8

私は、HSM を使用してキーを生成、保存し、暗号化機能を実行する PKI プロジェクトに取り組み、完了しました。PKCS#11 を使用して、署名/検証および暗号化/復号化のためにアプリケーションとやり取りしました。私たちのプラットフォームは Windows です。

現在、HSM をソフトウェア セキュリティ モジュールに置き換えることで、低コストの代替ソリューションを提供しようとしています。ここで、HSM を使用しないことの欠点を認識していることに注意する必要があります。セキュリティとコストのトレードオフです。

Microsoft が Next Generation CryptoAPI (CNG)、キー ストア、および証明書サービスを提供していることがわかりました。私の上級管理職は、オープンソース ソフトウェアを使用する傾向がありません。また、ソフトウェア ベースのソリューションを実行するための RSA および暗号化オファリング ツールキットも見つけました。

キー生成、キー ストア、および暗号化機能を実行する商用ソフトウェア セキュリティ モジュール ツール キットを見つけた人はいますか?

プログラミング言語 - c/c++

ありがとう

ラージ

4

5 に答える 5

9

純粋なソフトウェアPKCS#11実装であるSoftHSMを使用できます。これは、OpenDNSSECプロジェクトによって正確に使用されており、実際のHSMが利用できない場合に交換されるため、機能する可能性があります。しかし、それはBSDライセンスなので、あなたの経営陣はそれに基づいてそれを気に入らないかもしれないと思います。

低コストでありながら商用を探している場合(CryptoAPIが独自仕様のものを探しているのか、CryptoAPIがそうでない、商用サポートされているものを探しているのかはわかりません。 Microsoft)、Win32 CryptoAPIを使用するようにアプリケーションを書き直すことは、私にとって唯一の実行可能なオプションのようです。私の経験では、RSAのツールキットは安くはありません。

于 2009-09-10T13:05:43.137 に答える
2

Mozilla の NSS に付属するソフトウェア PKCS#11 実装を HSM のドロップイン代替品として使用している顧客がいます。それらは ruby​​-pkcs11 を使用して Linux 上にあるため、マイレージは異なる場合があります。

于 2011-03-02T17:27:46.747 に答える
2

最良の選択肢は、ソフトウェア PKCS#11 ライブラリを見つけることです。市場にはいくつかの実装があるはずです-私が働いている会社が1つを販売していることを知っています。そうすれば、PKCS#11 準拠の HSM に戻すことができ、アプリケーションに必要な変更を最小限に抑えることができます。

その他のオプションは、Microsoft の CryptoAPI または CNG、または RSA、Cryptomathic、または別のベンダーのツールキットです。おそらく、アプリケーションを書き直すにはさらに多くの作業が必要になるでしょう。CryptoAPI と CNG が無料であることを除けば、このオプションの利点はまったくわかりません。

于 2009-09-09T10:39:43.797 に答える
1

LSM-PKCS11については、http: //www.openssl.org/related/kits.htmlを参照してください。それが解決策になる可能性があります。

于 2009-09-30T16:13:29.223 に答える
1

キーを保護して暗号化操作を行うことができるSSM(ソフトウェアセキュリティモジュール)のようなものであるHashicorpのVaultと呼ばれるソリューションをテストしています。「開発者モード」(テストおよびプログラミング用)で使用できるサーバーと、最終環境で使用できる非常に厳密な「本番モード」があります。基本的なソリューションはオープン ソースです。さらに何かが必要な場合は、災害復旧、バックアップ、レプリケーションなどの方法を提供する「エンタープライズ ソリューション」があります。

彼らは、「秘密を管理し、機密データを保護する。UI、CLI、または HTTP API を使用して、トークン、パスワード、証明書、秘密およびその他の機密データを保護するための暗号化キーへのアクセスを安全に保管し、厳密に制御します。」という正確な言葉でソリューションを提供しています。 "

ダウンロードしてテストしてください。

于 2020-04-23T12:45:22.340 に答える