La sécurité de l'information a des centaines de variables que nous pouvons implémenter pour optimiser l'intégrité des données et des informations dans chaque système d'exploitation, nous avons des mots de passe aux solutions de pare-feu conçues à cet effet et aujourd'hui nous nous concentrerons sur un niveau de sécurité important et un grand impact tel que HSM (Hardware Security Modules - Hardware Security Modules) qui est une méthode à utiliser avec diverses applications afin de stocker des clés et des certificats cryptographiques.
L'une des applications axées sur cet environnement est SoftHSM et nous analyserons aujourd'hui comment l'utiliser et l'implémenter sous Linux.
Qu'est-ce que SoftHSMSoftHSM a été développé par OpenDNSSEC pour être utilisé comme implémentation d'un magasin cryptographique accessible via une interface PKCS # 11.
Maintenant, qu'est-ce que PKCS # ? Eh bien, chacune des normes cryptographiques à clé publique (PKCS) comprend un groupe de normes cryptographiques conçues pour fournir des directives et des interfaces de programmation d'applications (API) pour l'utilisation de méthodes cryptographiques.
En implémentant SoftHSM, nous pourrons analyser en profondeur PKCS # 11 sans nécessiter l'utilisation de modules de sécurité matériels. SoftHSM fait partie du projet mené par OpenDNSSEC utilisant Botan pour toute la problématique de la cryptographie. OpenDNSSEC est implémenté afin de gérer de manière centralisée et correcte toutes les clés cryptographiques qui sont générées via l'interface PKCS #11.
Le but de l'interface est de permettre une communication optimale avec les appareils HSM (Hardware Security Modules - Hardware Security Modules), et ces appareils remplissent la fonction de générer diverses clés cryptographiques et de signer les informations pertinentes sans qu'elles soient connues par des tiers augmentant ainsi votre confidentialité et sécurité.
Pour entrer un peu dans le contexte, le protocole PKCS #11 a été conçu comme un standard de cryptographie utilisant une interface API appelée Cryptoki, et grâce à cette API, chaque application pourra gérer divers éléments cryptographiques tels que les jetons et effectuer les actions qu'ils doivent respecter au niveau de la sécurité.
Actuellement PKCS # 11 est reconnu comme un standard ouvert par le comité technique OASIS PKCS 11 qui en est à l'origine.
Fonctionnalités de SoftHSMLors de l'utilisation de SoftHSM, nous avons une série d'avantages tels que :
- Il peut être intégré dans un système existant sans qu'il soit nécessaire de revoir l'ensemble de l'infrastructure existante, évitant ainsi une perte de temps et de ressources.
- Il peut être configuré pour signer des fichiers de zone ou pour signer des zones transférées via AXFR.
- Automatique, car une fois configuré, aucune intervention manuelle n'est nécessaire.
- Permet le changement de mot de passe manuel (changement de mot de passe d'urgence).
- C'est open source
- C'est dans la capacité de signer des zones qui contiennent aussi peu que des millions d'enregistrements.
- Une seule instance OpenDNSSEC peut être configurée pour signer une ou plusieurs zones.
- Les clés peuvent être partagées entre les zones pour économiser de l'espace sur le HSM.
- Il permet de définir la politique de signature de zone (durée de clé, durée de clé, intervalle de signature, etc.); Il nous permet de configurer le système pour plusieurs actions en tant que politique pour couvrir toutes les zones à une politique par zone.
- Compatible avec toutes les différentes versions du système d'exploitation Unix
- SoftHSM peut vérifier si les HSM sont compatibles avec OpenDNSSEC
- Il comprend une fonction d'audit qui compare la zone non signée entrante avec la zone signée sortante, afin que vous puissiez vérifier qu'aucune donnée de zone n'a été perdue et que les signatures de zone sont correctes.
- Prend en charge les signatures RSA / SHA1 et SHA2
- Déni d'existence utilisant NSEC ou NSEC3
Avec ces fonctionnalités SoftHSM nous allons maintenant voir comment l'installer sur Linux, en l'occurrence Ubuntu Server 17.10.
Dépendances Les bibliothèques cryptographiques Botan ou OpenSSL peuvent être utilisées avec le projet SoftHSM. Si Botan est utilisé avec SoftHSM, nous devons nous assurer qu'il est compatible avec GNU MP (--with-gnump), car cette vérification améliorera les performances lors des opérations de clé publique.
1. Installation de SoftHSM
L'utilitaire SoftHSM est disponible sur le site Web d'OpenDNSSEC et peut être téléchargé à l'aide de la commande wget comme ceci :
wget https://dist.opendnssec.org/source/softhsm-2.3.0.tar.gz
Ensuite, nous extrairons le package téléchargé à l'aide de la commande tar comme suit :
tar -xzf softhsm-2.3.0.tar.gzPlus tard, nous accéderons au répertoire où ledit package a été extrait :
cd softhsm-2.3.0
Connectez-vous Inscrivez-vous !