компромисс. Вам нужно подумать, для чего вы используете сертификаты? Шифрование? Аутентификация? Что было бы, если бы был компромисс? Как это соотносится с преимуществом администрации, заключающейся в меньшем количестве сертификатов, которые нужно отслеживать. Вы используете марионетку, поэтому сокращаются некоторые административные расходы.
Мы используем настраиваемый корневой сертификат и пару ключей с подстановочными знаками, где это возможно, в наших внутренних системах. В основном это делается для того, чтобы не дать случайным снифферам получить пароли. Я уверен, что решительный хакер найдет выход. Когда срок действия нашего сертификата истек, мы настроили марионеточную инфраструктуру для распространения ключа и перезапуска служб. В следующем году нам просто нужно проверить новые ключи к подрывной деятельности, а марионетка сделает все остальное.
Я думаю, вам будет лучше иметь по одному на каждый сервер. Если вы находитесь в среде, где вы почти уверены, что компрометация одной службы не приведет к доступу к ключам других на одном сервере, то на каждом сервере на службу.
Накладные расходы на управление этими дополнительными ключами не должны быть слишком большими. Вы получаете знание о том, что некоторая взломанная служба (например, Bacula) не позволит злоумышленнику скомпрометировать транзакции Puppet. Это того стоит? Возможно, но только в том случае, если вы можете быть уверены, что кто-то, взломавший службу, в любом случае не может просто получить ключи от других служб.
* Например, все мои На серверах nix работают rsyslog, Bacula и Puppet. Открывает ли использование общей пары ключей для каждого сервера во всех трех службах вектор атаки, который я не замечаю?
У меня не было удовольствия (боли?) Развертывать PKI, но я имел дело с сертификатами. Я подозреваю, что для каждого сервера все будет в порядке, если шифрование, которое вы используете, имеет высокое качество (то есть не более старый метод, подверженный атакам и использующий ключ хорошей длины).