Som jag skrivit tidigare var jag med på en paneldiskussion i Stockholm
den 10 Juni:
https://info.knowit.se/automation_av_pki
Huvudfokuset var CA/Browser Forum's beslut att förkorta
websides-certifikats giltighetstid till 47 dagar, vilket ställer större
krav på automatiserad förnyelse av websides-certifikat.
---
Henrik Andersson från Abero Security berättade om de olika protokoll som
finns för automatisk certifkat-uppdatering;
* SCEP - Simple Certificate Enrollment Protocol
* CMP/EST - lite modernare variant av SCEP
* ACME - det nya som bl.a. Let's Encrypt använder
Körde ett live-demo av ACME med smallstep-ca som server och certbot som
klient.
ACME har en plugin-arktitektur där det jobbas på hårdvaru-tokens (TPM
och SecureEnclave) under namnet device-attest-01. Se acmeprotocol.dev
---
Sedan följde en session där vi skulle reflektera över om
certifikathanteringen var på väg att försvinna till förmån för
ssh-nycklar, wireguard och openpgp. Det gnälldes också över att
constraints i X.509 är kasst implementerat och krashar vissa mjukvaror,
samt att ingen slår på CRL (revokeringslistor).
---
Tomas Gustavsson tog sedan över och pratade om EJBCA och de olika
entiteterna som finns i ett komplett system:
* CA - Certification Authority
* RA - Registration Authrorty
* VA - Validation Authority
* TSA - Timestamp Authority
Kom in på post-quantum algorithmer och nämde att MLDSA är både vacker
matematiskt och godkänd enligt NIST.
---
Sedan följde mingel och folk var allmänt intresserade av vårt e-leg
användningsområde. En smartcard-expert vid namn Pål Ragnarson nämnde
massor av hårdvarutokens, där jag febrilt antecknade buzzwords som jag
tänkte kolla upp senare (inte hunnit än):
* Fortify: webb-baserad smartcard enrollment
* TPM: om man har problem ska man kolla att man slagit på "Enhanced TPM"
i BIOS
* Yubikey: använder PIV, har plats för 24 tokens, FIDO for enterprise
* Thales MD830 / MD940 använder pksc15.
* SafeNET Etoken
* secure channel - global platform keys
* signature creation device
* JCOB-kort med hemmaskriven Applet
---
Vidare har jag anmält mig till ett resiliance-hackaton
https://cillers.com/hackathons/couchbase-disaster-resilience-hackathon
och försöker få till att min grupp ska utveckla vårt e-id :)
Ses på online-mötet på måndag!
/ Christian