Názory k článku Bezpečnost kořenové zóny je v transparentnosti, řekl Ondřej Filip na CSNOG 2023

Tak proč se ptáte na takové hlouposti?

https://arstechnica.com/tech-policy/2013/12/launch-code-for-us-nukes-was-00000000-for-20-years/

To je zprava z roku 2004 a a melo se tak stat v roce 1962 (coz uz ale na te arstechnice nepisou, ze, aneb at zije bulvarek s polovicnima informacema, i na wikipedii toho mate vic). A v roce 1977 to tam uz dle jinych zdroju prokazatelnen nebylo.

A raceji si vsimnout, ze mame rok 2023 a k bezpecnosti se tak nejak celkove pristupuje jinak i nez pred 20 lety.

Když chcete na nějaký komentář reagovat, doporučuju dočíst ho až do konce.

Ty čipové karty jsou chráněné tím, že jsou uložené v trezoru, který je umístěn ve speciální místnosti, která má několik úrovní zabezpečení. Například trezor nejde otevřít v případě, kdy jsou otevřené dveře klece, ve které se ceremonie odehrává, pro otevření klece je potřeb autorizace dvou osob a dveře nesmí být otevřené déle než půl minuty atd. A bezpečnost tohoto systému vy byste chtěl zvyšovat osmimístným PINem?

U odpalovacích kódů k atomové bombě bych nebyl v klidu, pokud by její odpálení záviselo na tom, že si jeden člověk vzpomene na PIN. Pak by totiž přestala fungovat jediná funkce, kterou ty rakety mají – totiž vzájemné odstrašení a princip „pokud to odpálíte, my to odpálíme také, dřív, než nás stihnete zničit“. Princip „pokud to odpálíte, my se budeme snažit přesvědčit prezidenta, aby si vzpomněl na PIN“ by totiž měl jistý potenciál v tom, že nepřítel možná umře smíchy, ale nesázel bych na to.

Bezpečným čipovým kartám věřím docela dost, ale pořád víc věřím tomu fyzickému zabezpečení než tomu, že ta karta po několika pokusech opravdu nenávratně zničí kryptografický materiál a že opravdu neexistuje žádný způsob, jak ten PIN hádat (nebo jak ho odpozorovat nebo z dotyčného jednoduše vymlátit).

Trezor jde vzdycky otevrit, jedinou otazkou je kolik casu tim stravite. U tech trezoru je udavana odolnost proti nasilnemu vniknuti nejakych 10 minut ;-) Fyzicka bezpecnost samozrejme dulezita je, ale spolehat se vylucne na ni take nejde.

Vymlatit osobni PIN z keyholderu se zeleznou trubkou v ruce samozrejme taky muzete vymlatit, ale asi tim stravite podstatne vic casu, ze? Vzhledem k tomu, ze jsou dosti roztrouseni po svete... a tim ze potrebujete takto vymlatit minimalne tri. S verejne znamym PINem si ale tuhle starost muzu usetrit a staci se soustredit na fyzicky utok na objekt, kde je ten trezor.

Tou vasi logikou je to stejne, jako kdybych na tty nemel heslo s tim, ze to je prece zamcene v racku, od ktereho nikdo krome me nema klice.. ;-)

Z čipové karty nebo HSM jde také vždycky privátní klíč získat, jedinou otázkou je kolik času a peněz na tom strávíte. Myslíte, že ochrance bude jedno, že útočníci překonaly všechny bariéry a dostaly se k těm trezorům, a pak na ně bude 10 minut koukat na kamerách, jak se dostávají do těch trezorů? Fyzická bezpečnost je to jediné, co máme. Veškerá softwarová bezpečnost je nakonec zase závislá na tom hardwaru.

Proč by vadilo, že s tou železnou trubkou strávíte víc času? Máte na to půl roku… Kdyby tam opravdu byl nějaký tajný PIN, je otázka, zda by vůbec byl někdo ochotný keyholdera dělat. S rizikem, že se najde nějaký šílenec, který z něj fakt ten PIN bude chtít vymlátit. Protože bude mít podobně zcestné představy o tom, co je jak důkladné zabezpečení, jako máte vy.

Vy máte rack ve stejně zabezpečeném prostoru, jako jsou ty trezory? Kolik lidí se tam musí sejít, když se chcete zalogovat na server? Kolik hodin vám to trvá, než se zalogujete?

bezpečnost se nehodnotí podle jakéhokoliv nejslabšího článku, ale podle neslabšího článku v kritické cestě. Usoudí-li někdo při návrhu, že pin není na kritické cestě, může být klidně zveřejněn.

