26、认证机构密钥泄露与长期电子文档存档基础设施研究

认证机构密钥泄露与长期电子文档存档基础设施研究

认证机构密钥泄露问题

当前，认证机构（CA）的最佳实践是使用硬件安全模块（HSM）来保护签名密钥，防止其被泄露。虽然硬件保护可以防止私钥被完全泄露（即获得密钥的完整副本），但部分泄露（少量非法访问）似乎难以避免，特别是当HSM允许基于会话或在线访问密钥时。

研究定义并研究了多种泄露级别，包括完全泄露和受控/不受控的部分泄露。在大多数CA采用的传统撤销设置（即使用相同密钥进行证书和撤销签名）下，最低级别的泄露（一次非法访问）等同于完全泄露，这将导致受影响的CA被撤销，并可能需要为所有终端实体颁发新证书。

幸运的是，其他撤销设置并非如此。当证书颁发者和撤销颁发者分别使用两个不同的密钥时，与完全泄露造成的损害相比，某些泄露级别的损害可以显著降低。研究表明，仔细实施这些设置可以在证书颁发者发生受控部分泄露或撤销颁发者发生任何泄露（部分或完全）的情况下，提供一种高效有效的对策。该对策包括重新颁发新的撤销密钥和两个证书撤销列表（CRL），这比在传统撤销设置下针对相同泄露级别所需的对策更高效、干扰性更小。

自然地，CA在采取对策的同时，必须实施额外的安全和组织措施，以避免相同的泄露影响为撤销颁发者颁发的新密钥。此外，还描述了使用公钥基础设施X.509（PKIX）功能实施该对策的方法。本质上，该对策要求将认证和撤销功能分离。PKIX已经定义了一种机制来强制实现CRL的这种分离。一般情况下，将该对策与在线证书状态协议（OCSP）结合使用时，需要定义一种等效机制。

令人惊讶的是，大多数实际的认证机构并未使用双密钥设置（例如，主要浏览器信任存储中的大多数CA都是如此），因此无法从单次非法私钥访问中恢复。