Informationssikkerhed har hundredvis af variabler, som vi kan implementere for at optimere integriteten af data og oplysninger i hvert operativsystem, vi har fra adgangskoder til firewallløsninger designet til dette formål, og i dag vil vi fokusere på et vigtigt sikkerhedsniveau og stor indvirkning som HSM (Hardware Security Modules - Hardware Security Modules), som er en metode, der skal bruges med forskellige applikationer for at gemme kryptografiske nøgler og certifikater.
En af applikationerne med fokus på dette miljø er SoftHSM, og i dag vil vi analysere, hvordan man bruger og implementerer det i Linux.
Hvad er SoftHSMSoftHSM er udviklet af OpenDNSSEC til at blive brugt som en implementering af en kryptografisk butik, der kan tilgås via et PKCS # 11 -interface.
Nu, hvad er PKCS #? Nå, hver af Public-Key Cryptographic Standards (PKCS) omfatter en gruppe kryptografiske standarder designet til at levere retningslinjer og applikationsprogrammeringsgrænseflader (API'er) til brug af kryptografiske metoder.
Ved at implementere SoftHSM vil vi være i stand til grundigt at analysere PKCS # 11 uden at kræve brug af hardwaresikkerhedsmoduler. SoftHSM er en del af projektet ledet af OpenDNSSEC, der gør brug af Botan til hele kryptografispørgsmålet. OpenDNSSEC er implementeret for centralt og korrekt at styre alle de kryptografiske nøgler, der genereres via PKCS # 11 -grænsefladen.
Formålet med grænsefladen er at muliggøre optimal kommunikation med HSM -enheder (Hardware Security Modules - Hardware Security Modules), og disse enheder opfylder funktionen til at generere forskellige kryptografiske nøgler og signere de relevante oplysninger, uden at det er kendt af tredjeparter. privatliv og sikkerhed.
For at komme lidt ind i konteksten er PKCS # 11 -protokollen designet som en kryptografistandard ved hjælp af en API -grænseflade kaldet Cryptoki, og takket være denne API vil hver applikation kunne styre forskellige kryptografiske elementer, f.eks. Tokens og udføre de handlinger, de skal overholde på sikkerhedsniveau.
I øjeblikket anerkendes PKCS # 11 som en åben standard af OASIS PKCS 11 tekniske udvalg, der står bag.
SoftHSM -funktionerNår vi bruger SoftHSM har vi en række fordele såsom:
- Det kan integreres i et eksisterende system uden at skulle gennemgå hele den eksisterende infrastruktur og dermed undgå spild af tid og ressourcer.
- Det kan konfigureres til at signere zonefiler eller til at signere zoner, der overføres via AXFR.
- Automatisk, da den er konfigureret, er det ikke nødvendigt med manuel indgriben.
- Tillader manuel ændring af adgangskode (ændring af nødadgangskode).
- Det er open source
- Det er i stand til at underskrive zoner, der indeholder fra så få som millioner af poster.
- En enkelt OpenDNSSEC -forekomst kan konfigureres til at underskrive en eller flere zoner.
- Nøgler kan deles mellem zoner for at spare plads på HSM.
- Det gør det muligt at definere zonens signaturpolitik (nøglevarighed, nøglevarighed, signaturinterval osv.); Det giver os mulighed for at konfigurere systemet til flere handlinger som en politik til at dække alle zoner til en politik pr. Zone.
- Kompatibel med alle forskellige versioner af Unix -operativsystemet
- SoftHSM kan kontrollere, om HSM'er er kompatible med OpenDNSSEC
- Det inkluderer en revisionsfunktion, der sammenligner den indgående usignerede zone med den udgående signerede zone, så du kan kontrollere, at ingen zondata er gået tabt, og at zonens signaturer er korrekte.
- Understøtter RSA / SHA1 og SHA2 signaturer
- Nægtelse af eksistens ved hjælp af NSEC eller NSEC3
Med disse SoftHSM -funktioner vil vi nu se, hvordan du installerer det på Linux, i dette tilfælde Ubuntu Server 17.10.
Afhængigheder Botan eller OpenSSL kryptografiske biblioteker kan bruges med SoftHSM -projektet. Hvis Botan bruges med SoftHSM, skal vi sikre, at det er kompatibelt med GNU MP (-med-gnump), da denne kontrol vil forbedre ydeevnen under offentlige nøgleoperationer.
1. SoftHSM installation
SoftHSM -værktøjet er tilgængeligt fra OpenDNSSEC -webstedet og kan downloades ved hjælp af wget -kommandoen sådan:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Dernæst udtrækker vi den downloadede pakke ved hjælp af tar -kommandoen som følger:
tjære -xzf softhsm -2.3.0.tar.gzSenere får vi adgang til biblioteket, hvor pakken er ekstraheret:
cd softhsm-2.3.0
Login Tilmeld dig!
