Модуль безопасности программного обеспечения / набор инструментов, заменяющий HSM для разработки криптографических функций

Question

Я работал и завершил проект PKI, который использовал HSM для генерации - хранения ключей и выполнения криптографических функций. Я использовал PKCS # 11 для взаимодействия с нашим приложением для подписи / проверки и шифрования / дешифрования. Наша платформа Windows.

Теперь мы ищем альтернативное решение по низкой цене, заменив HSM модулем безопасности программного обеспечения. Здесь я должен отметить, что мне известны недостатки использования HSM. Это компромисс между безопасностью и стоимостью.

Я обнаружил, что Microsoft предоставляет CryptoAPI следующего поколения (CNG), хранилище ключей и службы сертификатов. Мое старшее руководство не склонно использовать программное обеспечение с открытым исходным кодом. Я также нашел RSA и наборы инструментов для криптоматики, предлагающие программные решения.

Кто-нибудь сталкивался с какими-либо коммерческими наборами инструментов для модуля безопасности программного обеспечения для выполнения функций генерации ключей, хранения ключей и шифрования?

Язык программирования - c / c ++

Спасибо

Raj

Answer 1

Вы можете использовать SoftHSM , который является чисто программной реализацией PKCS # 11. Он используется проектом OpenDNSSEC именно для замены в случае, если настоящий HSM недоступен, поэтому он может работать и для вас. Тем не менее, он имеет лицензию BSD, поэтому, думаю, вашему руководству это может не понравиться.

Если вы ищете недорогой и в то же время коммерческий продукт (я не уверен, что вы специально ищете что-то проприетарное, то есть CryptoAPI, или что-то коммерчески поддерживаемое, то есть CryptoAPI, если у вас нет контракт с Microsoft), переписывание вашего приложения для использования Win32 CryptoAPI представляется мне единственно возможным вариантом. По моему опыту, наборы инструментов RSA недешевы.

Answer 2

У меня есть клиент, который использовал программную реализацию PKCS # 11, поставляемую с NSS Mozilla, в качестве замены для HSM. Они в Linux используют ruby-pkcs11, поэтому ваш пробег может отличаться.

Answer 3

Лучший вариант - найти программную библиотеку PKCS # 11. На рынке должно быть несколько реализаций - я знаю, что компания, в которой я работаю, продает одну. Таким образом, вы все равно сможете вернуться к HSM, совместимому с PKCS # 11, и необходимые изменения в приложении должны быть минимальными.

Другие варианты: CryptoAPI или CNG от Microsoft или инструментарий от RSA, Cryptomathic или другого поставщика. Вероятно, для переписывания приложения потребовалось бы больше работы - я не вижу никаких преимуществ в этом варианте, за исключением того, что CryptoAPI и CNG бесплатны.

Answer 4

Взгляните на http://www.openssl.org/related/kits.html для LSM-PKCS11. Это может быть решением.