Informationssicherheit hat Hunderte von Variablen, die wir implementieren können, um die Integrität von Daten und Informationen in jedem Betriebssystem zu optimieren (Hardware Security Modules - Hardware Security Modules) ist eine Methode, die mit verschiedenen Anwendungen verwendet wird, um kryptografische Schlüssel und Zertifikate zu speichern.
Eine der Anwendungen, die sich auf diese Umgebung konzentriert, ist SoftHSM, und heute werden wir analysieren, wie sie in Linux verwendet und implementiert wird.
Was ist SoftHSM?SoftHSM wurde von OpenDNSSEC entwickelt, um als Implementierung eines kryptografischen Speichers verwendet zu werden, auf den über eine PKCS # 11-Schnittstelle zugegriffen werden kann.
Nun, was ist PKCS # Nun, jeder der Public-Key Cryptographic Standards (PKCS) umfasst eine Gruppe von kryptografischen Standards, die entwickelt wurden, um Richtlinien und Anwendungsprogrammierschnittstellen (APIs) für die Verwendung kryptografischer Verfahren bereitzustellen.
Durch die Implementierung von SoftHSM werden wir in der Lage sein, PKCS # 11 gründlich zu analysieren, ohne dass Hardware-Sicherheitsmodule verwendet werden müssen. SoftHSM ist Teil des von OpenDNSSEC geleiteten Projekts, das Botan für die gesamte Kryptographie-Frage nutzt. OpenDNSSEC wird implementiert, um alle kryptografischen Schlüssel, die über die PKCS # 11-Schnittstelle generiert werden, zentral und korrekt zu verwalten.
Die Schnittstelle dient der optimalen Kommunikation mit HSM-Geräten (Hardware Security Modules - Hardware Security Modules) und diese Geräte erfüllen die Funktion, verschiedene kryptografische Schlüssel zu generieren und die relevanten Informationen zu signieren, ohne dass diese Dritten bekannt sind Privatsphäre und Sicherheit.
Um ein wenig in den Kontext zu kommen, wurde das PKCS # 11-Protokoll als Kryptografiestandard entwickelt, der eine API-Schnittstelle namens Cryptoki verwendet, und dank dieser API kann jede Anwendung verschiedene kryptografische Elemente verwalten, wie z die Aktionen ausführen, die sie auf der Sicherheitsebene einhalten müssen.
Derzeit wird PKCS # 11 vom OASIS PKCS 11 Technical Committee, das dahinter steht, als offener Standard anerkannt.
SoftHSM-FunktionenBei der Verwendung von SoftHSM haben wir eine Reihe von Vorteilen wie:
- Es kann in ein bestehendes System integriert werden, ohne dass die gesamte bestehende Infrastruktur überprüft werden muss, wodurch Zeit und Ressourcen vermieden werden.
- Es kann so konfiguriert werden, dass es Zonendateien signiert oder über AXFR übertragene Zonen signiert.
- Automatisch, da nach der Konfiguration kein manueller Eingriff erforderlich ist.
- Ermöglicht die manuelle Passwortänderung (Notfall-Passwortänderung).
- Es ist Open Source
- Es ist in der Lage, Zonen zu signieren, die nur Millionen von Datensätzen enthalten.
- Eine einzelne OpenDNSSEC-Instanz kann so konfiguriert werden, dass sie eine oder mehrere Zonen signiert.
- Schlüssel können zwischen Zonen geteilt werden, um Platz auf dem HSM zu sparen.
- Es ermöglicht die Definition der Zonensignaturrichtlinie (Schlüsseldauer, Schlüsseldauer, Signaturintervall usw.); Es ermöglicht uns, das System für mehrere Aktionen als Richtlinie zu konfigurieren, um alle Zonen zu einer Richtlinie pro Zone abzudecken.
- Kompatibel mit allen verschiedenen Versionen des Unix-Betriebssystems
- SoftHSM kann prüfen, ob HSMs mit OpenDNSSEC . kompatibel sind
- Es enthält eine Auditing-Funktion, die die eingehende unsignierte Zone mit der ausgehenden signierten Zone vergleicht, sodass Sie überprüfen können, ob keine Zonendaten verloren gegangen sind und die Zonensignaturen korrekt sind.
- Unterstützt RSA / SHA1- und SHA2-Signaturen
- Existenzverweigerung mit NSEC oder NSEC3
Mit diesen SoftHSM-Funktionalitäten werden wir nun sehen, wie man es unter Linux installiert, in diesem Fall Ubuntu Server 17.10.
Abhängigkeiten Botan- oder OpenSSL-Kryptografiebibliotheken können mit dem SoftHSM-Projekt verwendet werden. Wenn Botan mit SoftHSM verwendet wird, müssen wir sicherstellen, dass es mit GNU MP (--with-gnump) kompatibel ist, da diese Prüfung die Leistung bei Operationen mit öffentlichen Schlüsseln verbessert.
1. SoftHSM-Installation
Das Dienstprogramm SoftHSM ist von der OpenDNSSEC-Website verfügbar und kann mit dem Befehl wget wie folgt heruntergeladen werden:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Als nächstes extrahieren wir das heruntergeladene Paket mit dem tar-Befehl wie folgt:
tar -xzf softhsm-2.3.0.tar.gzSpäter werden wir auf das Verzeichnis zugreifen, in dem das Paket extrahiert wurde:
CD-Softhsm-2.3.0
Anmelden Beitreten!
