<div dir="ltr"><div dir="ltr">Thanks Ben. I've responded inline.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, Dec 8, 2020 at 1:06 PM Ben Wilson <<a href="mailto:bwilson@mozilla.com">bwilson@mozilla.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>Hi Wayne,</div><div><br></div><div>Thanks for your comments.  Below are some proposals that we hope will address your concerns.</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Nov 23, 2020 at 4:51 PM Wayne Thayer <<a href="mailto:wthayer@gmail.com" target="_blank">wthayer@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div><span style="color:rgb(0,0,255)">Ben,</span></div><div><span style="color:rgb(0,0,255)"><br></span></div><div><span style="color:rgb(0,0,255)">Thanks for the detailed response. I've added a few new comments below where I still have some concerns.<br></span></div><div><span style="color:rgb(0,0,255)"><br></span></div><div><span style="color:rgb(0,0,255)">Wayne<br></span></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Nov 23, 2020 at 7:48 AM Ben Wilson <<a href="mailto:bwilson@mozilla.com" target="_blank">bwilson@mozilla.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr">Thanks, Wayne, for reviewing this.  Responses are inline below.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Nov 18, 2020 at 9:00 AM Wayne Thayer <<a href="mailto:wthayer@gmail.com" target="_blank">wthayer@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div dir="ltr"><div>Ben,</div><div><br></div><div>I have some questions about the proposed language.<br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Nov 2, 2020 at 10:19 AM Ben Wilson via Servercert-wg <<a href="mailto:servercert-wg@cabforum.org" target="_blank">servercert-wg@cabforum.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:18pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">5. GENERAL PROTECTIONS FOR AIR-GAPPED CA SYSTEMS</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This Section 5 separates requirements for Air-Gapped CA Systems into two categories--logical security and physical security.</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Logical Security of Air-Gapped CA Systems</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Certification Authorities and Delegated Third Parties SHALL implement the following controls to ensure the logical security of Air-Gapped CA Systems:</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">a. Review static configurations of Air-Gapped CA Systems at least on an annual basis to determine whether any changes violated the CA’s security policies;</span></p></div></blockquote><div><br></div><div>Is "static" necessary here, or would it be clearer just to "review configurations"?</div></div></div></blockquote><div><br></div><div>
<span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-c52d3eda-7fff-cdd1-8a66-32583dbb0049">The Doc Subgroup agrees that “Static” is not necessary.  It can be removed.</span><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"> </span>  <br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><div>The phrase "...to determine whether any changes violated the CA’s security policies;" seems unnecessary and a bit confusing (changes to static configurations?).<br></div><div> </div></div></div></blockquote>
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-eee05605-7fff-0b02-825d-8c19f9b5bb45"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">The language concerning whether changes violate security policies was in section 1.h. of the NCSSRs until SC29 (v. 1.4) when it was replaced by:</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Ensure that the CA’s security policies encompass a change management process, following the principles of documentation, approval and review, and to ensure that all changes to Certificate Systems, Issuing Systems, Certificate Management Systems, Security Support Systems, and Front-End / Internal-Support Systems follow said change management process;</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Without the phrase, “to determine whether any changes violated the CA’s security policies”, the remaining language would read, “Review configurations of Air-Gapped CA Systems”.  </span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">A better alternative might be language ensuring that changes to Air-Gapped CA Systems follow the CA’s change management process, as now required by subsection 1.h.</span></p></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">My proposal would simply read "Review configurations of Air-Gapped CA Systems at least on an annual basis." I do see that as a valuable requirement and would not suggest relying only on subsection 1.h.</span></div></div></div></blockquote><div><br></div><div>This is acceptable, we can amend the language to say, "Review configurations of Air-Gapped CA Systems on at least an annual basis."</div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span></p>

<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">b. Follow a documented procedure for appointing individuals to Trusted Roles on Air-Gapped CA Systems;</span></p></div></blockquote><div><br></div><div>A "Trusted Role on a system" doesn't make sense to me. I think the meaning here is "...to any Trusted Roles that grant the individual privileges on Air-Gapped CA Systems;"</div><div><br></div></div></div></blockquote><div>
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-73f86d24-7fff-9d56-3d9a-3dfa9d0d8343"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">The Doc Subgroup flagged section 2.a. as applicable.  It states, “Follow a documented procedure for appointing individuals to Trusted Roles and assigning responsibilities to them”.</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">As noted below in c. and d., the operation of CA systems involves multi-person control.  Depending on the HSM chosen, people handling Offline CA systems fulfill roles of operator, officer, administrator, etc.  </span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Alternative language might be:</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">“Follow a documented procedure for appointing individuals to Trusted Roles who are authorized to operate Air-Gapped CA Systems.”</span></p></div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">I agree with the intent, but I still find the alternative language to be confusing because it's unclear if it means "...individuals who are authorized..." or "Trusted Roles who are authorized".</span></div><div><br></div></div></div></blockquote><div>What if we replaced the word "who" with "which"?  