Z popisu ve videu to opravdu nevypadá, že pin je bezpečnostním mechanismem, který by pro bezpečnost byl rozhodující. Je tady velký důraz na fyzickou bezpečnost a předpokládám, že jakmile se někdo nepovolaný dostane k HSM modulů, bude se automaticky předpokládat, že došlo ke kompromitaci klíčů.

Když bych hypoteticky pracoval s tím, že pin je bezpečnostním prvkem, musela by se poměrně složitě řešit jeho cesta a logicky by se musel po každém použití přegenerovat, lze si ho snadno zapamatovat a nelze ho dále kontrolovat. Nedává mi osobně žádný smysl s pinem pracovat jinak než jako veřejným údajem. Schovávat něco, co neuchráním je volovina a to do návrhu nepatří.

Pokud je duraz kladen jenom na fyzickou bezpecnost tak to obvykle konci scizenim klicu nekterym z key custodians protoze vsechny karty maji stejny PIN a jsou na jednom miste. Ten proces ma vypadat trochu jinak ale myslim si, ze existuje duvod proc je ten proces nastaven tak jak je a nezachazel bych do detailu. Kdo nekdy delal key managera v nejake velke organizaci jiste pochopi, ostatnim se omlouvam, je to mimo diskusi k tomuhle clanku.

Ten proces má vypadat trochu jinak, než si představujete. Jenže on vypadá jinak, než si představujete. Scizením klíčů byste se k těm klíčům pro podpis zóny pořád nedostal. Protože ty trezory s kartami se neválí jen tak na ulici, ale jsou v zabezpečené místnosti, kam se zase dostane jen málokdo.

Důraz je kladen především na to, že se musí sejít dostatečný počet lidí, kteří mají příslušná oprávnění. Fyzická bezpečnost zaručuje to, aby se k tomu nedalo dostat jinou cestou nebo s menším množstvím lidí. Procesně ta bezpečnost ale není založená na znalosti nějakého PINu nebo vlastnictví klíče, ale na tom, že se musí sejít správní lidé a musí jich být dost. Vlastnictví klíče je pak jenom jeden ze způsobů, jak se prokazuje, že je to ten správný člověk.

Obe ty zabezpecene mistnosti jsou na uzemi jednoho statu :-) Varianta, ze tam nasilne napochoduje narodni garda nebo treba i dav poblazneny neuspesnym prezidentskym kandidatem je sice hodne hypoteticka, ale 100% ji vyloucit nemuzete. S tim druhym uz jista neprilis dobra zkusenost zkusenost je, ze? ;-)

A té gardě nebo davu vy byste chtěl předhodit TCR, aby se jich svými metodami zdvořile zeptali na PIN?

TCR? ;-) Ten zadny PIN nepotrebuje, ten se jenom diva... mate trosku neporadek v terminologii :-) Kdyz uz, tak CO/SO, ale ti to muzou v pripade obav o sve fyzicke bezpeci otocit, ze? Ten dav asi nebude problem prehlednout, ze...? ;-) Kdyz uz resite tu zeleznou tyc, tak kody od samotneho trezoru maji kody SSC... takze staci uprit pozornost na ne a odpadne tim i starost s nasilnym vniknutim do toho trezoru, ze? Prekonat zabezpeceni depozitnich schranek uvnitr uz takova fuska nebude...

V tom odkazu, co jste sem dal, máte napsané, co role TCR obnáší. Máte tam dokonce i jejich seznam.

I tak jste se nevyporadal s druhou casti komentare - totiz tou, ze ta zelezna tyc v realu staci na vyrazne mensi skupinu lidi. Staci ti, co ten trezor otevrou, kdyz uz se nebudu chyt crcat s nasilnim vniknutim...

Já mám pocit, že spíš vy jste se stále nevypořádal s odpovědí na otázku, k čemu by byl PIN na těch čipových kartách dobrý.

Prave k tomu, ze kdyz se nekomu dostane do ruky HSM a ty karty (at uz se ten trezor otevre nasilne a nebo za pomoci bouchacky namirene na SSC), tak porad ma dalsi prekazky ktere musi prekonat.

Vsak do HSM strkate ty karty tri a ne jenom jednu. Pokud je podle vasi teorie "dostacujici" uzamceni karty a HSM do dvou trezoru stojicich hned vedle sebe, pak fakt nejsou potreba ty karty tri.

Vase otazka je z kategorie "k cemu potrebuju heslo" :-)

Ano, pokud budu mít kolo uložené v trezoru v bance, tak se budu ptát, proč je to kolo v trezoru zamčené ještě obyčejným zámkem na „heslo“.

