Informācijas drošībai ir simtiem mainīgo, kurus mēs varam ieviest, lai optimizētu datu un informācijas integritāti katrā operētājsistēmā, mums ir no parolēm līdz šim nolūkam izstrādātiem ugunsmūra risinājumiem, un šodien mēs koncentrēsimies uz svarīgu drošības līmeni un lielu ietekmi, piemēram, HSM (Aparatūras drošības moduļi - aparatūras drošības moduļi), kas ir metode, ko izmantot dažādās lietojumprogrammās, lai uzglabātu kriptogrāfiskās atslēgas un sertifikātus.
Viena no lietojumprogrammām, kas vērsta uz šo vidi, ir SoftHSM, un šodien mēs analizēsim, kā to izmantot un ieviest Linux.
Kas ir SoftHSMSoftHSM ir izstrādājis OpenDNSSEC, lai to izmantotu kā kriptogrāfijas veikala ieviešanu, kam var piekļūt, izmantojot PKCS # 11 saskarni.
Tagad, kas ir PKCS #? Nu, katrs no publiskās atslēgas kriptogrāfijas standartiem (PKCS) ietver kriptogrāfijas standartu grupu, kas izstrādāta, lai sniegtu vadlīnijas un lietojumprogrammu saskarnes (API) kriptogrāfijas metožu izmantošanai.
Ieviešot SoftHSM, mēs varēsim rūpīgi analizēt PKCS # 11, neizmantojot aparatūras drošības moduļus. SoftHSM ir daļa no projekta, ko vada OpenDNSSEC, izmantojot Botan visu kriptogrāfijas problēmu. OpenDNSSEC tiek ieviests, lai centralizēti un pareizi pārvaldītu visas kriptogrāfiskās atslēgas, kas tiek ģenerētas, izmantojot PKCS # 11 saskarni.
Saskarnes mērķis ir nodrošināt optimālu saziņu ar HSM ierīcēm (aparatūras drošības moduļi - aparatūras drošības moduļi), un šīs ierīces pilda funkciju, lai ģenerētu dažādas kriptogrāfiskās atslēgas un parakstītu attiecīgo informāciju, to nepazīstot trešajām personām. privātumu un drošību.
Lai mazliet iedziļinātos kontekstā, PKCS # 11 protokols ir izstrādāts kā kriptogrāfijas standarts, izmantojot API saskarni ar nosaukumu Cryptoki, un, pateicoties šai API, katra lietojumprogramma varēs pārvaldīt dažādus kriptogrāfijas elementus, piemēram, žetonus un veikt darbības, kas tām jāievēro drošības līmenī.
Pašlaik PKCS # 11 par atvērtu standartu atzīst OASIS PKCS 11 tehniskā komiteja.
SoftHSM funkcijasIzmantojot SoftHSM, mums ir vairākas priekšrocības, piemēram:
- To var integrēt esošā sistēmā, nepārskatot visu esošo infrastruktūru, tādējādi izvairoties no laika un resursu izšķiešanas.
- To var konfigurēt, lai parakstītu zonu failus vai parakstītu zonas, kas pārsūtītas caur AXFR.
- Automātiski, jo pēc konfigurēšanas nav nepieciešama manuāla iejaukšanās.
- Ļauj manuāli mainīt paroli (ārkārtas paroles maiņa).
- Tas ir atvērtā koda
- Tā spēj parakstīt zonas, kurās ir tikai daži miljoni ierakstu.
- Vienu OpenDNSSEC instanci var konfigurēt, lai parakstītu vienu vai vairākas zonas.
- Atslēgas var koplietot starp zonām, lai ietaupītu vietu HSM.
- Tas ļauj definēt zonas paraksta politiku (atslēgas ilgums, atslēgas ilgums, paraksta intervāls utt.); Tas ļauj mums konfigurēt sistēmu vairākām darbībām kā politiku, lai aptvertu visas zonas vienā politikā katrā zonā.
- Savietojams ar visām Unix operētājsistēmas versijām
- SoftHSM var pārbaudīt, vai HSM ir saderīgi ar OpenDNSSEC
- Tajā ir iekļauta revīzijas funkcija, kas salīdzina ienākošo neparakstīto zonu ar izejošo parakstīto zonu, lai jūs varētu pārbaudīt, vai nav zaudēti neviena zonas informācija un vai zonas paraksti ir pareizi.
- Atbalsta RSA / SHA1 un SHA2 parakstus
- Eksistences noliegšana, izmantojot NSEC vai NSEC3
Izmantojot šīs SoftHSM funkcijas, mēs tagad redzēsim, kā to instalēt Linux, šajā gadījumā Ubuntu Server 17.10.
Atkarības Botan vai OpenSSL kriptogrāfiskās bibliotēkas var izmantot kopā ar SoftHSM projektu. Ja Botan tiek izmantots kopā ar SoftHSM, mums ir jāpārliecinās, ka tas ir saderīgs ar GNU MP (-ar gnump), jo šī pārbaude uzlabos veiktspēju publiskās atslēgas darbību laikā.
1. SoftHSM instalācija
SoftHSM utilīta ir pieejama OpenDNSSEC vietnē, un to var lejupielādēt, izmantojot komandu wget šādi:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Tālāk mēs iegūsim lejupielādēto pakotni, izmantojot komandu tar šādi:
darva -xzf softhsm -2.3.0.tar.gzVēlāk mēs piekļūsim direktorijam, kurā tika iegūta minētā pakete:
cd softhsm-2.3.0
Pieslēgties Pievienojies!
