Информационната сигурност има стотици променливи, които можем да внедрим, за да оптимизираме целостта на данните и информацията във всяка операционна система, имаме от пароли до решения за защитна стена, предназначени за тази цел и днес ще се съсредоточим върху важно ниво на сигурност и голямо въздействие като HSM (Хардуерни модули за защита - хардуерни модули за защита), който е метод, който се използва с различни приложения за съхраняване на криптографски ключове и сертификати.
Едно от приложенията, фокусирани върху тази среда, е SoftHSM и днес ще анализираме как да го използваме и внедряваме в Linux.
Какво е SoftHSMSoftHSM е разработен от OpenDNSSEC, за да се използва като реализация на криптографско хранилище, което може да бъде достъпно чрез PKCS # 11 интерфейс.
Какво е PKCS #? Е, всеки от криптографските стандарти с публичен ключ (PKCS) включва група криптографски стандарти, предназначени да предоставят насоки и интерфейси за приложно програмиране (API) за използването на криптографски методи.
Чрез внедряване на SoftHSM ще можем да анализираме задълбочено PKCS # 11, без да изискваме използването на хардуерни модули за сигурност. SoftHSM е част от проекта, ръководен от OpenDNSSEC, използващ Botan за целия проблем с криптографията. OpenDNSSEC е внедрен с цел централно и правилно управление на всички криптографски ключове, генерирани чрез интерфейса PKCS # 11.
Целта на интерфейса е да позволи оптимална комуникация с HSM устройства (хардуерни модули за защита - хардуерни модули за защита), като тези устройства изпълняват функцията за генериране на различни криптографски ключове и подписване на съответната информация, без тя да е известна на трети страни. поверителност и сигурност.
За да влезем малко в контекста, протоколът PKCS # 11 е проектиран като стандарт за криптография, използващ API интерфейс, наречен Cryptoki, и благодарение на този API всяко приложение ще може да управлява различни криптографски елементи, като например символите и извършват действията, които трябва да спазват на ниво сигурност.
В момента PKCS # 11 е признат за отворен стандарт от техническия комитет на OASIS PKCS 11, който стои зад него.
Характеристики на SoftHSMКогато използваме SoftHSM имаме редица предимства като:
- Тя може да бъде интегрирана в съществуваща система, без да е необходимо да се преразглежда цялата съществуваща инфраструктура, като по този начин се избягва загубата на време и ресурси.
- Той може да бъде конфигуриран да подписва файлове на зони или да подписва зони, прехвърлени чрез AXFR.
- Автоматично, тъй като веднъж конфигурирано, не е необходима ръчна намеса.
- Позволява ръчна смяна на паролата (аварийна смяна на парола).
- Той е с отворен код
- Той е в състояние да подписва зони, които съдържат само от милиони записи.
- Един екземпляр на OpenDNSSEC може да бъде конфигуриран да подписва една или повече зони.
- Ключовете могат да се споделят между зоните, за да се спести място на HSM.
- Позволява дефиниране на политиката за подписване на зоната (продължителност на ключа, продължителност на ключа, интервал на подпис и т.н.); Тя ни позволява да конфигурираме системата за множество действия като политика, която да обхваща всички зони до една политика на зона.
- Съвместим с всички различни версии на операционната система Unix
- SoftHSM може да провери дали HSM са съвместими с OpenDNSSEC
- Той включва функция за одит, която сравнява входящата неописана зона с изходящата подписана зона, така че можете да проверите дали не са загубени данни за зоната и дали подписите на зоната са правилни.
- Поддържа RSA / SHA1 и SHA2 подписи
- Отричане на съществуване с помощта на NSEC или NSEC3
С тези SoftHSM функционалности сега ще видим как да го инсталираме на Linux, в този случай Ubuntu Server 17.10.
Зависимости Ботанските или OpenSSL криптографските библиотеки могат да се използват с проекта SoftHSM. Ако Botan се използва с SoftHSM, трябва да гарантираме, че той е съвместим с GNU MP (--with-gnump), тъй като тази проверка ще подобри производителността по време на операции с публичен ключ.
1. SoftHSM инсталация
Помощната програма SoftHSM е достъпна от уебсайта на OpenDNSSEC и може да бъде изтеглена с помощта на командата wget по следния начин:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
След това ще извлечем изтегления пакет с помощта на командата tar, както следва:
tar -xzf softhsm -2.3.0.tar.gzПо -късно ще получим достъп до директорията, където е извлечен пакета:
cd softhsm-2.3.0
Вход Присъединете се!
