Software-Sicherheits-Moduls/ toolkit ersetzt HSM für die Entwicklung von crypto-Funktionen
Ich gearbeitet und absolvierte ein PKI-Projekt, das einen HSM für generieren - speichern von Schlüsseln und Durchführung von crypto-Funktionen. Ich verwendete PKCS#11-Schnittstelle mit unserer Applikation für sigining/Verifizierung und Verschlüsselung/Entschlüsselung. Unsere Plattform ist windows.
Nun sind wir auf der Suche nach bieten eine kostengünstige alternative Lösung durch den Austausch des HSM mit einem software-Sicherheits-Moduls. Ich muss hier beachten, dass ich bin mir bewusst, die Nachteile, nicht mit einem HSM. Seine ein trade-off zwischen Sicherheit Vs. Kosten.
Fand ich, dass Microsoft stellt die Nächste Generation von CryptoAPI (CNG), key speichern und Zertifikat-services. Mein senior-management sind nicht geneigt, die Nutzung von open-source-software. Ich fand auch RSA-und cryptomathic bietet toolkits für software-basierte Lösungen.
Hat jemand in einem kommerziellen software-security-Modul tool-kits zum durchführen von key generation key store und crypto-Funktionen?
Programmiersprachen - c/c++
Dank
Raj
Du musst angemeldet sein, um einen Kommentar abzugeben.
Ihre beste option sein sollte, eine software PKCS#11-Bibliothek. Sollte es mehrere Implementierungen auf den Markt - ich weiß, dass die Firma für die ich arbeite verkauft eine. Auf diese Weise würde man noch in der Lage sein, wieder zu wechseln, um eine PKCS#11-kompatible HSM und die notwendigen änderungen, um die Anwendung sollte minimal sein.
Ihre anderen Optionen sind CryptoAPI-oder CNG von Microsoft oder ein toolkit von RSA, Cryptomathic oder einem anderen Hersteller. Das würde wahrscheinlich erfordern mehr Arbeit, die Anwendung neu zu schreiben - ich sehe nicht wirklich einen Vorteil, dieser option, außer, dass CryptoAPI und CNG sind kostenlos.
Könnten Sie SoftHSM, das ist eine Reine-software PKCS #11-Implementierung. Es wird von der OpenDNSSEC Projekt genau ausgelagert werden, in den Fällen eine echte HSM nicht verfügbar ist, so könnte es für Sie zu arbeiten. Jedoch, es ist BSD-lizensiert, also ich denke, Ihr management-können nicht wie es auf dieser Grundlage.
Wenn Sie sich für low-cost-und noch Werbefilm (ich bin mir nicht sicher, ob Sie speziell auf der Suche nach etwas, proprietäre, die CryptoAPI ist, oder für etwas, das kommerziell unterstützten, die CryptoAPI ist nicht, es sei denn, Sie haben einen Vertrag mit Microsoft), umschreiben Ihre Anwendung für die Verwendung der Win32-CryptoAPI scheint die einzige praktikable option für mich. RSA-toolkits sind nicht Billig, in meiner Erfahrung.
Ich habe einen Kunden, der die software benutzt, die PKCS#11-Implementierung, die kommt mit Mozillas NSS als drop-in Ersatz für die HSM. Sie sind auf Linux mit ruby, ruby-pkcs11, so kann Ihre Laufleistung variieren.
Werfen Sie einen Blick auf http://www.openssl.org/related/kits.html für LSM-PKCS11. Das könnte eine Lösung sein.