Pokud by se někomu dostal do ruky HSM a ty karty, bude to považováno za kompromitované. A žádné PINy na kartách na tom nic nezmění. Protože například nevíte, zda útočník ty PINy nevěděl už v okamžiku, kdy ty karty získal.

Tři karty se tam dávají proto, že základní princip zabezpečení spočívá v procesu, který vyžaduje, aby se sešlo dostatečné množství těch správných lidí. Všechno ostatní je jenom omáčka okolo, aby ten proces nešlo hacknout s menším množstvím lidí nebo bez nich. Technicky by to samozřejmě bylo řešitelné tak, že to všechno vyřídí jeden člověk – jenže tam nejde o techniku, ale o ty lidi.

Vetsinu tech lidi tam realne nepotrebujete. Na nich bezpecnost fakt nestoji. Bez CO/SO se obejdete, staci nekdo kdo otevre trezor, ze? ;-) Pripadne staci, ze se tech trezoru zmocnite.

Ona fakt kompromitovane HSM rovna se vymenit trust KSK na vsech validujicich resolverech, ze? ;-) A to uz takova prdel neni, jak to na prvni pohled vypada (jasne, mame RFC, dle kterych by to melo probehnout automaticky a vcelku rychle... ale vime jak to v praxi obcas funguje). A porad je to proces, co nejakou dobu trva - a ano, problemy kolem toho casto vedou k tomu, ze lidi tu validaci radsi vypnou...

S rotaci zkusenosti mame - s vymenou KSK-2010 se zaclo v rijnu 2016 (kdy se vygeneroval dnes pouzivany KSK-2017), novy KSK se v root zone objevil v cervenci 2017, realne podepisovat se s nim zaclo v rijnu 2018 a puvodni klic byl revokovan az 11.ledna 2019... no a od te doby se nemenilo nic. Kdyby to bylo tak easy-peasy, tak se klic muze menit kazdy rok ;-)

A vcil mudrujte, jak vymenite klice v pripade kompromitace nejak rychle... :-) A ze to neni problem? Jsou mj. zdokumentovane pripady, kdy z Ciny "omylem" do BGP utekl prefix nejakeho root serveru. A vetsina root DNS serveru pro svuj prefix nema vypublikovany ani RPKI ROA, takze ty unosy jsou jeste o to jednodussi. A ted si predstavte, ze by o HSM projevili "zajem" aktualne v Rusku. A co by se delo v mezidobi, nez by se vymenil kompromitovany KSK radsi domyslet nechci...

Ona fakt kompromitovane HSM rovna se vymenit trust KSK na vsech validujicich resolverech, ze?
Taky ještě žádný útočník nemá to HSM a karty.

A ted si predstavte, ze by o HSM projevili "zajem" aktualne v Rusku.
Tak to zachrání osmimístný PIN, samozřejmě. Do přísně střežené místnosti v USA se Rusové dostanou, trezory odsud unesou, ale všichni budou happy a žádná výměna klíčů se nezačne, protože je tam přece osmimístný PIN.

Rozhodne zachrani, protoze pak ma sice sedm karet a HSM, ale s kazdou kartou jen pet pokusu... a pak uz jen spoustu elektrosrotu. Jakapak je pravdepodobnost, ze se v 7x5 pokusech 3x trefite do spravneho PIN? ;-) Ano, pak muzou zkouset nejakou hrubou silu na samotny HSM, co ale ma nejake pojistky - rozhodne to poskytne vic casu na rotaci klicu.

A vubec, raceji si vsimnout, ze soucasne postupy vznikly davno pred rokem 2010, kdy i celkova geopoliticka situace (a nejen to) vsude okolo nas byla o dost jine, nez dnes - tedy v roce 2023. Jestli vy stale premyslite stejne jako se premyslelo pred 13-15 lety, tak jste... ehm... nepoucitelna naivka :D

Jasně, když se někdo dostane k té kartě uvnitř trezoru, bude pak PIN získávat tak, že to bude zkoušet. Ano, celková geopolitická situace se změnila, takže dneska už víme, že Rusko by vůbec nenapadlo těch 7 TCR unést.

Jestli pak víte o tom, že v každém bankovním trezoru jsou hned za dveřmi položené hrábě? Protože když lupič překoná ostrahu banky, dostane se do trezoru – tak šlápne na hrábě, ty ho praští ho hlavy a on uteče s prázdnou.