It would read, "Follow a documented procedure for appointing individuals to Trusted Roles, which are authorized to operate Air-Gapped CA Systems."</div><div><br></div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">I'm mostly in agreement but would prefer "Follow a documented procedure for appointing individuals to Trusted Roles that are authorized to operate Air-Gapped CA Systems." (I believe "that" is the proper meaning here because not all Trusted Roles are authorized.)</span></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div>  <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">c. Grant logical access to Air-Gapped CA Systems only to persons acting in Trusted Roles and require their accountability for the Air-Gapped CA System's security;</span></p></div></blockquote><div><br></div><div>How does a CA "require their accountability"? I'm skeptical that this part of the requirement adds value, and it seems better suited for BR section 5.3 (Personnel controls).<br></div><div><br></div></div></div></blockquote><div>
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-da151cf3-7fff-00c4-d375-820c247167c9"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:rgb(255,255,0);font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">The Doc Subgroup flagged section 1.i. as applicable. It states, “Grant administration access to Certificate Systems only to persons acting in Trusted Roles and require their accountability for the Certificate System’s security.”  Typically, CAs require that persons in Trusted Roles be formally appointed and that they are aware of their duties and responsibilities. </span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Back in 2012 when the NCSSRs were being developed, this requirement originally proposed that persons in trusted roles “assume responsibility” for system security. That was thought to raise an issue of personal liability, so “require their accountability” was chosen. At the time that the NCSSRs were developed, the proponents referenced audit criteria requiring CA personnel to be held accountable. Accountability is a core information security concept. Someone needs to take responsibility for the physical security of HSMs.  </span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Finally, the Doc Subgroup previously considered whether to amend section 5.2 of the BRs (the appropropriate spot) and decided that that were enough challenges in just trying to update the NCSSRs, but we can consider revisiting that, along with other things that could be added to Section 5 of the BRs.</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Alternative language might be:</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">“Grant logical access to Air-Gapped CA Systems only to persons acting in Trusted Roles and design technical and/or procedural controls such that all access to Air-Gapped CA Systems can be traced back to the accountable individual.”</span></p></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">d. Document the responsibilities and tasks assigned to Trusted Roles and implement "separation of duties" for such Trusted Roles based on the security-related concerns of the functions to be performed;</span></p></div></blockquote><div><br></div><div>How is "separation of duties" relevant in the context of Air-Gapped systems? In my experience, operations on Air-Gapped systems are performed in ceremonies and include multi-party authentication. I'm concerned that this requirement could be interpreted as adding requirements that don't fit those processes.<br></div><div> <br></div></div></div></blockquote><div></div><div dir="ltr">
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-d35438b8-7fff-7c18-c0eb-1173af356390"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This provision is based on section 2.b. of the NCSSRs, which states, “Document the responsibilities and tasks assigned to Trusted Roles and implement ‘separation of duties’ for such Trusted Roles based on the security-related concerns of the functions to be performed.”</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">It requires that CAs document the assignments and responsibilities of personnel in Trusted Roles.  This provision goes hand-in-hand with subsection c., discussed above.</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">There is typically a separation of duties among key ceremony participants, even if they are not the same as typically referenced, e.g. primary engineer, secondary engineer, ceremony administrator, witness, auditor, etc.</span></p></div></div></div></blockquote><div><span style="color:rgb(0,0,255)">I understand that different Trusted Roles typically have distinct duties during a ceremony, but this requirement means that one individual cannot hold multiple roles that are in conflict. In your example, which roles would typically be considered to be in conflict (i.e. the same person can't hold both roles)?<br></span></div><div> </div></div></div></blockquote><div> </div><div>What if it was rewritten to say, "Document the responsibilities assigned to Trusted Roles based on the security principle of multi-person control and the security-related concerns of the functions to be performed." ?<br></div><div> </div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">That works for me.</span></div><div><span style="color:rgb(0,0,255)"> </span><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div dir="ltr"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">>> Physical Security of Air-Gapped CA Systems</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">>> Certification Authorities and Delegated Third Parties SHALL implement the following controls to ensure the physical security of Air-Gapped CA Systems:</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">>> p. Grant physical access to Air-Gapped CA Systems only to persons acting in Trusted Roles and require their accountability for the Air-Gapped CA System’s security;</span></p></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><br></div><div>Same comment as above on accountability.</div><div> <br></div></div></div></blockquote><div>
