Bezpieczeństwo informacji ma setki zmiennych, które możemy zaimplementować, aby zoptymalizować integralność danych i informacji w każdym systemie operacyjnym, mamy od haseł po rozwiązania firewall zaprojektowane w tym celu i dziś skupimy się na ważnym poziomie bezpieczeństwa i wielkim wpływie, takim jak HSM (Hardware Security Modules - Hardware Security Modules), która jest metodą do wykorzystania w różnych aplikacjach w celu przechowywania kluczy kryptograficznych i certyfikatów.
Jedną z aplikacji skoncentrowanych na tym środowisku jest SoftHSM i dzisiaj przeanalizujemy, jak go wykorzystać i zaimplementować w Linuksie.
Co to jest SoftHSMSoftHSM został opracowany przez OpenDNSSEC jako implementacja magazynu kryptograficznego, do którego można uzyskać dostęp za pośrednictwem interfejsu PKCS #11.
Co to jest PKCS #?Cóż, każdy ze standardów kryptograficznych klucza publicznego (PKCS) obejmuje grupę standardów kryptograficznych zaprojektowanych w celu zapewnienia wytycznych i interfejsów programowania aplikacji (API) do korzystania z metod kryptograficznych.
Dzięki wdrożeniu SoftHSM będziemy mogli dokładnie przeanalizować PKCS #11 bez konieczności stosowania sprzętowych modułów zabezpieczających. SoftHSM jest częścią projektu prowadzonego przez OpenDNSSEC, który wykorzystuje Botan w całym zagadnieniu kryptografii. OpenDNSSEC jest zaimplementowany w celu centralnego i poprawnego zarządzania wszystkimi kluczami kryptograficznymi generowanymi przez interfejs PKCS #11.
Celem interfejsu jest umożliwienie optymalnej komunikacji z urządzeniami HSM (Hardware Security Modules - Hardware Security Modules), a urządzenia te spełniają funkcję generowania różnych kluczy kryptograficznych i podpisywania odpowiednich informacji bez ich wiedzy osób trzecich. prywatność i ochrona.
Aby wejść trochę w kontekst, protokół PKCS #11 został zaprojektowany jako standard kryptograficzny wykorzystujący interfejs API o nazwie Cryptoki, a dzięki temu API każda aplikacja będzie w stanie zarządzać różnymi elementami kryptograficznymi, takimi jak tokeny i wykonywać czynności, których muszą przestrzegać na poziomie bezpieczeństwa.
Obecnie PKCS #11 jest uznawany za otwarty standard przez stojący za nim komitet techniczny OASIS PKCS 11.
Funkcje SoftHSMKorzystając z SoftHSM mamy szereg zalet, takich jak:
- Można go zintegrować z istniejącym systemem bez konieczności przeglądu całej istniejącej infrastruktury, co pozwala uniknąć marnowania czasu i zasobów.
- Można go skonfigurować do podpisywania plików stref lub podpisywania stref przesyłanych przez AXFR.
- Automatyczne, ponieważ po skonfigurowaniu nie jest wymagana ręczna interwencja.
- Umożliwia ręczną zmianę hasła (zmiana hasła awaryjnego).
- To jest open source
- Jest w stanie podpisywać strefy zawierające nawet miliony rekordów.
- Pojedynczą instancję OpenDNSSEC można skonfigurować do podpisywania jednej lub większej liczby stref.
- Klucze mogą być współdzielone między strefami, aby zaoszczędzić miejsce na HSM.
- Pozwala zdefiniować politykę podpisu strefy (czas trwania klucza, czas trwania klucza, interwał podpisu itp.); Pozwala nam to skonfigurować system do wielu działań jako politykę obejmującą wszystkie strefy jedną polityką na strefę.
- Kompatybilny ze wszystkimi różnymi wersjami systemu operacyjnego Unix
- SoftHSM może sprawdzić, czy moduły HSM są kompatybilne z OpenDNSSEC
- Zawiera funkcję audytu, która porównuje przychodzącą strefę niepodpisaną z wychodzącą strefą podpisaną, dzięki czemu można sprawdzić, czy żadne dane strefy nie zostały utracone i czy podpisy strefy są poprawne.
- Obsługuje podpisy RSA / SHA1 i SHA2
- Zaprzeczenie istnienia za pomocą NSEC lub NSEC3
Dzięki tym funkcjom SoftHSM zobaczymy teraz, jak zainstalować go w systemie Linux, w tym przypadku Ubuntu Server 17.10.
Zależności Biblioteki kryptograficzne Botan lub OpenSSL mogą być używane z projektem SoftHSM. Jeśli Botan jest używany z SoftHSM, musimy upewnić się, że jest zgodny z GNU MP (--with-gnump), ponieważ to sprawdzenie poprawi wydajność podczas operacji na kluczach publicznych.
1. Instalacja SoftHSM
Narzędzie SoftHSM jest dostępne na stronie OpenDNSSEC i można je pobrać za pomocą polecenia wget w następujący sposób:
wget https://dist.opennssec.org/source/softhsm-2.3.0.tar.gz
Następnie wyodrębnimy pobrany pakiet za pomocą polecenia smoła w następujący sposób:
tar -xzf softhsm-2.3.0.tar.gzPóźniej uzyskamy dostęp do katalogu, w którym został wyodrębniony wspomniany pakiet:
cd softhsm-2.3.0
Zaloguj się Dołącz!
