A segurança da informação possui centenas de variáveis que podemos implementar para otimizar a integridade dos dados e informações em cada sistema operacional, temos desde senhas até soluções de firewall projetadas para esse fim e hoje vamos nos concentrar em um nível de segurança importante e de grande impacto como o HSM (Módulos de Segurança de Hardware - Módulos de Segurança de Hardware) que é um método a ser usado com vários aplicativos para armazenar chaves criptográficas e certificados.
Uma das aplicações focadas neste ambiente é o SoftHSM e hoje iremos analisar como utilizá-lo e implementá-lo no Linux.
O que é SoftHSMO SoftHSM foi desenvolvido pela OpenDNSSEC para ser usado como uma implementação de um armazenamento criptográfico que pode ser acessado por meio de uma interface PKCS # 11.
Agora, o que é PKCS #? Bem, cada um dos Padrões Criptográficos de Chave Pública (PKCS) compreende um grupo de padrões criptográficos projetados para fornecer diretrizes e interfaces de programação de aplicativos (APIs) para o uso de métodos criptográficos.
Ao implementar o SoftHSM, seremos capazes de analisar completamente o PKCS # 11 sem exigir o uso de módulos de segurança de hardware. SoftHSM faz parte do projeto liderado por OpenDNSSEC fazendo uso de Botan para todo o problema de criptografia. OpenDNSSEC é implementado para gerenciar centralmente e corretamente todas as chaves criptográficas que são geradas através da interface PKCS # 11.
O objetivo da interface é permitir a comunicação ideal com dispositivos HSM (Módulos de Segurança de Hardware - Módulos de Segurança de Hardware), e esses dispositivos cumprem a função de gerar várias chaves criptográficas e assinar as informações relevantes sem serem conhecidas por terceiros, aumentando assim o seu privacidade e segurança.
Para entrar um pouco no contexto, o protocolo PKCS # 11 foi projetado como um padrão de criptografia utilizando uma interface API chamada Cryptoki, e graças a esta API, cada aplicativo será capaz de gerenciar vários elementos criptográficos, como são os tokens e realizar as ações que devem cumprir no nível de segurança.
Atualmente PKCS # 11 é reconhecido como um padrão aberto pelo comitê técnico OASIS PKCS 11 que está por trás dele.
Recursos do SoftHSMAo usar o SoftHSM, temos uma série de vantagens, como:
- Pode ser integrado a um sistema existente sem a necessidade de revisar toda a infraestrutura existente, evitando assim o desperdício de tempo e recursos.
- Ele pode ser configurado para assinar arquivos de zona ou para assinar zonas transferidas por meio de AXFR.
- Automático, pois uma vez configurado, nenhuma intervenção manual é necessária.
- Permite a mudança manual de senha (mudança de senha de emergência).
- É open source
- Tem a capacidade de assinar zonas que contêm até milhões de registros.
- Uma única instância OpenDNSSEC pode ser configurada para assinar uma ou mais zonas.
- As chaves podem ser compartilhadas entre as zonas para economizar espaço no HSM.
- Permite definir a política de assinatura da zona (duração da chave, duração da chave, intervalo de assinatura, etc.); Ele nos permite configurar o sistema para várias ações como uma política para cobrir todas as zonas com uma política por zona.
- Compatível com todas as diferentes versões do sistema operacional Unix
- SoftHSM pode verificar se HSMs são compatíveis com OpenDNSSEC
- Inclui um recurso de auditoria que compara a zona não assinada de entrada com a zona assinada de saída, para que você possa verificar se nenhum dado da zona foi perdido e se as assinaturas da zona estão corretas.
- Suporta assinaturas RSA / SHA1 e SHA2
- Negação de existência usando NSEC ou NSEC3
Com essas funcionalidades do SoftHSM veremos agora como instalá-lo no Linux, neste caso Ubuntu Server 17.10.
Dependências Bibliotecas criptográficas Botan ou OpenSSL podem ser usadas com o projeto SoftHSM. Se o Botan for usado com o SoftHSM, devemos garantir que ele seja compatível com o GNU MP (--with-gnump), pois essa verificação melhorará o desempenho durante as operações de chave pública.
1. Instalação do SoftHSM
O utilitário SoftHSM está disponível no site OpenDNSSEC e pode ser baixado usando o comando wget como este:
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
A seguir, extrairemos o pacote baixado usando o comando tar da seguinte maneira:
tar -xzf softhsm-2.3.0.tar.gzPosteriormente acessaremos o diretório onde foi extraído o referido pacote:
cd softhsm-2.3.0
Login Junte-se!