No, radši vám ty vysvětlím explicitně. Kdyby si pro těch sedm karet a HSM šlo Rusko, tak v okamžiku, kdy se začnou probojovávat do té budovy, budou už znát aspoň 15 PINů (protože by se nenamáhali zjistit, který TCR patří do které skupiny). A TCR by v tu chvíli byli rádi, že jsou živí (pokud by byli). Fakt nechápu, kde se ve vás bere ta naivita, že se někdo dokáže dostat do tak zabezpečeného hardwaru, ale nedokáže ze tří lidí vymlátit PIN…

Koordinovany a neprilis nenotifikovany rychly unos sedmi (resp. aspon tri) CO/SO roztrousenych po svete je precijen trosku vetsi fuska, nez samotne odvezeni dvou trezoru z jedne facility (ktere je tak jako tak nutne) ;-) Zvlast kdyz ti CO/SO jsou pomerne exponovane osoby v komunite... ne, toho by si nikdo nevsim.

Smyslem bezpecnostnich opatreni (a jejich retezeni) je naklast co mozna nejvic prekazet, ktere uspech mozneho utoku zkomplikuji. Vykaslat se na neco snadno realizovatelneho s tim, ze jina opatreni prece staci je chyba. V pripade zmineneho factory-default PINu na smart-kartach se jedna prekazka dobrovolne odstranila. Ano, brano optikou roku 2010 bych se asi nehadal - ale precijen v roce 2023 jsme trosku jinde a treba udalosti na Ukrajine (ale treba i v americkem Kongresu) proste prokazaly, ze je potreba premyslet jinak...

Jasně, dostat se k trezorům v USA, které jsou zabezpečené podle armádních bezpečnostních standardů, to je pro Rusko brnkačka. Zatímco unést na pár desítek minut tři lidi a vymlátit z nich PIN, to nezvládne. Můžete se zeptat Ondřeje Filipa, jestli má 24 hodin denně ochranku, která by ho pořád hlídala – aby si někdo mohl „všimnout“, i kdyby se to stalo třeba ve 2 v noci.

Každopádně váš způsob zabezpečení by byl pozoruhodný. Kdyby zaútočil někdo, kdo by byl tak schopný, že by dokázal získat HSM a karty, byl byste v klidu a neřešil byste žádnou výměnu klíčů – dokud by vám někdo nenahlásil, že si všiml, že bylo uneseno několik TCR.

Smyslem bezpečnostních opatření není naklást co nejvíc překážek. Smyslem bezpečnostních opatření je odradit potenciálního útočníka od útoku, a pokud se k útoku odhodlá, zabránit mu v tom. Rozdíl mezi těmi dvěma tvrzeními je právě v tom, že vy se úplně zbytečně vysilujete na kladení překážek, které jsou podstatně méně náročné, než překážky, které už útočník musel překonat. Takový ten princip, že v trezoru musí být zalepená obálka, protože co když zloději, který překonal trezor, zrovna dojdou síly a nebude mít sílu tu obálku roztrhnout.

Vykaslat se na neco snadno realizovatelneho s tim, ze jina opatreni prece staci je chyba.
Ne, není to chyba. Chyba je naopak honit se v bezpečnosti za něčím, co je oproti ostatním realizovaným bezpečnostním opatřením směšné.

Ale hlavně – tohle by nebylo snadno realizovatelné, to by znamenalo totálně překopat celý ceremoniál. Nyní je ten ceremoniál nastaven tak, aby vše, co se děje v kleci, bylo naprosto transparentní. Vše se děje pod dohledem kamer, všichni se mohou přesvědčit, že se tam nevnáší ani nevynáší nic, co by mohlo ohrozit bezpečnost privátních klíčů. Kdybyste tam chtěl přidat zadání tajného PINu, ten PIN by se buď zadával pod dohledem kamer, takže by nebyl tajný (tak je to dnes). Nebo byste tam musel vybudovat nějaký tajný prostor, který by nebyl pod dohledem kamer, odsud by to muselo být napojené na HSM – a zajímalo by mne, jak byste pak chtěl zařídit věrohodnost celého procesu. Jak byste celý svět přesvědčil, že v tom tajném prostoru nevznikají kopie těch karet nebo že se tam dokonce nekopíruje privátní klíč z HSM.

Ano, brano optikou roku 2010 bych se asi nehadal - ale precijen v roce 2023 jsme trosku jinde a treba udalosti na Ukrajine (ale treba i v americkem Kongresu) proste prokazaly, ze je potreba premyslet jinak...
Jasně, události na Ukrajině ukázaly, že Rusko nedokáže unést tři osoby a vymlátit z nich PIN… Tak já to napíšu jinak. Ono to bylo jasné dávno před rokem 2010, ale v roce 2023 už musí být i vám jasné, že je potřeba myslet také na to, že není možné lidi, kteří se na tom ceremoniálu podílejí, úplně nesmyslně a zbytečně vystavovat nebezpečí. Úlohou TCR není chránit klíče s nasazením života. Kvůli ochraně klíčů je tam ta technika a jsou tam lidé před tou ceremoniální místností. Úlohou TCR je zaštítit to svou autoritou. Je to podobné, jako české korunovační klenoty – klíče má primátor Prahy, prezident ČR a dalších myslím pět lidí. Ale primátor Prahy se nevolí proto, aby měl bojové zkušenosti a bránil klíč od korunovačních klenot do posledního dechu.

Ty trezory ale nejsou na nejake armadni zakladne, ale v arealu, co je beznym komercnim datacentrem v civilne pristupnem prostoru, kam samozrejme legitimne muze hromada dalsich lidi. To ze si v takovem baraku pronajmete vlastni mistnost, kam nikoho nepustite jeste neznamena, ze se tam hrubou silou dostat neni za zadnych okolnosti mozne. A ta "armadni" certifikace trezoru (GSA class 5) vyzaduje odolnost proti nasilnemu vniknuti po dobu 10 minut... strasne moc prace, pokud nekdo bude o ten obsah fakt stat :-)

A ze ICANN fakt nedela state-of-art bezpecnost mimo jine dokazuje i absence RPKI ROA u jejich vlastnich prefixu (a l-rootu, ktery provozuji</em). Pro podepisovani "sve" zony (icann.org) pouzivaji stale RSASHA1-NSEC3-SHA1, o kterem RFC8624 uz skoro ctyri roky rika, ze by se pouzivat na podepisovani zon jaksi uz nemel... aneb kovarova kobyla chodi bosa, ze? ;-)

Ale je vtipne, jak si v te sve slohovce protirecite :-) Aneb myslite, ze clovek obeznameny s kodem odemykajici trezor tu 24/7 ochranku ma? Krecovite tu obhajujete absenci PIN na smart-kartach, ale ze tam jsou lidi co oteviraji tier 1-6 nejak neresite. A tier 7 v podobe deposit boxu, kde jsou pytliky se smartkartama - ten klicek od nej maji TCR u sebe.

Když vy si to pořád představujete tak, že jsou to trezory někde v kanceláři na stole. jenže ona je to místnost s vyztuženými zdmi, vstup dovnitř je na kartu. Ze vstupního prostoru dál se dostanete jen v doprovodu pověřené osoby. Do samotné klece, kde probíhá ceremonie, se pak dveře otevřou jen na 30 sekund a k autorizaci vstupu jsou potřeba dva lidé.

Lidi, kteří otevírají předchozí vrstvy, jsou tam proto, aby se k těm trezorům nedostali sami držitelé klíčů. Asi se nepředpokládá, že by Ondřej Filip zkoušel z někoho vymlátit PIN ke dveřím gumovou hadicí.

Ale hlavně, vy stále nechápete, proti čemu je potřeba ty privátní klíče zabezpečit. Pořád si to představujete, že tam někdo vjede tankem a HSM odveze. Jenže to by byl jasný případ kompromitace, bude o tom vědět celý svět a všichni budou vědět, že té současné sadě klíčů už nemůžou důvěřovat.

Podpis kořenové zóny ale ve skutečnosti musí být zabezpečen proti úplně jinému typu útoku. Musí být zabezpečen proti tomu, aby někdo privátní klíče získal tajně – tak, aby se o tom nevědělo a aby těm klíčům pořád všichni důvěřovali. Proto celý ten proces musí být maximálně transparentní, takže nepřipadá v úvahu, že s těmi kartami nebo HSM budete manipulovat mimo dohled kamer.

Takže vy byste úplně zahodil to nejdůležitější, totiž transparentnost, kvůli hypotetickému scénáři, ve kterém byste jenom ohrozil držitele klíčů, a stejně byste tím nic nezískal – protože krádež trezorů s kartami a HSM by byla považována za kompromitaci privátních klíčů bez ohledu na to, jaký PIN by k těm kartám byl nastaven.

