La sicurezza delle informazioni ha centinaia di variabili che possiamo implementare per ottimizzare l'integrità dei dati e delle informazioni in ogni sistema operativo, abbiamo dalle password alle soluzioni firewall progettate per questo scopo e oggi ci concentreremo su un livello di sicurezza importante e di grande impatto come HSM (Hardware Security Modules - Hardware Security Modules) che è un metodo da utilizzare con varie applicazioni per archiviare chiavi e certificati crittografici.
Una delle applicazioni focalizzate su questo ambiente è SoftHSM e oggi analizzeremo come utilizzarlo e implementarlo in Linux.
Cos'è SoftHSMSoftHSM è stato sviluppato da OpenDNSSEC per essere utilizzato come implementazione di un archivio crittografico a cui è possibile accedere tramite un'interfaccia PKCS # 11.
Ora, che cos'è PKCS # Bene, ciascuno degli standard crittografici a chiave pubblica (PKCS) comprende un gruppo di standard crittografici progettati per fornire linee guida e interfacce di programmazione delle applicazioni (API) per l'uso di metodi crittografici.
Implementando SoftHSM, saremo in grado di analizzare a fondo PKCS # 11 senza richiedere l'uso di moduli di sicurezza hardware. SoftHSM fa parte del progetto guidato da OpenDNSSEC che utilizza Botan per l'intera questione della crittografia. OpenDNSSEC è implementato per gestire centralmente e correttamente tutte le chiavi crittografiche che vengono generate tramite l'interfaccia PKCS#11.
Lo scopo dell'interfaccia è quello di consentire una comunicazione ottimale con i dispositivi HSM (Hardware Security Modules - Hardware Security Modules), e questi dispositivi svolgono la funzione di generare varie chiavi crittografiche e firmare le relative informazioni senza che siano note a terzi. privacy e sicurezza.
Per entrare un po' nel contesto, il protocollo PKCS#11 è stato progettato come uno standard di crittografia facendo uso di un'interfaccia API chiamata Cryptoki, e grazie a questa API, ogni applicazione sarà in grado di gestire vari elementi crittografici come i token e svolgere le azioni a cui devono conformarsi a livello di sicurezza.
Attualmente PKCS # 11 è riconosciuto come uno standard aperto dal comitato tecnico di OASIS PKCS 11 che è dietro di esso.
Caratteristiche di SoftHSMUtilizzando SoftHSM abbiamo una serie di vantaggi come:
- Può essere integrato in un sistema esistente senza la necessità di rivedere l'intera infrastruttura esistente, evitando così sprechi di tempo e risorse.
- Può essere configurato per firmare file di zona o per firmare zone trasferite tramite AXFR.
- Automatico, poiché una volta configurato, non è necessario alcun intervento manuale.
- Consente la modifica manuale della password (cambio password di emergenza).
- È open source
- È in grado di firmare zone che contengono da un minimo di milioni di record.
- Una singola istanza OpenDNSSEC può essere configurata per firmare una o più zone.
- Le chiavi possono essere condivise tra le zone per risparmiare spazio sull'HSM.
- Consente di definire la policy di firma della zona (durata della chiave, durata della chiave, intervallo della firma, ecc.); Ci consente di configurare il sistema per più azioni come un criterio per coprire tutte le zone in un criterio per zona.
- Compatibile con tutte le diverse versioni del sistema operativo Unix
- SoftHSM può verificare se gli HSM sono compatibili con OpenDNSSEC
- Include una funzione di controllo che confronta la zona non firmata in entrata con la zona firmata in uscita, in modo da poter verificare che nessun dato della zona sia stato perso e che le firme della zona siano corrette.
- Supporta le firme RSA / SHA1 e SHA2
- Negazione dell'esistenza utilizzando NSEC o NSEC3
Con queste funzionalità di SoftHSM ora vedremo come installarlo su Linux, in questo caso Ubuntu Server 17.10.
Dipendenze Le librerie crittografiche Botan o OpenSSL possono essere utilizzate con il progetto SoftHSM. Se Botan viene utilizzato con SoftHSM, dobbiamo assicurarci che sia compatibile con GNU MP (--with-gnump), poiché questo controllo migliorerà le prestazioni durante le operazioni con la chiave pubblica.
1. Installazione di SoftHSM
L'utilità SoftHSM è disponibile dal sito Web OpenDNSSEC e può essere scaricata utilizzando il comando wget in questo modo:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Successivamente, estrarremo il pacchetto scaricato utilizzando il comando tar come segue:
tar -xzf softhsm-2.3.0.tar.gzSuccessivamente accederemo alla directory in cui è stato estratto detto pacchetto:
cd softhsm-2.3.0
Accedi Iscriviti!