14

PCI に準拠するためにキー管理ソリューションを研究しています。私はアリーナで多くのベンダーと話をしましたが、彼らの製品は気に入っていますが、コストは私の予算を超えています. キー管理のためのオープンソースまたは低コストのソリューションを知っている人はいますか? 私は Windows/.NET 環境を使用しているので、その環境を対象としたソリューションを希望しますが、そこにあるものすべてについて聞くことに興味があります。

ありがとう

4

6 に答える 6

7

OpenStack スイートの鍵管理コンポーネントであるKeyManagerを見てください。このアプリケーションは、OpenStack の外部でスタンドアロンの鍵管理ソリューションとして使用できます。

OpenStack のコンポーネントである KeyManager は、6 か月のサイクルで新機能を計画して積極的に開発されています。

于 2014-11-19T04:20:22.337 に答える
5

私たちもあなたと同じような経験をしました。PCI コンプライアンスのための鍵管理ソリューションが必要でしたが、目にしたすべての商用製品は高すぎました。一部のキー マネージャーは、小規模なお客様向けの製品よりもコストがかかります。

最終的に、ソフトウェア ベースのキー マネージャーを作成しました。私たちが要件を作成し、オフショア開発者がそれをコーディングしました。ある時、彼らはそれを使用する他の顧客を探していました。彼らがまだいるかどうかはわかりません。

私たちが検討したオプションを説明しましょう。最初に覚えておくべきことは、PCI コンプライアンスとセキュリティは別のものであるということです。PCI に準拠していても、あまり安全ではない可能性があります。

オプション 0 - DB 列ごとにキーを割り当て、キーを DLL ファイルに保存します。アプリケーションは DLL ファイルにリンクして、データを暗号化および復号化するためのキーにアクセスします。誰も鍵を知りません。定期的なキーの交換では、新しいキーで新しい DLL を作成し、ダウンタイムを取り、古いキーを使用してすべてのデータを復号化し、新しいキーを使用してデータを再暗号化します。次に、新しいキーで新しい DLL を使用してアプリケーションを再起動します。(DB バックアップの復元を検討する場合は、古いキーを保持する必要があることに注意してください。)

Option 0 について初めて聞いたとき、PCI に準拠していることに驚きました。オプション 0 は使用しません。

オプション 0 を改善する方法。

環境に HSM がある場合は、HSM を使用して DLL ファイル内のキーを暗号化します。アプリケーションが起動すると、HSM を使用してキーが復号化されます。セキュリティを強化したい場合は、キーが必要になるたびに復号化してください。

キーが暗号化されたら、それらを DB テーブルに安全に保存できます。各キー (古いものと新しいもの) に小さい整数のキー ID を割り当てると、キー ID を暗号化されたデータと共に保存できます。これにより、段階的なキー交換が可能になり、ダウンタイムを回避できます。

多くのプロセスでキーをメモリ内に平文で保持すると、キーを見つけるメモリ スキャン攻撃にさらされる可能性が高くなります。キーを復号化する唯一のプロセスである新しいプロセスを作成できます。アプリケーションは、この新しいプロセスと通信してデータを暗号化および復号化します。この新しいプロセスは、それを保護するために小さな「表面積」を持つボックス上で行う必要があります。現在、機密データがネットワークを経由しているため、この通信は暗号化する必要があります。SSL は適切なオプションです。

于 2012-12-09T18:47:03.383 に答える
5

これは古いスレッドだと思いますが、いくつかのオプションがあります。

  1. 完全に無料でオープンソースの鍵管理ソリューションはhttp://sourceforge.net/projects/strongkeyにあります。確かに、ソフトウェアは少し古く、セットアップがかなり複雑です。これは、鍵管理サーバーと通信するため、およびクライアント デバイスで鍵を保護するために、アプリケーション クライアントにデジタル証明書を発行するための PKI があることを前提としているためです。
  2. 元の StrongKey ソフトウェアは 3 年前に大幅に簡素化され、暗号化ハードウェア モジュール (TPM および HSM) を備えたアプライアンスに統合されて、より強力なキー管理が提供されました。残念ながら、アプライアンスのソフトウェアはすべて FOSS ですが、統合ソリューション自体は無料ではありません。価格は Web サイト ( http://www.strongauth.com/products/key-appliance.html ) に記載されています。

ただし、オプション #2 には、PCI に完全に準拠しながらパブリック クラウドを活用できるため、多くの利点があります (「Regulatory Compliant Cloud Computing (RC3)」を検索し、IBM のリンクをクリックしてください。リンクは 2 つしか投稿できません)。私の回答では) このアプライアンスを活用する方法については、サンフランシスコで開催された RSA 2013 で発表されています。

それが役立つことを願っています。

于 2013-01-28T00:35:03.767 に答える
3

検索で見つけたので、このリストに追加します。他の人は、拡張されたリストから恩恵を受けるかもしれません.

最近、アルファ版と思われるKeyWhizを見つけました。

于 2015-04-15T18:40:36.740 に答える
0

SNipeit は、オープン ソースであり、非常に堅牢で、非技術者でも非常に使いやすい、私が見た中で最高のものです。

https://snipeitapp.com/demo/

そこをチェックしてください。

于 2015-09-03T14:14:01.920 に答える