Jak zainstalować SoftHSM na Ubuntu 17 Linux?

Spisie treści

Bezpieczeństwo informacji ma setki zmiennych, które możemy zaimplementować, aby zoptymalizować integralność danych i informacji w każdym systemie operacyjnym, mamy od haseł po rozwiązania firewall zaprojektowane w tym celu i dziś skupimy się na ważnym poziomie bezpieczeństwa i wielkim wpływie, takim jak HSM (Hardware Security Modules - Hardware Security Modules), która jest metodą do wykorzystania w różnych aplikacjach w celu przechowywania kluczy kryptograficznych i certyfikatów.

Jedną z aplikacji skoncentrowanych na tym środowisku jest SoftHSM i dzisiaj przeanalizujemy, jak go wykorzystać i zaimplementować w Linuksie.

Co to jest SoftHSMSoftHSM został opracowany przez OpenDNSSEC jako implementacja magazynu kryptograficznego, do którego można uzyskać dostęp za pośrednictwem interfejsu PKCS #11.

Co to jest PKCS #?Cóż, każdy ze standardów kryptograficznych klucza publicznego (PKCS) obejmuje grupę standardów kryptograficznych zaprojektowanych w celu zapewnienia wytycznych i interfejsów programowania aplikacji (API) do korzystania z metod kryptograficznych.

Dzięki wdrożeniu SoftHSM będziemy mogli dokładnie przeanalizować PKCS #11 bez konieczności stosowania sprzętowych modułów zabezpieczających. SoftHSM jest częścią projektu prowadzonego przez OpenDNSSEC, który wykorzystuje Botan w całym zagadnieniu kryptografii. OpenDNSSEC jest zaimplementowany w celu centralnego i poprawnego zarządzania wszystkimi kluczami kryptograficznymi generowanymi przez interfejs PKCS #11.

Celem interfejsu jest umożliwienie optymalnej komunikacji z urządzeniami HSM (Hardware Security Modules - Hardware Security Modules), a urządzenia te spełniają funkcję generowania różnych kluczy kryptograficznych i podpisywania odpowiednich informacji bez ich wiedzy osób trzecich. prywatność i ochrona.

Aby wejść trochę w kontekst, protokół PKCS #11 został zaprojektowany jako standard kryptograficzny wykorzystujący interfejs API o nazwie Cryptoki, a dzięki temu API każda aplikacja będzie w stanie zarządzać różnymi elementami kryptograficznymi, takimi jak tokeny i wykonywać czynności, których muszą przestrzegać na poziomie bezpieczeństwa.

Obecnie PKCS #11 jest uznawany za otwarty standard przez stojący za nim komitet techniczny OASIS PKCS 11.

Funkcje SoftHSMKorzystając z SoftHSM mamy szereg zalet, takich jak:

  • Można go zintegrować z istniejącym systemem bez konieczności przeglądu całej istniejącej infrastruktury, co pozwala uniknąć marnowania czasu i zasobów.
  • Można go skonfigurować do podpisywania plików stref lub podpisywania stref przesyłanych przez AXFR.
  • Automatyczne, ponieważ po skonfigurowaniu nie jest wymagana ręczna interwencja.
  • Umożliwia ręczną zmianę hasła (zmiana hasła awaryjnego).
  • To jest open source
  • Jest w stanie podpisywać strefy zawierające nawet miliony rekordów.
  • Pojedynczą instancję OpenDNSSEC można skonfigurować do podpisywania jednej lub większej liczby stref.
  • Klucze mogą być współdzielone między strefami, aby zaoszczędzić miejsce na HSM.
  • Pozwala zdefiniować politykę podpisu strefy (czas trwania klucza, czas trwania klucza, interwał podpisu itp.); Pozwala nam to skonfigurować system do wielu działań jako politykę obejmującą wszystkie strefy jedną polityką na strefę.
  • Kompatybilny ze wszystkimi różnymi wersjami systemu operacyjnego Unix
  • SoftHSM może sprawdzić, czy moduły HSM są kompatybilne z OpenDNSSEC
  • Zawiera funkcję audytu, która porównuje przychodzącą strefę niepodpisaną z wychodzącą strefą podpisaną, dzięki czemu można sprawdzić, czy żadne dane strefy nie zostały utracone i czy podpisy strefy są poprawne.
  • Obsługuje podpisy RSA / SHA1 i SHA2
  • Zaprzeczenie istnienia za pomocą NSEC lub NSEC3

Dzięki tym funkcjom SoftHSM zobaczymy teraz, jak zainstalować go w systemie Linux, w tym przypadku Ubuntu Server 17.10.
Zależności Biblioteki kryptograficzne Botan lub OpenSSL mogą być używane z projektem SoftHSM. Jeśli Botan jest używany z SoftHSM, musimy upewnić się, że jest zgodny z GNU MP (--with-gnump), ponieważ to sprawdzenie poprawi wydajność podczas operacji na kluczach publicznych.

1. Instalacja SoftHSM


Narzędzie SoftHSM jest dostępne na stronie OpenDNSSEC i można je pobrać za pomocą polecenia wget w następujący sposób:
 wget https://dist.opennssec.org/source/softhsm-2.3.0.tar.gz

Następnie wyodrębnimy pobrany pakiet za pomocą polecenia smoła w następujący sposób:

 tar -xzf softhsm-2.3.0.tar.gz
Później uzyskamy dostęp do katalogu, w którym został wyodrębniony wspomniany pakiet:
 cd softhsm-2.3.0


Zaloguj się Dołącz!

wave wave wave wave wave