Emulation von Hardware-Kryptomodulen

Weichei

Crypto-Stores bieten meistens eine PKCS#11-Schnittstelle. Typische Beispiele sind Smartcards oder Hardware-Security-Modules. Allerdings gibt es mit softhsm auch eine Softwarevariante, die dieser Open-Source-Tipp näher vorstellt.
Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer ... (mehr)

Die Software softhsm [1] ist aus dem OpenDNSSec-Projekt [2] hervorgegangen, das ein umfassendes System zum Signieren von DNS-Zonen anbietet. Zur Sicherung der kryptografischen Schlüssel setzt die Software auf Hardware-Security-Module (HSM). Der Zugriff auf die hierin gespeicherten Tokens erfolgt meistens über eine PKCS#11-Schnittstelle [3]. Anders als bei einfachen Dateispeichern lassen sich die im HSM gespeicherten Daten nicht einfach von dem System kopieren. Desweiteren erfolgen auch sämtliche kryptografischen Operationen auf dem HSM selbst.

Da jedoch manche Administratoren den Erwerb von solch zusätzlicher Hardware scheuen, die Entwickler von OpenDNSSec aber auch die Verbreitung ihrer Software nicht einschränken wollten, wurde als Notbehelf softhsm entwickelt. Hierbei handelt es sich um einen reinen softwarebasierten Crypto-Store mit PKCS#11-Schnittstelle, auf den OpenDNSSec somit zurückgreifen kann, um die Schlüssel zum Signieren einer DNS-Zone sicher aufzubewahren. softhsm stellen wir im Folgenden näher vor.

SoftHSM zum Testen

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Forwarding kryptografischer Keys

Kryptografische Schlüssel liegen zumeist lokal vor und stehen somit nicht zwingend auch auf entfernten Rechnern bereit. Der Open-Source-Tipp in diesem Monat zeigt, wie sich solche kryptografischen Schlüssel auch in Cloudumgebungen einsetzen lassen.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023