<div dir="ltr"><div>Ben,<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Mon, Jan 11, 2021 at 10:30 AM Ben Wilson <<a href="mailto:bwilson@mozilla.com">bwilson@mozilla.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><br><div class="gmail_quote"><div><br></div><div><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span>

</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">u. Review all system accounts on physical access control lists at least every three (3) months and deactivate any accounts that are no longer necessary for operations;</span></p></div></blockquote><div><br></div><div>What does "system accounts on physical access control lists" mean? Are we talking about logical access to physical security systems? <br></div></div></div></blockquote><div><br></div><div>
<p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt" id="gmail-m_-6701125914613014449gmail-m_1441584215532293275gmail-m_-8820576712764778281gmail-m_-173832702747430169gmail-m_5477737704136675393gmail-docs-internal-guid-730a7bd5-7fff-9f08-352a-6bdf25249e0e"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This provision comes from subsection 2.j., which reads “Review all system accounts at least every three (3) months and deactivate any accounts that are no longer necessary for operations”.</span></p><p dir="ltr" style="line-height:1.38;margin-top:12pt;margin-bottom:12pt"><span style="font-size:11pt;font-family:Arial;color:rgb(0,0,0);background-color:transparent;font-weight:700;font-style:italic;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">This issue/question is related to 5.t., above. Many physical access controls have logical access controls. An example of a physical access control list is the configuration of a badge lock that controls access to the rooms in which the Air-Gapped systems are located.  So, “yes” to your second question.  Logical accounts that are tied into physical access controls would be included in this requirement.   </span></p></div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">I agree with the intent, but I think the language could be clearer. I also wonder if we need to exclude systems that are not online. For example, is it necessary to access the physical environment where the air-gapped CA systems are stored every 3 months to review the access control list on an electronic safe that implements per-user pin codes?<br></span></div><div> <br></div></div></div></blockquote><div>Because this is really about physical security, what if we re-wrote this to say something like, "Review all physical access lists at least every three (3) months, including lists of holders of physical keys and combinations to doors and safes as well as logical accounts tied to physical access controls, to ensure that only authorized individuals have physical access to Air-Gapped CA Systems." ? <br></div><div><br></div></div></div></blockquote><div><br></div><div><span style="color:rgb(0,0,255)">I think this language is clearer, but I'm still concerned that it could imply the need to travel to and access all locations where CA materials are stored to perform this "review". Is the intent for CAs to review readily accessible information - such as online access control system account configurations and documentation of offline device access configurations (e.g. a list of the Trusted Personnel who hold safe keys or combinations)? If so, I'd like to find a clearer way to distinguish that from a requirement that would involve physical access to the device every 3 months (e.g. connecting to an electronic safe or offline HSM to review the actual device configuration).</span></div></div></div></blockquote><div><br></div><div>Not only does this subsection u. need to require the 3-month review of access lists, but it also needs to require immediate removal of physical access for anyone no longer authorized, similar to section 2.l.  Currently, the draft language is as follows:</div><div><br></div>

<span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap" id="gmail-m_-6701125914613014449gmail-docs-internal-guid-bb253d1c-7fff-a774-1bc7-8f31ed0660ab">u. </span><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:rgb(255,255,0);font-weight:700;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Implement a process that removes all physical access of an individual to an Air-Gapped CA within twenty-four (24) hours of removal from the relevant authorized Trusted Role, and review lists of holders of physical keys and combinations to doors and safes as well as logical accounts tied to physical access controls </span><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">at least every three (3) months, and;</span>

<span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span>

<span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span><div><br></div></div></div></blockquote><div><br></div><div>I propose a small change that I find to be clearer and less problematic than the current language:</div><div><br></div><div><span style="background-color:rgb(243,243,243)"><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap" id="gmail-m_-6701125914613014449gmail-docs-internal-guid-bb253d1c-7fff-a774-1bc7-8f31ed0660ab">u. </span><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">Implement a process that <span style="background-color:rgb(182,215,168)">prevents </span>physical access of an individual to an Air-Gapped CA within twenty-four (24) hours of removal from the relevant authorized Trusted Role, and review lists of holders of physical keys and combinations to doors and safes as well as logical accounts tied to physical access controls </span><span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap">at least every three (3) months, and;</span></span>

<span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span>

<span style="font-size:12pt;font-family:"Times New Roman";color:rgb(0,0,0);background-color:transparent;font-weight:400;font-style:normal;font-variant:normal;text-decoration:none;vertical-align:baseline;white-space:pre-wrap"></span></div><div> </div><div>Thanks,</div><div><br></div><div>Wayne</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div class="gmail_quote"><div></div><div>
I would like to move this ballot into the discussion period soon and get the entire ballot passed, despite the need to smooth out its rough edges. Nonetheless, I really want to improve this language to the extent we can during this round of changes. So, if anyone has suggestions on how to this language in u. can be improved, please let us know. As you can see, some action needs to be taken if it is discovered, during a three-month review, that physical access had not been timely removed for an individual.<br></div><div><br></div><div>Thanks,</div><div>Ben<br></div></div></div>
</blockquote></div></div>