Software-Sicherheits-Moduls/ toolkit ersetzt HSM für die Entwicklung von crypto-Funktionen

Ich gearbeitet und absolvierte ein PKI-Projekt, das einen HSM für generieren - speichern von Schlüsseln und Durchführung von crypto-Funktionen. Ich verwendete PKCS#11-Schnittstelle mit unserer Applikation für sigining/Verifizierung und Verschlüsselung/Entschlüsselung. Unsere Plattform ist windows.

Nun sind wir auf der Suche nach bieten eine kostengünstige alternative Lösung durch den Austausch des HSM mit einem software-Sicherheits-Moduls. Ich muss hier beachten, dass ich bin mir bewusst, die Nachteile, nicht mit einem HSM. Seine ein trade-off zwischen Sicherheit Vs. Kosten.

Fand ich, dass Microsoft stellt die Nächste Generation von CryptoAPI (CNG), key speichern und Zertifikat-services. Mein senior-management sind nicht geneigt, die Nutzung von open-source-software. Ich fand auch RSA-und cryptomathic bietet toolkits für software-basierte Lösungen.

Hat jemand in einem kommerziellen software-security-Modul tool-kits zum durchführen von key generation key store und crypto-Funktionen?

Programmiersprachen - c/c++

Dank

Raj

InformationsquelleAutor Raj | 2009-08-26
  1. 2

    Ihre beste option sein sollte, eine software PKCS#11-Bibliothek. Sollte es mehrere Implementierungen auf den Markt - ich weiß, dass die Firma für die ich arbeite verkauft eine. Auf diese Weise würde man noch in der Lage sein, wieder zu wechseln, um eine PKCS#11-kompatible HSM und die notwendigen änderungen, um die Anwendung sollte minimal sein.

    Ihre anderen Optionen sind CryptoAPI-oder CNG von Microsoft oder ein toolkit von RSA, Cryptomathic oder einem anderen Hersteller. Das würde wahrscheinlich erfordern mehr Arbeit, die Anwendung neu zu schreiben - ich sehe nicht wirklich einen Vorteil, dieser option, außer, dass CryptoAPI und CNG sind kostenlos.

    • Beziehen Sie sich "software PKCS#11-Bibliothek", die als Wrapper für PKCS#11, daß Sie das Cryptoki-Bibliothek? Wenn dies der Fall ist, in welcher Weise Sie denken, das ist unterschiedlich von den Funktionen, die ich geschrieben habe für sigining/encryptition etc Können Sie bitte zeigen Sie mir einige Anbieter auf "software PKCS#11-Bibliothek". Diese Anbieter bieten eine key-management-Funktionen als gut oder muss ich brauchen um sich auf das OS und eine Bibliothek für die Speicherung/Zugriff auf die Schlüssel? In welcher Weise ABS 1 Ihrer Antwort unterscheiden sich von para2. Ich bin eigentlich sehr verwirrt hier. Entschuldigung, wenn ich sound zu unwissend.
    • PKCS#11 spezifiziert ein API (daß Sie das Cryptoki). Sie wurden Programmierung gegen diese API und war vermutlich eine DLL, die die Anwendung dieser API mit einem HSM der Durchführung der Operationen. Mehrere Unternehmen (darunter Cryptomathic, das ist mein Arbeitgeber) verkaufen "software PKCS#11-Bibliotheken". Eine software PKCS#11-Bibliothek wäre eine DLL-Implementierung des PKCS#11-Bibliothek, aber die Zuordnung der Funktionen zu einer reinen software-Implementierung (und die Speicherung der Schlüssel im (verschlüsselten) Dateien). Das Key management erfolgt durch die PKCS#11-API, aber Sie könnten sich ein separates tool auch (je nach Anbieter).
    • Mein zweiter Absatz nur wiedereingestellt die Optionen, die Sie bereits kannte: andere kryptografische APIs.
    • Schaut sich um kann ich eigentlich nicht finden keinen Anbieter für software PKCS#11-Bibliotheken neben Cryptomathic (und das ist versteckt in der Produkt-Broschüre für die PrimeInk toolkits...), aber ich bin mir sicher, dass es auch andere.
    • Beziehen Sie sich Keymanagement Erzeugung,Etikettierung und abrufen? Meine Frage hier ist - ich hatte das HSM, die zum speichern der Schlüssel, wird dieser 3rd-party-Bibliothek kümmern sich um die Schlüssel zu speichern und seine Sicherheit? Ich habe die Suche für eine Weile jetzt, über PrimeInk(Dank Rasmus) und cryptokit von Arx. Ich bin mir nicht sicher, ob es noch andere Anbieter, wenn Sie stoßen, bitte teilen.
    • Ich kann nicht sprechen für andere Implementierungen, aber ich kenne die PrimeInk PKCS#11-Bibliothek speichert die Schlüssel verschlüsselt speichern auf der Festplatte mit einem AES-Schlüssel abgeleitet von dem Kennwort. Das ist wahrscheinlich so gut wie es geht mit einer software-Bibliothek. Wenn Sie nicht brauchen einen hohen Durchsatz, eine weitere low-cost-option könnte sein, einen smartcard-Leser mit smartcard. Diese kommen in der Regel mit PKCS#11-Bibliotheken, zu.

