Software-Sicherheitsmodul / Toolkit HSM Ersatz für Krypto-Funktionen zu entwickeln

StackOverflow https://stackoverflow.com/questions/1335030

Frage

Ich arbeitete und absolvierte ein PKI-Projekt, das eine HSM zur Erzeugung verwendet - Speichern von Schlüsseln und krypto Funktionen. Ich benutzte PKCS # 11 mit unserer Anwendung als Schnittstelle für sigining / Verifizieren und Verschlüsselung / Entschlüsselung. Unsere Plattform ist Windows.

Jetzt suchen wir eine kostengünstige Alternative zu bieten, indem die HSM mit einer Software-Sicherheitsmodul zu ersetzen. Ich muß hier anmerken, dass ich bin mir bewusst, die Nachteile kein HSM verwenden. Es ist ein Kompromiss zwischen Sicherheit Vs Kosten.

fand ich, dass Microsoft die nächste Generation CryptoAPI (CNG), Schlüsselspeicher und Zertifikatsdienste zur Verfügung stellt. Meine Geschäftsleitung ist nicht geneigt, Open-Source-Software zu nutzen. Ich fand auch, RSA und cryptomathic Angebot Toolkits Software basierte Lösungen auszuführen.

Hat jemand kommen über kommerzielle Software-Sicherheitsmodul-Tool-Kits Schlüsselerzeugung, Schlüsselspeicher und Krypto-Funktionen auszuführen?

Programmiersprache - C / C ++

Danke

Raj

War es hilfreich?

Lösung

Sie sollte die beste Wahl sein, eine Software PKCS zu finden # 11-Bibliothek. Es sollte mehr Implementierungen auf dem Markt sein - ich weiß, dass die Firma, die ich Arbeit für einen verkauft. Auf diese Weise würden Sie sollte noch in der Lage sein, um wieder auf eine PKCS # 11-konforme HSM und die notwendigen Änderungen an die Anwendung minimal sein.

Ihre andere Optionen sind CryptoAPI oder CNG von Microsoft oder ein Toolkit von RSA, Cryptomathic oder einem anderen Anbieter. Das wäre wahrscheinlich mehr Arbeit erfordern, die Anwendung neu zu schreiben. - Ich nicht wirklich keinen Vorteil diese Option sehen kann, außer dass CryptoAPI und CNG sind frei

Andere Tipps

könnten Sie verwenden SoftHSM , das ist eine reine Software PKCS # 11-Implementierung. Es wird von der OpenDNSSEC Projekt verwendet genau in den Fällen ein echter HSM nicht verfügbar ausgelagert werden soll, so dass es auch für Sie arbeiten. Allerdings ist es BSD lizenziert, so dass ich Ihr Management erraten kann, wie es nicht auf dieser Basis.

Wenn Sie sich für Low-Cost-und doch commmercial (Ich bin nicht sicher, ob Sie speziell suchen etwas proprietäre suchen, die Crypto-API ist, oder für etwas, das im Handel unterstützt wird, die Crypto-API ist nicht, es sei denn, Sie haben ein Vertrag mit Microsoft), Ihre Anwendung Umschreiben die Win32-CryptoAPI zu verwenden, scheint die einzig gangbare Option für mich. RSA-Toolkits sind nicht billig, in meiner Erfahrung.

Ich habe einen Kunden, die die Software PKCS # 11-Implementierung verwendet, die für die HSM mit Mozilla NSS als ein Drop-in-Ersatz kommt. Sie sind unter Linux mit rubin pkcs11, so die Leistung kann variieren.

Hier finden Sie aktuelle http://www.openssl.org/related/kits.html für LSM-PKCS11. Das könnte eine Lösung sein.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top