Psal jsem to uz vyse, problem nastane v momente, kdy se ty klice doopravdy kompromituji. Vymenit klice po celem svete neni cinnost na par minut. Ale to vam proste unika. Ale co taky cekat od cloveka, co DNSSEC ani na svych vlastnich domenach neprovozuje, ze...? :D

Ne, to mi neuniká. Co vám uniká je to, že ten váš PIN kompromitaci nebrání. Protože jakmile by se někdo zmocnil HSM a čipových karet, budou klíče považovány za doopravdy kompromitované. Vy byste možná čekal, až vám útočník zašle zprávu podepsanou tím privátním klíčem, abyste si byl jist, že privátní klíč opravdu má. Všichni ostatní by ale klíč považovali za kompromitovaný v okamžiku získání HSM a čipových karet – bez ohledu na to, jestli je na těch kartách veřejně známý PIN nebo PIN, o kterém se myslelo, že je tajný. Protože nemáte jak zjistit, zda útočníci ten PIN znají nebo nemají – takže musíte počítat s horší variantou.

V jiné diskusi jste psal, že bagatelizuji rizika – ale přitom tady sám hrubě podceňujete rizika a spoléháte na to, že kdyby někdo dokázal překonat všechna bezpečnostní opatření, která kolem těch klíčů jsou, nepodaří se mu překonat PIN na čipové kartě. Nevěděl byste, zda ty PINy útočník neznal už předtím, než fyzický útok podnikl. Nevěděl byste, zda nezná metodu, jak PINy obejít nebo zabránit blokování. Ale věřil byste tomu, že se k privátním klíčům nedostane. Tohle, co předvádíte, je bagatelizace rizik.

Ale ano, brani a dost efektivne. I kdyz si ten trezor jakkoliv otevrete, tak bez toho PINu ke kartam z HSM nic rychle nevymamite - a cas, ktery to poskytne na vymenu klice je vyrazne delsi, nez kdyz je vsude vychozi PIN, jehoz znalost praci proste dost usnadni ze? A ze by v jeden cas nekdo odnesl obsah trezoru a soucasne zeleznou tyci vymlatil PIN z minimalne tri CO/SO je ciste vase fantasmagorie - v praxi neprilis realne ;-) Ti, kdo by ten PIN mohl vyzradit jsou samotni CO/SO - a ti by si tu informaci jiste nenechali pro sebe v momente, kdy by to z nich nekdo pacil nasilim. Opet, dost casu pri takovem incidentu podniknout protiopatreni. Jine zpusoby leaku jsou opet spise vase fantasmagorie ;-)

Incidenty spocivajici ve fyzickem pruniku do zabezpeceneho objektu historie pamatuje spoustu - navzdory tomu, co se o bezpecnosti objektu napise na papire (ten toho snese hodne). A cela ta vase bagatelizace je oprena jen o to, ze to se prece nemuze stat. A na zaklade toho systematicky preskakujete i problematiku eventuelni vynucene vymeny klice :-) No jasne, protoze vy sam se toho bojite a tak radsi DNSSEC u svych domen neprovozujete :D Podle vasi logiky jsou viditelne PINy na smart-kartach zbytecne... tak teda nevim, proc to tam vubec implementuji, potazmo proc ten pozadavek na PIN teda nejde na HSM vypnout :-)

Získat ty tři PINy by bylo jednodušší, než získat ty karty a HSM. Mrtvý člověk si informaci nechá pro sebe; člověk, kterého někde drží, si informaci nechá pro sebe; člověk, jehož blízké někde drží únosci, si informaci nechá pro sebe.

Fantasmagorie je hlavně to, že se někdo dostane k HSM a kartám.

Incidentů spočívajících v získání PINu od člověka historie pamatuje spoustu. Incidentů spočívajících v obejití softwarového zabezpečení historie také pamatuje spoustu. A historie pamatuje také spoustu případů, kdy někdo tváří v tvář průšvihu tvrdil, že se vlastně nic nestalo a že není třeba přijímat žádná zvláštní opatření. Takže kdybyste po získání HSM a čipových karet nějakým útočníkem prohlásil, že situace je nadmíru výtečná a není důvod k obavám, nebyl byste první.

A cela ta vase bagatelizace je oprena jen o to, ze to se prece nemuze stat.
Nesmysl. Já jenom operuju s pravděpodobností, s jakou se to asi může stát. A operuju s tím ,jaká je asi pravděpodobnost, že se to povede retardovanému útočníkovi, kterého předpokládáte vy.

A na zaklade toho systematicky preskakujete i problematiku eventuelni vynucene vymeny klice :-)
Já tuto problematiku nepřeskakuju. Přeskakujete ji vy, protože je pro vás asi příliš těžká na pochopení. Už jsem vám několikrát vysvětloval, že kdyby k takové situaci došlo, budou klíče považovány za kompromitované, a nebude se čekat na to, jestli útočníci podají důkaz, že privátní klíče opravdu mají. Co na tom nechápete?