    InformationsquelleAutor Rasmus Faber
  2. 8

    Könnten Sie SoftHSM, das ist eine Reine-software PKCS #11-Implementierung. Es wird von der OpenDNSSEC Projekt genau ausgelagert werden, in den Fällen eine echte HSM nicht verfügbar ist, so könnte es für Sie zu arbeiten. Jedoch, es ist BSD-lizensiert, also ich denke, Ihr management-können nicht wie es auf dieser Grundlage.

    Wenn Sie sich für low-cost-und noch Werbefilm (ich bin mir nicht sicher, ob Sie speziell auf der Suche nach etwas, proprietäre, die CryptoAPI ist, oder für etwas, das kommerziell unterstützten, die CryptoAPI ist nicht, es sei denn, Sie haben einen Vertrag mit Microsoft), umschreiben Ihre Anwendung für die Verwendung der Win32-CryptoAPI scheint die einzige praktikable option für mich. RSA-toolkits sind nicht Billig, in meiner Erfahrung.

    • Dank Jack. Du hast Recht. Wenn es Fall 2, ich bin Planung zu gehen mit CNG als MS ist phasingout cryptoAPI. Auch Mozilla-NSS wurde diese virtuelle token PKCS#11-Implementierung.
    InformationsquelleAutor Jack Lloyd
  3. 2

    Ich habe einen Kunden, der die software benutzt, die PKCS#11-Implementierung, die kommt mit Mozillas NSS als drop-in Ersatz für die HSM. Sie sind auf Linux mit ruby, ruby-pkcs11, so kann Ihre Laufleistung variieren.

    • Hi Sander - Dieses Projekt hat tatsächlich über bekam. Aber ich bin daran interessiert, zu sehen bei NSS. Ich schaute auf den Beispiel-Quellen von Mozilla etc; Aber mein problem ist, welche version oder von wo - laden Sie die NSS? Mir wird windows.
    • die Startseite der Bibliothek ist unter developer.mozilla.org/en/NSS, aber Sie scheinen nicht zu veröffentlichen binaries. Zum Glück, jede Kopie von Firefox scheint einen zu haben! Sie finden könnten libsoftokn3.dll unter der Firefox-installation (ich habe keine Windows-Maschine, die praktisch zu überprüfen). Ich finde, ich kann einfach libsoftokn3.so in eine triviale PKCS#11-Programm auf meinem Linux-host.
    InformationsquelleAutor Sander Temme
  4. 1

    Werfen Sie einen Blick auf http://www.openssl.org/related/kits.html für LSM-PKCS11. Das könnte eine Lösung sein.

    InformationsquelleAutor Clizio Merli
Schreibe einen Kommentar