5 votos

Que linux hardware x86 almacén de claves?

Estoy terminando de SSL/TLS en mi DMZ y tengo que asumir que la máquina va a ser hackeado. En que punto de mi certificados están en peligro.

Anteriormente he usado nCipher hardware almacén de claves/acelerador para resolver este problema. Estas tarjetas no revelar la clave privada incluso a la root. La tarjeta realiza el cifrado y descifrado de a bordo y endurecido en contra de la agresión física. La única manera de llegar a las claves es por conectar un lector de tarjetas inteligentes en la propia tarjeta.

Estoy teniendo problemas para encontrar información acerca de algo para recrear este enfoque. Es este el dominio de especialista switches y firewalls en estos días?

Esta antigua página hace referencia a algunos de los viejos de hardware: http://www.kegel.com/ssl/hw.html#cards

1voto

A R Puntos 69

Si has elegido la implementación de SSL, entonces va a limitar la elección de los materiales. Favor de hardware que ha sido apoyado a largo plazo por la versión oficial, tal como es.

Antes de molestarse con resistente a las manipulaciones de hardware para proteger sus claves, vale la pena considerar algunas otras cuestiones:

Un robo certificado sólo es útil, mientras que la DNS es también secuestrado. (SSL utiliza Diffie-Hellman para prevenir ataques pasivos, por lo que el ladrón tendría que ser un Hombre activo-en-el-Medio, hacerse pasar por usted.)

SSL es sólo tan seguro como el más débil de CA (Autoridad de certificación) en las que confía. Los navegadores había 2 grandes CAs (Comodo, DigiNotar) públicamente comprometido en los últimos 2 años. Si es posible (no en la web de el comercio, obviamente), se debe instalar el certificado sin una CA.

Aplicar la menor práctica de la fecha de caducidad de los certificados.

Alguien que irrumpe en su terminador SSL no necesita su certificado de hacer un daño mayor. Se puede esconder ahí, el embudo y el filtro de tráfico (por ejemplo, tomando los números de tarjeta de crédito), y el uso de la esteganografía para undetectably recuperar el resultado.

Comercial crypto hardware tiene un terrible historial de seguridad. No han sido tiempo de los ataques, el fallo de la inyección (voltaje, la radiación de los ataques, tradicional y de errores. Ellos están cerradas, con fines de lucro productos, por lo que tienen un fuerte motivo para ocultar los defectos-como se revela dramáticamente en el caso de RSA Securid.

EnMiMaquinaFunciona.com

EnMiMaquinaFunciona es una comunidad de administradores de sistemas en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros sysadmin, hacer tus propias preguntas o resolver las de los demás.

Powered by: