Informační bezpečnost má stovky proměnných, které můžeme implementovat za účelem optimalizace integrity dat a informací v každém operačním systému, od hesel až po řešení firewallu navržená pro tento účel a dnes se zaměříme na důležitou úroveň zabezpečení a velký dopad, jako je HSM (Hardware Security Modules - Hardware Security Modules), což je metoda, která se používá s různými aplikacemi k ukládání kryptografických klíčů a certifikátů.
Jednou z aplikací zaměřených na toto prostředí je SoftHSM a dnes si rozebereme, jak jej používat a implementovat v Linuxu.
Co je SoftHSMSoftHSM byl vyvinut společností OpenDNSSEC, aby byl použit jako implementace kryptografického úložiště, ke kterému lze přistupovat prostřednictvím rozhraní PKCS # 11.
Co je to PKCS #? Každý z kryptografických standardů veřejného klíče (PKCS) obsahuje skupinu kryptografických standardů navržených tak, aby poskytovaly pokyny a rozhraní pro programování aplikací (API) pro použití kryptografických metod.
Díky implementaci SoftHSM budeme schopni důkladně analyzovat PKCS # 11, aniž bychom museli používat hardwarové zabezpečovací moduly. SoftHSM je součástí projektu vedeného OpenDNSSEC využívající Botan pro celý problém kryptografie. OpenDNSSEC je implementován za účelem centrální a správné správy všech kryptografických klíčů, které jsou generovány prostřednictvím rozhraní PKCS # 11.
Účelem rozhraní je umožnit optimální komunikaci se zařízeními HSM (Hardware Security Modules - Hardware Security Modules) a tato zařízení plní funkci generování různých kryptografických klíčů a podepisování příslušných informací, aniž by o nich věděly třetí strany. soukromí a bezpečnost.
Abychom se trochu dostali do kontextu, protokol PKCS # 11 byl navržen jako kryptografický standard využívající rozhraní API s názvem Cryptoki a díky tomuto API bude každá aplikace schopna spravovat různé kryptografické prvky, jako jsou tokeny a provádět akce, které musí dodržovat na úrovni zabezpečení.
V současné době je PKCS # 11 uznávána jako otevřený standard technickou komisí OASIS PKCS 11, která za ním stojí.
Funkce SoftHSMPři používání SoftHSM máme řadu výhod, jako například:
- Lze jej integrovat do stávajícího systému, aniž by bylo nutné revidovat celou stávající infrastrukturu, čímž se vyhnete plýtvání časem a zdroji.
- Lze jej konfigurovat k podepisování souborů zón nebo k podepisování zón přenesených prostřednictvím AXFR.
- Automaticky, protože jakmile je nakonfigurován, není potřeba žádný ruční zásah.
- Umožňuje ruční změnu hesla (nouzová změna hesla).
- Je to open source
- Má schopnost podepisovat zóny, které obsahují až miliony záznamů.
- Jednu instanci OpenDNSSEC lze nakonfigurovat tak, aby podepisovala jednu nebo více zón.
- Klíče lze sdílet mezi zónami, aby se ušetřilo místo na HSM.
- Umožňuje definovat zásady podpisu zóny (trvání klíče, trvání klíče, interval podpisu atd.); Umožňuje nám nakonfigurovat systém pro více akcí jako zásadu, která pokryje všechny zóny do jedné zásady na zónu.
- Kompatibilní se všemi různými verzemi operačního systému Unix
- SoftHSM může zkontrolovat, zda jsou HSM kompatibilní s OpenDNSSEC
- Obsahuje funkci auditování, která porovnává příchozí nepodepsanou zónu s odchozí podepsanou zónou, takže můžete ověřit, že nebyla ztracena žádná data zóny a že podpisy zón jsou správné.
- Podporuje podpisy RSA / SHA1 a SHA2
- Odmítnutí existence pomocí NSEC nebo NSEC3
S těmito funkcemi SoftHSM nyní uvidíme, jak jej nainstalovat na Linux, v tomto případě Ubuntu Server 17.10.
V projektu SoftHSM lze použít kryptografické knihovny závislostí Botan nebo OpenSSL. Pokud je Botan používán s SoftHSM, musíme zajistit jeho kompatibilitu s GNU MP (--with-gnump), protože tato kontrola zlepší výkon během operací s veřejnými klíči.
1. SoftHSM instalace
Nástroj SoftHSM je k dispozici na webu OpenDNSSEC a lze jej stáhnout pomocí příkazu wget takto:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Dále stažený balíček extrahujeme pomocí příkazu tar následujícím způsobem:
tar -xzf softhsm -2.3.0.tar.gzPozději se dostaneme do adresáře, kde byl extrahován uvedený balíček:
cd softhsm-2.3.0
Přihlášení Připojte se!