Podle vasi logiky jsou viditelne PINy na smart-kartach zbytecne...
Ano – v případě že máte kartu uloženou v trezoru v kleci v opevněné místnosti s několikanásobně jištěnými přístupy.

Takže máte na výběr – buď přiznáte, že jste demagog, nebo přiznáte, že nevidíte rozdíl mezi čipovou kartou položenou na stole a čipovou kartou v několikanásobném trezoru.

tak teda nevim, proc to tam vubec implementuji, potazmo proc ten pozadavek na PIN teda nejde na HSM vypnout :-)
Protože ne všichni uživatelé HSM mají přístup k němu tak zabezpečen, jako to má ICANN. A protože možnost vypnutí by byl další vektor útoku, další věc, která by se musela auditovat. Přitom je požadavek na PIN možné tak snadno obejít tím, že se použije všeobecně známý PIN.

Zdá se mi to, nebo vy systematicky přeskakujete to, jak byste zajistil transparentnost celé ceremonie v případě zadávání tajných PINů?

Ale musite ziskat tri piny a k tomu ty tri karty a jeste HSM, to je dohromady uz pet veci z ruznych mist a ne jen dve z jednoho mista. Nehlede na to, ze informace o smrti nekoho zucastneneho by se dlouho neututlala, ze? ;-) Zneplatneni takove karty je trivialne resitelny problem - k tomu tu kartu a jeji PIN vcelku logicky ani nepotrebujete.

Treba na zapadnim pobrezi mate letiste hned vedle toho DC. Jaky problem je tam nasmerovat rovnou cele letadlo, chytraku? ;-) Ne, to se vubec nikdy nestalo, ze by civilni letadlo poslouzilo jako utocna zbran. A tam se vlastne staci jen trosku odchylit na finale pristani z osy... to fakt nemate moc sanci zareagovat - a ono moc neni jak, nad huste obydlenym LAX letadlo nikdo sestrelovat nebude. Ne, to nejsou fantasmagorie... to jsou scenare, co se pred 22 roky realne staly, ze? Copak se asi po takovem incidentu bude dit? Urcite pak vsichni budou resit peclivou lustraci kolem se pohybujicich lidi.

A schvalne, jakpak se v ramci ceremonie zadava PIN k otevreni klece a kod k otevreni trezoru? ;-) Kdyz tvrdite, ze zadat PIN tak, aby nebyl videt je "pry" nemozne :D

Ne, to nejsou fantasmagorie...
Jsou to fantasmagorie. Ještě jste zapomněl dodat, že to letadlo proletí metr nad zemí, letuška z otevřených dveří posbírá HSM a trezory a ty trezory otevřou rozbrušovačkou v letadle ještě nad Pacifikem.

1. Fyzická ochrana těch karet přináší daleko lepší bezpečnost, než jakou by přinesly tajné PINy.
2. Celé je to postavené na tom, že když se zachází s kryptomateriálem, je celý proces maximálně transparentní, aby celý svět viděl, že není prostor pro vznik nějaké tajné kopie používaných klíčů. To je důvod, proč se to celé dělá.
3. Kdyby tam tajné PINy byly, celý proces nouzové rotace klíčů by byl prodloužen asi tak o deset vteřin, které by byly potřeba pro to, aby představitel ICANN veřejně vyhlásil, že privátní klíče je nutné považovat za kompromitované a TCR, kteří tak ještě neučinili, ať v zájmu bezpečnosti své i svého okolí zveřejní své PINy.

Vaše neschopnost domýšlet scénáře, které vymyslíte, je pozoruhodná. Vymyslíte, že někdo letadlem zbourá budovu, ale už vám nedojde, že v té zbourané budově mrtvý únosce toho letadla asi těžko bude hledat HSM a karty. A živého spolupracujícího nepředpokládáte, od začátku totiž popíráte, že by útočníci mohli jednat organizovaně a různí lidé by zajišťovali různé části operace. Navíc v té zbourané budově by se to ani živému nehledalo o moc lépe, než mrtvému.

