Informationssäkerhet har hundratals variabler som vi kan implementera för att optimera integriteten för data och information i varje operativsystem, vi har från lösenord till brandväggslösningar utformade för detta ändamål och idag kommer vi att fokusera på en viktig säkerhetsnivå och stor inverkan som HSM (Hardware Security Modules - Hardware Security Modules) som är en metod som ska användas med olika applikationer för att lagra kryptografiska nycklar och certifikat.
En av applikationerna med fokus på denna miljö är SoftHSM och idag kommer vi att analysera hur man använder och implementerar det i Linux.
Vad är SoftHSMSoftHSM har utvecklats av OpenDNSSEC för att användas som implementering av en kryptografisk butik som kan nås via ett PKCS # 11 -gränssnitt.
Nu, vad är PKCS #? Tja, var och en av Public-Key Cryptographic Standards (PKCS) omfattar en grupp kryptografiska standarder utformade för att tillhandahålla riktlinjer och applikationsprogrammeringsgränssnitt (API: er) för användning av kryptografiska metoder.
Genom att implementera SoftHSM kommer vi att kunna analysera PKCS # 11 noggrant utan att behöva använda hårdvarusäkerhetsmoduler. SoftHSM är en del av projektet som leds av OpenDNSSEC som använder Botan för hela kryptografiproblemet. OpenDNSSEC implementeras för att centralt och korrekt hantera alla kryptografiska nycklar som genereras via PKCS # 11 -gränssnittet.
Syftet med gränssnittet är att möjliggöra optimal kommunikation med HSM -enheter (Hardware Security Modules - Hardware Security Modules), och dessa enheter uppfyller funktionen att generera olika kryptografiska nycklar och signera relevant information utan att den är känd av tredje part. integritet och säkerhet.
För att komma lite i sammanhanget har PKCS # 11 -protokollet utformats som en kryptografistandard som använder ett API -gränssnitt som kallas Cryptoki, och tack vare detta API kommer varje applikation att kunna hantera olika kryptografiska element, till exempel tokens och utföra de åtgärder som de måste följa på säkerhetsnivå.
För närvarande erkänns PKCS # 11 som en öppen standard av OASIS PKCS 11 tekniska kommitté som står bakom.
SoftHSM -funktionerNär vi använder SoftHSM har vi en rad fördelar som:
- Det kan integreras i ett befintligt system utan att behöva granska hela den befintliga infrastrukturen och därmed undvika slöseri med tid och resurser.
- Den kan konfigureras för att signera zonfiler eller för att signera zoner som överförs via AXFR.
- Automatisk, eftersom det en gång har konfigurerats, behövs inga manuella ingrepp.
- Tillåter manuell lösenordsändring (nödlösenordsändring).
- Det är öppen källkod
- Det är i förmågan att signera zoner som innehåller från så få som miljontals poster.
- En enda OpenDNSSEC -instans kan konfigureras för att signera en eller flera zoner.
- Nycklar kan delas mellan zoner för att spara utrymme på HSM.
- Det gör det möjligt att definiera zonsignaturpolicyn (nyckelvaraktighet, nyckeltid, signaturintervall, etc.); Det tillåter oss att konfigurera systemet för flera åtgärder som en policy för att täcka alla zoner till en policy per zon.
- Kompatibel med alla olika versioner av Unix -operativsystemet
- SoftHSM kan kontrollera om HSM är kompatibla med OpenDNSSEC
- Den innehåller en granskningsfunktion som jämför den inkommande osignerade zonen med den utgående signerade zonen, så att du kan verifiera att inga zondata har gått förlorade och att zonsignaturerna är korrekta.
- Stöder RSA / SHA1 och SHA2 signaturer
- Förnekelse av existens med NSEC eller NSEC3
Med dessa SoftHSM -funktioner kommer vi nu att se hur vi installerar det på Linux, i det här fallet Ubuntu Server 17.10.
Beroenden Botan eller OpenSSL kryptografiska bibliotek kan användas med SoftHSM -projektet. Om Botan används med SoftHSM måste vi se till att det är kompatibelt med GNU MP (-med-gnump), eftersom denna kontroll kommer att förbättra prestanda under offentliga nyckeloperationer.
1. SoftHSM -installation
SoftHSM -verktyget är tillgängligt från OpenDNSSEC -webbplatsen och kan laddas ner med kommandot wget så här:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Därefter extraherar vi det nedladdade paketet med hjälp av tar -kommandot enligt följande:
tar -xzf softhsm -2.3.0.tar.gzSenare kommer vi åt katalogen där paketet har extraherats:
cd softhsm-2.3.0
Logga in Gå med!
