Názor k článku Bezpečnost kořenové zóny je v transparentnosti, řekl Ondřej Filip na CSNOG 2023 od Filip Jirsák - Když vy si to pořád představujete tak, že...

Když vy si to pořád představujete tak, že jsou to trezory někde v kanceláři na stole. jenže ona je to místnost s vyztuženými zdmi, vstup dovnitř je na kartu. Ze vstupního prostoru dál se dostanete jen v doprovodu pověřené osoby. Do samotné klece, kde probíhá ceremonie, se pak dveře otevřou jen na 30 sekund a k autorizaci vstupu jsou potřeba dva lidé.

Lidi, kteří otevírají předchozí vrstvy, jsou tam proto, aby se k těm trezorům nedostali sami držitelé klíčů. Asi se nepředpokládá, že by Ondřej Filip zkoušel z někoho vymlátit PIN ke dveřím gumovou hadicí.

Ale hlavně, vy stále nechápete, proti čemu je potřeba ty privátní klíče zabezpečit. Pořád si to představujete, že tam někdo vjede tankem a HSM odveze. Jenže to by byl jasný případ kompromitace, bude o tom vědět celý svět a všichni budou vědět, že té současné sadě klíčů už nemůžou důvěřovat.

Podpis kořenové zóny ale ve skutečnosti musí být zabezpečen proti úplně jinému typu útoku. Musí být zabezpečen proti tomu, aby někdo privátní klíče získal tajně – tak, aby se o tom nevědělo a aby těm klíčům pořád všichni důvěřovali. Proto celý ten proces musí být maximálně transparentní, takže nepřipadá v úvahu, že s těmi kartami nebo HSM budete manipulovat mimo dohled kamer.

Takže vy byste úplně zahodil to nejdůležitější, totiž transparentnost, kvůli hypotetickému scénáři, ve kterém byste jenom ohrozil držitele klíčů, a stejně byste tím nic nezískal – protože krádež trezorů s kartami a HSM by byla považována za kompromitaci privátních klíčů bez ohledu na to, jaký PIN by k těm kartám byl nastaven.