Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

1,210 views

Published on

In the report the technology of virtual security modules will be presented. It rely on Linux containers. The report should be interesting for those people who are planning (or already using) could services for building IT-infrastructure.

Published in: Software
  • Hello there! Get Your Professional Job-Winning Resume Here! http://bit.ly/topresum
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers

  1. 1. Технология виртуализации аппаратных Название модулей доклада безопасности в контейнерах Linux Кирилл Кринкин, Дмитрий Карташов Академический Университет РАН Лаборатория Parallels Санкт-Петербург
  2. 2. Тренды
  3. 3. Безопасность в Интернет
  4. 4. OpenSSL ● начат Dec'98 ● большое количество поддерживаемых платформ ● Иногда встречаются ошибки: – Entropy bug Sep'2006 – Heartbleed 2011-- 2014 ● Клоны: – LibreSSL (OpenBSD, Apr'2014) – BoringSSL (Google, Jun' 2014) ● Web-серверы ● Браузеры ● Терминальные клиенты ● ssh, ftps, https, emails, VPNs... ● Transport Layer Security (TLS) ● Socket Security Layer (SSL) ● криптофункции
  5. 5. Что такое HSM Hardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций Свойства: ● физическая (аппаратная) изоляция; ● отсутствие интерфейсов доступа к памяти ● средства защиты от проникновения
  6. 6. PKCS#11 (Cryptoki) PKCS= Public-Key Cryptography Standards PKCS#11 – платформо незивисимый API для криптографических токенов: ● HSM ● Smart cards
  7. 7. Контейнеры в Linux Контейнеры: – Пространства имен (ipc, pid, network, user...) – Apparmor and SELinux – Chroots – cgroups
  8. 8. Идея проекта ● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость; ● Контейнеры Linux – надежные и защищенные окружения ● Реализация функций HSM в контейнере – компромисс защищенности и функциональности
  9. 9. «Доступные» аналоги
  10. 10. Программные решения и их проблемы ● OpenDNS SEC SoftHSM ● Elliptic Ellipsys-VSM ● Trusted Virtual Security Module ● HighCloud Data Security Module ● отсутствие изоляции памяти ● нестандартный API ● TCP/IP в качестве транспорта ● Использование полновесных виртуальных машин
  11. 11. Архитектура Virtual-HSM
  12. 12. VHSM транспорт
  13. 13. VHSM для пользователя ●интерфейс OpenSSL ● crypto-engine ● клиент vhsm в контейнере
  14. 14. Организация хранилища ● SQL DB ● AES GCM ● только ID (pin)
  15. 15. Администрирование
  16. 16. Аутентификация, авторизация
  17. 17. Анализ угроз
  18. 18. Производительность HMAC-SHA-1, VHSM, 1Kb/1Mb, HMAC-SHA-1, VHSM/Crypto++
  19. 19. Ссылки и ресурсы ● http://openvz.org/Virtual_HSM ● http://git.openvz.org/?p=vhsm
  20. 20. Спасибо ● Кирилл Кринкин kirill.krinkin@gmail.com ● Дмитрий Карташов mapseamoff@mail.ru

×