Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers
-
Upload
kirill-krinkin -
Category
Software
-
view
198 -
download
8
description
Transcript of Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers
![Page 1: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/1.jpg)
Название доклада
Кирилл Кринкин, Дмитрий Карташов
Академический Университет РАНЛаборатория ParallelsСанкт-Петербург
Технология виртуализации аппаратных модулей безопасности в контейнерах Linux
![Page 2: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/2.jpg)
Тренды
![Page 3: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/3.jpg)
Безопасность в Интернет
![Page 4: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/4.jpg)
OpenSSL● начат Dec'98
● большое количество поддерживаемых платформ
● Иногда встречаются ошибки:
– Entropy bug Sep'2006
– Heartbleed 2011-- 2014
● Клоны:
– LibreSSL (OpenBSD, Apr'2014)– BoringSSL (Google, Jun' 2014)
● Transport Layer Security (TLS)● Socket Security Layer (SSL)● криптофункции
● Web-серверы● Браузеры● Терминальные клиенты● ssh, ftps, https, emails, VPNs...
![Page 5: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/5.jpg)
Что такое HSMHardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций
Свойства:
● физическая (аппаратная) изоляция;● отсутствие интерфейсов доступа к памяти● средства защиты от проникновения
![Page 6: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/6.jpg)
PKCS#11 (Cryptoki)PKCS= Public-Key Cryptography Standards
PKCS#11 – платформо незивисимый API для криптографических токенов:
● HSM● Smart cards
![Page 7: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/7.jpg)
Контейнеры в LinuxКонтейнеры:
– Пространства имен (ipc, pid, network, user...)
– Apparmor and SELinux– Chroots– cgroups
![Page 8: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/8.jpg)
Идея проекта● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость;
● Контейнеры Linux – надежные и защищенные окружения
● Реализация функций HSM в контейнере – компромисс защищенности и функциональности
![Page 9: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/9.jpg)
«Доступные» аналоги
![Page 10: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/10.jpg)
Программные решения и их проблемы
● OpenDNS SEC SoftHSM
● Elliptic Ellipsys-VSM
● Trusted Virtual Security Module
● HighCloud Data Security Module
● отсутствие изоляции памяти
● нестандартный API
● TCP/IP в качестве транспорта
● Использование полновесных виртуальных машин
![Page 11: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/11.jpg)
Архитектура Virtual-HSM
![Page 12: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/12.jpg)
VHSM транспорт
![Page 13: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/13.jpg)
VHSM для пользователя
● интерфейс OpenSSL
● crypto-engine
● клиент vhsm в контейнере
![Page 14: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/14.jpg)
Организация хранилища
● SQL DB● AES GCM● только ID (pin)
![Page 15: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/15.jpg)
Администрирование
![Page 16: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/16.jpg)
Аутентификация, авторизация
![Page 17: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/17.jpg)
Анализ угроз
![Page 18: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/18.jpg)
Производительность
HMAC-SHA-1, VHSM, 1Kb/1Mb,
HMAC-SHA-1, VHSM/Crypto++
![Page 19: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.fdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/19.jpg)
Ссылки и ресурсы
● http://openvz.org/Virtual_HSM
● http://git.openvz.org/?p=vhsm