Jak nainstalovat SoftHSM na Ubuntu 17 Linux

Informační bezpečnost má stovky proměnných, které můžeme implementovat za účelem optimalizace integrity dat a informací v každém operačním systému, od hesel až po řešení firewallu navržená pro tento účel a dnes se zaměříme na důležitou úroveň zabezpečení a velký dopad, jako je HSM (Hardware Security Modules - Hardware Security Modules), což je metoda, která se používá s různými aplikacemi k ukládání kryptografických klíčů a certifikátů.

Jednou z aplikací zaměřených na toto prostředí je SoftHSM a dnes si rozebereme, jak jej používat a implementovat v Linuxu.

Co je SoftHSMSoftHSM byl vyvinut společností OpenDNSSEC, aby byl použit jako implementace kryptografického úložiště, ke kterému lze přistupovat prostřednictvím rozhraní PKCS # 11.

Co je to PKCS #? Každý z kryptografických standardů veřejného klíče (PKCS) obsahuje skupinu kryptografických standardů navržených tak, aby poskytovaly pokyny a rozhraní pro programování aplikací (API) pro použití kryptografických metod.

Díky implementaci SoftHSM budeme schopni důkladně analyzovat PKCS # 11, aniž bychom museli používat hardwarové zabezpečovací moduly. SoftHSM je součástí projektu vedeného OpenDNSSEC využívající Botan pro celý problém kryptografie. OpenDNSSEC je implementován za účelem centrální a správné správy všech kryptografických klíčů, které jsou generovány prostřednictvím rozhraní PKCS # 11.

Účelem rozhraní je umožnit optimální komunikaci se zařízeními HSM (Hardware Security Modules - Hardware Security Modules) a tato zařízení plní funkci generování různých kryptografických klíčů a podepisování příslušných informací, aniž by o nich věděly třetí strany. soukromí a bezpečnost.

Abychom se trochu dostali do kontextu, protokol PKCS # 11 byl navržen jako kryptografický standard využívající rozhraní API s názvem Cryptoki a díky tomuto API bude každá aplikace schopna spravovat různé kryptografické prvky, jako jsou tokeny a provádět akce, které musí dodržovat na úrovni zabezpečení.

V současné době je PKCS # 11 uznávána jako otevřený standard technickou komisí OASIS PKCS 11, která za ním stojí.

Funkce SoftHSMPři používání SoftHSM máme řadu výhod, jako například:

  • Lze jej integrovat do stávajícího systému, aniž by bylo nutné revidovat celou stávající infrastrukturu, čímž se vyhnete plýtvání časem a zdroji.
  • Lze jej konfigurovat k podepisování souborů zón nebo k podepisování zón přenesených prostřednictvím AXFR.
  • Automaticky, protože jakmile je nakonfigurován, není potřeba žádný ruční zásah.
  • Umožňuje ruční změnu hesla (nouzová změna hesla).
  • Je to open source
  • Má schopnost podepisovat zóny, které obsahují až miliony záznamů.
  • Jednu instanci OpenDNSSEC lze nakonfigurovat tak, aby podepisovala jednu nebo více zón.
  • Klíče lze sdílet mezi zónami, aby se ušetřilo místo na HSM.
  • Umožňuje definovat zásady podpisu zóny (trvání klíče, trvání klíče, interval podpisu atd.); Umožňuje nám nakonfigurovat systém pro více akcí jako zásadu, která pokryje všechny zóny do jedné zásady na zónu.
  • Kompatibilní se všemi různými verzemi operačního systému Unix
  • SoftHSM může zkontrolovat, zda jsou HSM kompatibilní s OpenDNSSEC
  • Obsahuje funkci auditování, která porovnává příchozí nepodepsanou zónu s odchozí podepsanou zónou, takže můžete ověřit, že nebyla ztracena žádná data zóny a že podpisy zón jsou správné.
  • Podporuje podpisy RSA / SHA1 a SHA2
  • Odmítnutí existence pomocí NSEC nebo NSEC3

S těmito funkcemi SoftHSM nyní uvidíme, jak jej nainstalovat na Linux, v tomto případě Ubuntu Server 17.10.
V projektu SoftHSM lze použít kryptografické knihovny závislostí Botan nebo OpenSSL. Pokud je Botan používán s SoftHSM, musíme zajistit jeho kompatibilitu s GNU MP (--with-gnump), protože tato kontrola zlepší výkon během operací s veřejnými klíči.

1. SoftHSM instalace


Nástroj SoftHSM je k dispozici na webu OpenDNSSEC a lze jej stáhnout pomocí příkazu wget takto:
 wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz

Dále stažený balíček extrahujeme pomocí příkazu tar následujícím způsobem:

 tar -xzf softhsm -2.3.0.tar.gz
Později se dostaneme do adresáře, kde byl extrahován uvedený balíček:
 cd softhsm-2.3.0


Přihlášení Připojte se!

wave wave wave wave wave