Som jag skrivit tidigare var jag med på en paneldiskussion i Stockholm den 10 Juni:
https://info.knowit.se/automation_av_pki
Huvudfokuset var CA/Browser Forum's beslut att förkorta websides-certifikats giltighetstid till 47 dagar, vilket ställer större krav på automatiserad förnyelse av websides-certifikat. --- Henrik Andersson från Abero Security berättade om de olika protokoll som finns för automatisk certifkat-uppdatering; * SCEP - Simple Certificate Enrollment Protocol * CMP/EST - lite modernare variant av SCEP * ACME - det nya som bl.a. Let's Encrypt använder
Körde ett live-demo av ACME med smallstep-ca som server och certbot som klient.
ACME har en plugin-arktitektur där det jobbas på hårdvaru-tokens (TPM och SecureEnclave) under namnet device-attest-01. Se acmeprotocol.dev --- Sedan följde en session där vi skulle reflektera över om certifikathanteringen var på väg att försvinna till förmån för ssh-nycklar, wireguard och openpgp. Det gnälldes också över att constraints i X.509 är kasst implementerat och krashar vissa mjukvaror, samt att ingen slår på CRL (revokeringslistor). --- Tomas Gustavsson tog sedan över och pratade om EJBCA och de olika entiteterna som finns i ett komplett system: * CA - Certification Authority * RA - Registration Authrorty * VA - Validation Authority * TSA - Timestamp Authority
Kom in på post-quantum algorithmer och nämde att MLDSA är både vacker matematiskt och godkänd enligt NIST. --- Sedan följde mingel och folk var allmänt intresserade av vårt e-leg användningsområde. En smartcard-expert vid namn Pål Ragnarson nämnde massor av hårdvarutokens, där jag febrilt antecknade buzzwords som jag tänkte kolla upp senare (inte hunnit än): * Fortify: webb-baserad smartcard enrollment * TPM: om man har problem ska man kolla att man slagit på "Enhanced TPM" i BIOS * Yubikey: använder PIV, har plats för 24 tokens, FIDO for enterprise * Thales MD830 / MD940 använder pksc15. * SafeNET Etoken * secure channel - global platform keys * signature creation device * JCOB-kort med hemmaskriven Applet ---
Vidare har jag anmält mig till ett resiliance-hackaton https://cillers.com/hackathons/couchbase-disaster-resilience-hackathon och försöker få till att min grupp ska utveckla vårt e-id :)
Ses på online-mötet på måndag!
/ Christian