Bilgi güvenliği, her işletim sistemindeki veri ve bilgilerin bütünlüğünü optimize etmek için uygulayabileceğimiz yüzlerce değişkene sahiptir, sahip olduğumuz şifrelerden bu amaç için tasarlanmış güvenlik duvarı çözümlerine kadar ve bugün HSM gibi önemli bir güvenlik seviyesine ve büyük etkiye odaklanacağız. (Donanım Güvenlik Modülleri - Donanım Güvenlik Modülleri), kriptografik anahtarları ve sertifikaları saklamak için çeşitli uygulamalarla birlikte kullanılacak bir yöntemdir.
Bu ortama odaklanan uygulamalardan biri de SoftHSM'dir ve bugün Linux'ta nasıl kullanılacağını ve uygulanacağını analiz edeceğiz.
SoftHSM Nedir?SoftHSM, OpenDNSSEC tarafından bir PKCS # 11 arabirimi aracılığıyla erişilebilen bir şifreleme deposunun bir uygulaması olarak kullanılmak üzere geliştirilmiştir.
Şimdi, PKCS # nedir?Pekâlâ, Açık Anahtarlı Şifreleme Standartlarının (PKCS) her biri, kriptografik yöntemlerin kullanımı için kılavuzlar ve uygulama programlama arayüzleri (API'ler) sağlamak üzere tasarlanmış bir grup kriptografik standart içerir.
SoftHSM'yi uygulayarak, donanım güvenlik modüllerinin kullanılmasına gerek kalmadan PKCS # 11'i kapsamlı bir şekilde analiz edebileceğiz. SoftHSM, OpenDNSSEC tarafından yönetilen ve tüm kriptografi sorunu için Botan'ı kullanan projenin bir parçasıdır. OpenDNSSEC, PKCS # 11 arabirimi aracılığıyla oluşturulan tüm şifreleme anahtarlarını merkezi ve doğru bir şekilde yönetmek için uygulanır.
Arayüzün amacı, HSM cihazları (Donanım Güvenlik Modülleri - Donanım Güvenlik Modülleri) ile optimum iletişime izin vermektir ve bu cihazlar, çeşitli kriptografik anahtarlar üretme ve ilgili bilgileri üçüncü şahıslar tarafından bilinmeden imzalama işlevini yerine getirir. Gizlilik ve güvenlik.
İçeriğe biraz girmek için, PKCS # 11 protokolü Cryptoki adlı bir API arayüzünden yararlanan bir kriptografi standardı olarak tasarlanmıştır ve bu API sayesinde her uygulama tokenlar ve tokenler gibi çeşitli kriptografik öğeleri yönetebilecektir. güvenlik seviyesinde uymaları gereken işlemleri gerçekleştirirler.
Şu anda PKCS # 11, arkasındaki OASIS PKCS 11 teknik komitesi tarafından açık bir standart olarak kabul edilmektedir.
SoftHSM ÖzellikleriSoftHSM'yi kullanırken aşağıdakiler gibi bir dizi avantajımız var:
- Mevcut altyapının tamamını gözden geçirmeye gerek kalmadan mevcut bir sisteme entegre edilebilir, böylece zaman ve kaynak israfı önlenir.
- Bölge dosyalarını imzalamak veya AXFR aracılığıyla aktarılan bölgeleri imzalamak için yapılandırılabilir.
- Otomatik, yapılandırıldıktan sonra manuel müdahaleye gerek yoktur.
- Manuel şifre değişikliğine izin verir (acil şifre değişikliği).
- Açık kaynaktır
- Milyonlarca kayıt içeren bölgeleri imzalama kapasitesindedir.
- Tek bir OpenDNSSEC örneği, bir veya daha fazla bölgeyi imzalamak için yapılandırılabilir.
- Anahtarlar, HSM'de yer kazanmak için bölgeler arasında paylaşılabilir.
- Bölge imza politikasının (anahtar süresi, anahtar süresi, imza aralığı vb.) tanımlanmasına izin verir; Sistemi, tüm bölgeleri bölge başına bir ilkeye kapsayacak şekilde bir ilke olarak birden çok eylem için yapılandırmamıza olanak tanır.
- Unix işletim sisteminin tüm farklı sürümleriyle uyumlu
- SoftHSM, HSM'lerin OpenDNSSEC ile uyumlu olup olmadığını kontrol edebilir
- Hiçbir bölge verisinin kaybolmadığını ve bölge imzalarının doğru olduğunu doğrulayabilmeniz için gelen imzasız bölgeyi giden imzalı bölgeyle karşılaştıran bir denetleme özelliği içerir.
- RSA / SHA1 ve SHA2 imzalarını destekler
- NSEC veya NSEC3 kullanarak varlığın reddi
Bu SoftHSM işlevleriyle şimdi onu Linux'a nasıl kuracağımızı göreceğiz, bu durumda Ubuntu Server 17.10.
Bağımlılıklar SoftHSM projesi ile Botan veya OpenSSL kriptografik kitaplıkları kullanılabilir. Botan SoftHSM ile kullanılıyorsa, GNU MP (--with-gnump) ile uyumlu olduğundan emin olmalıyız, çünkü bu kontrol ortak anahtar işlemleri sırasında performansı artıracaktır.
1. SoftHSM kurulumu
SoftHSM yardımcı programı OpenDNSSEC web sitesinde mevcuttur ve aşağıdaki gibi wget komutu kullanılarak indirilebilir:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Ardından, indirilen paketi tar komutunu kullanarak aşağıdaki gibi çıkaracağız:
tar -xzf softhsm-2.3.0.tar.gzDaha sonra söz konusu paketin çıkarıldığı dizine erişeceğiz:
cd softhsm-2.3.0
Giriş Yap Katıl!
