Emulation von Hardware-Kryptomodulen

Weichei

Crypto-Stores bieten meistens eine PKCS#11-Schnittstelle. Typische Beispiele sind Smartcards oder Hardware-Security-Modules. Allerdings gibt es mit softhsm auch eine Softwarevariante, die dieser Open-Source-Tipp näher vorstellt.
Die Endgeräte in Unternehmen stellen das wohl größte Einfallstor für Angreifer dar. Ein geöffneter, infizierter E-Mail-Anhang oder der Besuch einer ... (mehr)

Die Software softhsm [1] ist aus dem OpenDNSSec-Projekt [2] hervorgegangen, das ein umfassendes System zum Signieren von DNS-Zonen anbietet. Zur Sicherung der kryptografischen Schlüssel setzt die Software auf Hardware-Security-Module (HSM). Der Zugriff auf die hierin gespeicherten Tokens erfolgt meistens über eine PKCS#11-Schnittstelle [3]. Anders als bei einfachen Dateispeichern lassen sich die im HSM gespeicherten Daten nicht einfach von dem System kopieren. Desweiteren erfolgen auch sämtliche kryptografischen Operationen auf dem HSM selbst.

Da jedoch manche Administratoren den Erwerb von solch zusätzlicher Hardware scheuen, die Entwickler von OpenDNSSec aber auch die Verbreitung ihrer Software nicht einschränken wollten, wurde als Notbehelf softhsm entwickelt. Hierbei handelt es sich um einen reinen softwarebasierten Crypto-Store mit PKCS#11-Schnittstelle, auf den OpenDNSSec somit zurückgreifen kann, um die Schlüssel zum Signieren einer DNS-Zone sicher aufzubewahren. softhsm stellen wir im Folgenden näher vor.

SoftHSM zum Testen

Auch für andere Bereiche ist ein softwarebasierter Crypto-Store hilfreich. Möchte man beispielsweise bestimmte Software testen, die eine Smartcard voraussetzt, dann lässt sich softhsm sehr gut als Ersatz verwenden, wenn die physischen Gerätschaften fehlen. Es ist natürlich daran zu denken, dass die Software nicht den Sicherheitsstandards eines HSM oder einer Smartcard entspricht, da letztendlich sämtliche Daten wieder in Dateien gespeichert werden, die sich beim Zugriff auf das System einfach kopieren lassen. Für Testzwecke oder als Notbehelf ist die Software aber prima geeignet.

Im Folgenden beschreiben wir das Setup eines Tokens in softhsm. In diesem Token sollen ein privater RSA-Schlüssel und ein X.509-Zertifikat abgelegt werden. Um so nah wie möglich an den Standards zu bleiben, werden in diesem Beispiel der private RSA-Schlüssel und

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus
Mehr zum Thema

Forwarding kryptografischer Keys

Kryptografische Schlüssel liegen zumeist lokal vor und stehen somit nicht zwingend auch auf entfernten Rechnern bereit. Der Open-Source-Tipp in diesem Monat zeigt, wie sich solche kryptografischen Schlüssel auch in Cloudumgebungen einsetzen lassen.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021