PKCS11 Sicurezza PIN

0

I moduli di sicurezza hardware sono resistenti alle manomissioni e il PIN PKCS11 è necessario per utilizzare le chiavi. se un'applicazione software vuole eseguire alcune funzioni crittografiche, dovrebbe conoscere il PIN. ma l'applicazione è in esecuzione in un ambiente non sicuro e la memorizzazione dei PIN in questi ambienti è rischiosa. Non c'è una contraddizione tra la memorizzazione di chiavi in un hardware antimanomissione e l'archiviazione del PIN in un ambiente software non sicuro? In che modo questo problema può essere risolto?

    
posta sfallahdoost 19.01.2015 - 13:10
fonte

1 risposta

1

In molti casi, questo problema viene risolto facendo in modo che HSM richieda il PIN solo all'accensione. Quindi un operatore umano deve digitare il PIN per sbloccare l'HSM. Se il server viene riavviato o il modulo HSM viene fisicamente rubato, richiederà nuovamente il PIN per sbloccarlo. Il server può anche essere configurato per il riavvio automatico quando viene rilevato un compromesso, ad esempio dal segnale di un IDS, un firewall o altro.

Ma il vantaggio principale di HSM è quello che dice Andre Daniel: che la chiave è "bloccata" nell'HSM, quindi l'intero HSM deve essere rubato e ovviamente si noterà se manca un HSM. Ma non ti accorgerai se una chiave viene copiata.

È importante progettare l'HSM in modo tale che l'aggressore non possa ottenere un accesso continuo alla risorsa protetta. Esempio: se si dispone di un FDE costituito da una chiave del disco, che crittografa i settori, quindi la chiave del disco viene crittografata da una chiave master, che viene archiviata in un HSM. Questa è una soluzione INSECURE, dal momento che un utente malintenzionato che vuole rubare la chiave può semplicemente chiedere all'HSM di decrittografare la chiave del disco e quindi copiare la chiave del disco. Per ottenere sicurezza in questo caso, è necessario archiviare la chiave del disco anche nell'HSM e alimentare i singoli settori per la crittografia o la decrittografia.

    
risposta data 19.01.2015 - 16:31
fonte

Leggi altre domande sui tag