PIN na smarte je komplement bezpecnostnich opatreni, nikoliv jejich substitut - jak se to snazite navliknout ve snaze obhajit sve blaboleni. V podstate se snazite rict, ze kdyz zamknu smartkartu do trezoru, tak neni duvod ji jeste chranit PINem. Coz je ale kravina z principu ;-)

Picovinu se samozberem trezoru z leticiho letadla jste sem napsal vy - ja psal o tom, ze tam to letadlo necha cilene spadnout a vyuzije nasledneho zmatku kolem k tomu, aby se HSM zmocnil. Mate pravdu, vase neschopnost aplikovat scenare (ktere uz se nekdy nekde staly) je obdivuhodna... a mimo jine vam vubec nedochazi, ze ten trezor neni v nejake bezletove zone uprostred pouste, kde by pri naruseni perimetru obratem startovaly stihacky.

A pokud se neco takoveho stane, tak neexistuje zadna pojistka, ktera by zneuziti zamezila - a prave proto, ze na smartkartach mate factory-default PIN. A opravdu nemuzete z fleku zneplatnit stavajici DNSSEC klice stejne jako kdyz zneplatnujete unikle kredence do vami vyvijenych IS - protoze to byste obratem rozbil pulku internetu. Ta vymena neni zas tak jednoduchy proces - proto se taky zas tak casto nedela, ze? ;-) Ale proc to vykladat cloveku, co se DNSSECu u vlastnich domen boji a radsi ho nenasazuje :D

A porad jste se nevyporadal s tim, ze kdyz je teda PIN u smartkarty takovy problem, proc se teda tutlaji PINy k EZS (pipani klavesnice v zaznamu ceremonialu slysite) a kod k trezoru (ktery osoba jej znajici zadava tak, ze na streamu uvidite jen zada dotycneho)... :-) Ne, PIN u smartkarty transparentnost celeho procesu nijak neohrozi. Jen posili jeho bezpecnost.

Když zamknete kartu do trezoru, který bude zajišťovat větší bezpečnost, než PIN na kartě, není důvod kartu chránit PINem. Karta je chráněná PINem proto, že ve většině případů by bylo velmi nepraktické mít kartu v trezoru – a reálně by tam nebyla a někde by se válela.

Scénář, že někdo nechal spadnout letadlo tak přesně, aby otevřelo nějaký trezor, a následně si z toho trezoru vyzvedl nepoškozené elektronické zařízení – to se stalo kdy, pěkně prosím? A Béčkové filmy se nepočítají…

Já jsem o žádné bezletové zóně nic nepsal. Na tom není nic, co by mi mělo docházet. Potřeba je, aby něco došlo vám – aby vám došlo, že náraz letadla není dobrý způsob, jak se dostat k nepoškozeným věcem v sejfu.

A pokud se neco takoveho stane, tak neexistuje zadna pojistka, ktera by zneuziti zamezila
Protože je to extrémně nepravděpodobný případ. A protože bylo vyhodnoceno, že obrana proti takovému případu by byla neúměrně drahá. Ta obrana by spočívala v tom, že by nebylo vše komplet v jedné lokalitě, ale klíč by byl rozdělen mezi více lokalit.

Stále jste nepochopil, že ten váš PIN nijak neřeší dobu pro zneplatnění DNSSEC klíčů.

EZS nemůže nijak zasáhnout do práce s kryptografickým materiálem. Stejně tak do něj nemůže zasáhnout trezor.

Spousta textu, ale nikde nevidím odpověď na jednu ze základních otázek, nosí u sebe Ondřej Filip gumovou hadici? Na tom to celé stojí a padá.

Bezpečnost se hodnotí vždy jako celek, dokud nemáte celek, nemůžete říct, co je jaká hrozba a problém. Obecně máte pravdu oba.

Proc by se musela slozite resit cesta PINu? Kdyz se zavadi novy crypto officer (a tedy zadava nova karta do HSM), tak ten je primo na miste a na konci ceremonialu tu svou novou kartu strka do tamper-proof pytliku. Neni nic snadnejsiho, nez v ramci toho procesu si ten rovnou PIN zadat, ze?

Hesla taky mate verejne? A ta analogie je aplikovatelna stejne, to byste ho musel po kazdym pouziti menit, ze? :-) Ne, jediny "problem" je vyreseni zpusobu, jak zadat pin na (pomerne titerne) klavesnici toho HSM a neodvysilat ji ve streamu. A to rozhodne je technicky resitelny problem.

Ostatne, do te klece a do trezoru se take vstupuje po zadani nejakeho kodu a tento se nezverejnuje - a ti, co jej zadavaji stoji tak, aby nebyl videt. Jaktoze ten PIN problem neni, zatimco u samotnych kryptografickych karet tvrdite, ze to nejde? ;-) Podle te Vasi logiky by soucasti protokolu musel byt i kod od trezoru, EZS... a samozrejme by se musel po kazdem pouziti menit.