Informacijos saugumas turi šimtus kintamųjų, kuriuos galime įdiegti, kad optimizuotume kiekvienos operacinės sistemos duomenų ir informacijos vientisumą, turime nuo slaptažodžių iki šiam tikslui sukurtų ugniasienės sprendimų, ir šiandien mes sutelksime dėmesį į svarbų saugumo lygį ir didelį poveikį, pvz., HSM („Hardware Security Modules“ - „Hardware Security Modules“) - tai metodas, naudojamas su įvairiomis programomis, norint išsaugoti kriptografinius raktus ir sertifikatus.
Viena iš šiai aplinkai skirtų programų yra „SoftHSM“, ir šiandien mes analizuosime, kaip ją naudoti ir įdiegti „Linux“.
Kas yra SoftHSM„SoftHSM“ sukūrė „OpenDNSSEC“, kad jis būtų naudojamas kaip kriptografinės parduotuvės, kurią galima pasiekti naudojant PKCS # 11 sąsają, diegimas.
Na, kas yra PKCS #? Na, kiekvienas viešojo rakto kriptografijos standartas (PKCS) apima kriptografinių standartų grupę, skirtą pateikti gaires ir programų programavimo sąsajas (API), skirtas kriptografiniams metodams naudoti.
Įdiegę „SoftHSM“, galėsime nuodugniai išanalizuoti PKCS # 11, nereikalaudami naudoti aparatūros saugos modulių. „SoftHSM“ yra projekto, kuriam vadovauja „OpenDNSSEC“, dalis, naudojant „Botan“ visai kriptografijos problemai. „OpenDNSSEC“ įdiegta siekiant centralizuotai ir teisingai valdyti visus kriptografinius raktus, sugeneruotus per PKCS # 11 sąsają.
Sąsajos tikslas yra sudaryti sąlygas optimaliam ryšiui su HSM įrenginiais („Hardware Security Modules“ - „Hardware Security Modules“), o šie įrenginiai atlieka įvairių kriptografinių raktų generavimo ir atitinkamos informacijos pasirašymo funkciją, to nežinant trečiosioms šalims. privatumą ir saugumą.
Norint šiek tiek įsilieti į kontekstą, PKCS # 11 protokolas buvo sukurtas kaip kriptografijos standartas, naudojant API sąsają, vadinamą „Cryptoki“, ir šios API dėka kiekviena programa galės valdyti įvairius kriptografinius elementus, tokius kaip žetonai ir atlikti veiksmus, kurių jie turi imtis saugumo lygiu.
Šiuo metu PKCS # 11 yra pripažintas atviru standartu OASIS PKCS 11 techniniame komitete.
„SoftHSM“ funkcijosNaudodami „SoftHSM“ turime keletą privalumų, tokių kaip:
- Jį galima integruoti į esamą sistemą, nereikia peržiūrėti visos esamos infrastruktūros, taip išvengiant laiko ir išteklių švaistymo.
- Jis gali būti sukonfigūruotas pasirašyti zonų failus arba pasirašyti zonas, perduotas per AXFR.
- Automatinis, nes sukonfigūravus nereikia rankinio įsikišimo.
- Leidžia rankiniu būdu pakeisti slaptažodį (avarinis slaptažodis).
- Tai atviro kodo
- Ji gali pasirašyti zonas, kuriose yra tik milijonai įrašų.
- Vieną „OpenDNSSEC“ egzempliorių galima sukonfigūruoti pasirašyti vieną ar daugiau zonų.
- Raktai gali būti dalijami tarp zonų, kad būtų sutaupyta vietos HSM.
- Tai leidžia apibrėžti zonos parašo politiką (rakto trukmė, rakto trukmė, parašo intervalas ir kt.); Tai leidžia mums sukonfigūruoti kelių veiksmų sistemą kaip politiką, apimančią visas zonas į vieną politiką kiekvienoje zonoje.
- Suderinamas su visomis skirtingomis „Unix“ operacinės sistemos versijomis
- „SoftHSM“ gali patikrinti, ar HSM suderinami su „OpenDNSSEC“
- Jame yra audito funkcija, kuri lygina gaunamą nepasirašytą zoną su išeinančia pasirašyta zona, kad galėtumėte patikrinti, ar nebuvo prarasti jokie zonos duomenys ir ar zonos parašai yra teisingi.
- Palaiko RSA / SHA1 ir SHA2 parašus
- Egzistencijos neigimas naudojant NSEC arba NSEC3
Naudodami šias „SoftHSM“ funkcijas dabar pamatysime, kaip ją įdiegti „Linux“, šiuo atveju „Ubuntu Server 17.10“.
Priklausomybės Botan arba OpenSSL kriptografinės bibliotekos gali būti naudojamos su „SoftHSM“ projektu. Jei „Botan“ naudojamas su „SoftHSM“, turime užtikrinti, kad jis būtų suderinamas su GNU MP (--with-gnump), nes šis patikrinimas pagerins našumą atliekant viešojo rakto operacijas.
1. „SoftHSM“ diegimas
„SoftHSM“ įrankį galima rasti „OpenDNSSEC“ svetainėje ir jį galima atsisiųsti naudojant komandą „wget“:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Tada mes išskleisime atsisiųstą paketą naudodami tar komandą taip:
tar -xzf softhsm -2.3.0.tar.gzVėliau pateksime į katalogą, kuriame buvo išgautas minėtas paketas:
cd softhsm-2.3.0
Prisijunk Prisijunk!