<span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-740f5209-7fff-5eb1-fc07-7b6692cab3c0">The Doc Subgroup flagged section 1.i. as applicable.  It states, “Grant administration access to Certificate Systems only to persons acting in Trusted Roles and require their accountability for the Certificate System’s security".  We could make changes similar to those proposed above in subsection c.</span><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">q. Ensure that only personnel assigned to Trusted Roles have physical access to Air-Gapped CA Systems and multi-person access controls are enforced at all times;</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">r. Implement a process that removes physical access of an individual to all Air-Gapped CA Systems within twenty four (24) hours upon termination of the individual’s employment or contracting relationship with the CA or Delegated Third Party;</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">s. Implement video monitoring, intrusion detection, and intrusion prevention controls to protect Air-Gapped CA Systems against unauthorized physical access attempts;</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">t. Implement a Security Support System that monitors, detects, and reports any security-related configuration change to the physical access to Air-Gapped CA Systems;</span></p></div></blockquote><div><br></div><div>I'm not convinced that the NCSSR definition of Security Support System fits here. Would feeding the logs from a physical security system into a CA's logging and monitoring pipeline satisfy this requirement?</div><div><br></div></div></div></blockquote><div>
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">We think it fits, and we want CAs to implement security support systems that monitor, detect and report physical intrusions. The current NCSSR definition of “Security Support System” is very broad.  It is “A system used to provide security support functions,” ... “which MAY include authentication, network boundary control, audit logging, audit log reduction and analysis, vulnerability scanning, and intrusion detection (Host-based intrusion detection, Network-based intrusion detection).”</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This proposed language is based subsection 3.a., which previously required that CAs “Implement a Security Support System under the control of CA or Delegated Third Party Trusted Roles that monitors, detects, and reports any security-related configuration change to Certificate Systems.”  Subsection 3.a. has subsequently been changed to read, “Implement a System under the control of CA or Delegated Third Party that continuously monitors, detects, and alerts personnel to any modification to Certificate Systems, Issuing Systems, Certificate Management Systems, Security Support Systems, and Front-End / Internal-Support Systems unless the modification has been authorized through a change management process. The CA or Delegated Third Party shall respond to the alert and initiate a plan of action within at most twenty-four (24) hours.”</span></p><p style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">We could make a similar modification here, if needed.<br></span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">It does mention “audit logging” and “audit log reduction and analysis.”  Most physical security support systems have recordkeeping capabilities.  The definition also mentions several other concepts that are commonly thought of as related more to network security.  </span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">We agree that the current definition of Security Support System does not expressly mention physical security.  Therefore, we are open to future revisions of that definition so that it more clearly includes physical security. </span></p>  <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">u. Review all system accounts on physical access control lists at least every three (3) months and deactivate any accounts that are no longer necessary for operations;</span></p></div></blockquote><div><br></div><div>What does "system accounts on physical access control lists" mean? Are we talking about logical access to physical security systems? <br></div></div></div></blockquote><div><br></div><div>
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt" id="gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-730a7bd5-7fff-9f08-352a-6bdf25249e0e"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This provision comes from subsection 2.j., which reads “Review all system accounts at least every three (3) months and deactivate any accounts that are no longer necessary for operations”.</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This issue/question is related to 5.t., above. Many physical access controls have logical access controls. An example of a physical access control list is the configuration of a badge lock that controls access to the rooms in which the Air-Gapped systems are located.  So, “yes” to your second question.  Logical accounts that are tied into physical access controls would be included in this requirement.   </span></p></div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">I agree with the intent, but I think the language could be clearer. I also wonder if we need to exclude systems that are not online. For example, is it necessary to access the physical environment where the air-gapped CA systems are stored every 3 months to review the access control list on an electronic safe that implements per-user pin codes?<br></span></div><div> <br></div></div></div></blockquote><div>Because this is really about physical security, what if we re-wrote this to say something like, "Review all physical access lists at least every three (3) months, including lists of holders of physical keys and combinations to doors and safes as well as logical accounts tied to physical access controls, to ensure that only authorized individuals have physical access to Air-Gapped CA Systems." ? <br></div><div><br></div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">I think this language is clearer, but I'm still concerned that it could imply the need to travel to and access all locations where CA materials are stored to perform this "review". Is the intent for CAs to review readily accessible information - such as online access control system account configurations and documentation of offline device access configurations (e.g. a list of the Trusted Personnel who hold safe keys or combinations)? If so, I'd like to find a clearer way to distinguish that from a requirement that would involve physical access to the device every 3 months (e.g. connecting to an electronic safe or offline HSM to review the actual device configuration).</span><br></div><div> <br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><div>Thanks again, <br></div><div>Ben<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span></p>Thanks again for your attention to this.</div><div><br></div><div>Ben<br></div></div></div>
</blockquote></div></div>
</blockquote></div></div>
</blockquote></div></div>