Die Software softhsm [1] ist aus dem OpenDNSSec-Projekt [2] hervorgegangen, das ein umfassendes System zum Signieren von DNS-Zonen anbietet. Zur Sicherung der kryptografischen Schlüssel setzt die Software auf Hardware-Security-Module (HSM). Der Zugriff auf die hierin gespeicherten Tokens erfolgt meistens über eine PKCS#11-Schnittstelle [3]. Anders als bei einfachen Dateispeichern lassen sich die im HSM gespeicherten Daten nicht einfach von dem System kopieren. Desweiteren erfolgen auch sämtliche kryptografischen Operationen auf dem HSM selbst.
Da jedoch manche Administratoren den Erwerb von solch zusätzlicher Hardware scheuen, die Entwickler von OpenDNSSec aber auch die Verbreitung ihrer Software nicht einschränken wollten, wurde als Notbehelf softhsm entwickelt. Hierbei handelt es sich um einen reinen softwarebasierten Crypto-Store mit PKCS#11-Schnittstelle, auf den OpenDNSSec somit zurückgreifen kann, um die Schlüssel zum Signieren einer DNS-Zone sicher aufzubewahren. softhsm stellen wir im Folgenden näher vor.
Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.