OTRS Academy » Dokumentáció » STORM kézikönyv » Hardveres biztonsági modul (HSM) támogatás a személyes kulcsokhoz

Hardveres biztonsági modul (HSM) támogatás a személyes kulcsokhoz

január 5, 2024

Ha a kiszolgáló fájlrendszeréhez való ellenőrzött hozzáférés nem tekinthető elegendő biztonságnak, a biztonsági vezetők számára előnyös a hardveres biztonsági modul (HSM) támogatása a személyes kulcsokhoz. Ennek segítségével olyan tanúsítványokkal és egyéb kriptográfiai műveletekkel hitelesíthetnek, amelyekhez HSM van telepítve vagy csatlakoztatva. Ez biztonságosabb személyes kulcsokat és jelszavakat biztosít, ahelyett hogy a tanúsítványokat és a hozzájuk tartozó kulcsokat és jelszavakat a kiszolgáló fájlrendszerén tárolnák.

Követelmények

  • Beállított e-mail-címek az e-mailek küldéséhez és fogadásához.

  • Nitrokey HSM USB-kártya az S/MIME-hoz:

    • Személyes kulcs a kártyán tárolt beállított e-mailhez.

    • Tanúsítvány a kártyán tárolt beállított e-mailhez.

    • Beállított S/MIME támogatás az OTRS-ben.

  • Nitrokey Start USB kártya a PGP-hez:

    • Személyes kulcs a kártyán tárolt beállított e-mailhez.

    • Beállított PGP támogatás az OTRS-ben.

    • Hozzáadott nyilvános PGP-kulcs az OTRS-ben.

  • Az OpenSC eszközök telepítése:

    opensc-tool
opensc-explorer
pkcs11-tool
pkcs15-tool
libp11

S/SMIME

Ez a szakasz azt mutatja be, hogy a NitroKey HSM-kártyát hogyan kell használni S/MIME-mal.

Előkészítés

A NitroKey HSM-kártya OTRS-sel történő használatához először az OpenSSL-t kell úgy beállítani, hogy a libp11 programkönyvtárral működjön. Bár ennek többféle módja is van, ajánlott egy egyéni beállítófájlt létrehozni, és az elejére a fő OpenSSL beállítófájlt felvenni. Egy példa erre az egyéni beállítófájlra az alábbiakban látható:

openssl_conf = openssl_init

[openssl_init]
engines = engine_section

[engine_section]
pkcs11 = pkcs11_section

[pkcs11_section]
engine_id = pkcs11
dynamic_path = <libpkcs11_PATH>
MODULE_PATH = opensc-pkcs11.so
init = 0

[req]
distinguished_name = req_distinguished_name

[req_distinguished_name]

Ahol a <libpkcs11_PATH> a libp11 programkönyvtár által biztosított motormodulra mutató útvonal, mint például:

/usr/lib/ssl/engines/libpkcs11.so
/usr/local/lib/engines-1.1/libpkcs11.dylib
...

A verziótól, az operációs rendszertől és a telepítés módjától függően ez az Ön esetében eltérő lehet. Olvassa el a lib11 dokumentációját, hogy megtalálja a telepítésének megfelelő elérési utakat.

Mentse el a fájlt például az /etc/openssl/hsm.cnf fájlba, és vegyen fel egy hivatkozást erre a fájlra az OpenSSL eredeti beállítófájljának elején, mint például:

# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
# Note that you can include other files from the main configuration
# file using the .include directive.
# .include filename
.include /etc/openssl/hsm.cnf

Beállítások

  1. Állítsa be a helyes útvonalat, és engedélyezze az SMIME::PKCS15ToolBin beállítást. Ha a pkcs15-tool helyesen van telepítve, akkor az útvonal a which pkcs15-tool parancs végrehajtásával található meg. Az eredményt ki kell másolni és be kell illeszteni a beállításba.

  2. Állítsa be a helyes útvonalat, és engedélyezze az SMIME::HSMPrivatePath beállítást. Ajánlott egy új, az SMIME::PrivatePath könyvtártól eltérő könyvtárat létrehozni, hogy elkerülje a félreértéseket és a beállításokból megmarad dolgokat.

  3. Állítsa be a HSM kártya helyes sorozatszámát és a felhasználói PIN-kódot az SMIME::HSMCard::PIN beállításban. A jelenlegi kártya sorozatszáma a Maint::SMIME::HSMCard::Check konzolparancs használatával szerezhető be. A jelenlegi felhasználói PIN-kód az, amelyet az előkészítésnél használtak. A példakártyák kártya sorozatszámai eltávolíthatók.

  4. Engedélyezze a HSM-kártya használatát az SMIME::UseHSM beállításban.

Környezet ellenőrzése

Hajtsa végre a Maint::SMIME::HSMCard::Check konzolparancsot. A kimenetnek ehhez hasonlónak kell lennie:

Reading HSM card information...
+-----------------+--------------------+
| Label | SmartCard-HSM                |
| Serial number   | DENK0100003        |
| Manufacturer ID | www.CardContact.de |
| User PIN        | Verified           |
+-----------------+--------------------+
Checking OpenSSL engines...
+--------------------------------+-------------+
| Dynamic engine loading support | Available   |
| pkcs11 engine                  | Available   |
| Intel RDRAND engine            | Available   |
+--------------------------------+-------------+
Done

Fontos, hogy a User PIN ellenőrzött és a pkcs11 motor elérhető legyen. Ha bármely más felsorolt motor nem érhető el, akkor az nem feltétlenül jelent problémát.

HSM-kártya tanúsítványok és kulcsok importálása

Míg az üzenetek aláírása és visszafejtése a HSM-kártyán történik, az OTRS-nek továbbra is importálnia kell bizonyos információkat a HSM-kártyáról. A nyilvános tanúsítványokat át kell másolni a kártyáról a fájlrendszerbe. Ezt a szokásos SMIME::CertPath beállítással lehet megtenni.

Egy csonkfájlt kell előállítani néhány személyes kulcs metaadatával, és elhelyezni az SMIME::HSMPrivatePath beállításban megadott útvonalon. Ezek a metaadatok tartalmazzák a HSM-kártya sorozatszámát, a kulcs azonosítóját, címkéjét, kivonatát, modulusát stb.

A feladat elvégzéséhez egy új Maint::SMIME::HSMCard::Sync konzolparancs lett létrehozva. A kimenetnek ehhez hasonlónak kell lennie:

Syncronizing certificates and private keys metadata...
  Reading HSM card information... OK
  Reading HSM card objects... OK
  Processing HSM certificates and keys...
  ID 'a1b2e3d4'... OK
  ID 'f5d6e7c8'... OK
Done.

Használat

A HSM-kártyának most már használatra késznek kell lennie, és a használatnak átláthatónak kell lennie a felhasználók számára, például egy új e-mail jegy létrehozásakor.

Győződjön meg arról, hogy olyan várólistát használjon, ahol a rendszercím rendelkezik tanúsítvánnyal és személyes kulccsal a HSM modulban, valamint a biztonsági beállítások mezőben válassza az e-mail S/MIME aláírását. Az űrlap elküldése kissé lassabb lehet, mivel a HSM-kártyát fel kell oldani és végre kell hajtani a műveletet.

PGP

Ez a szakasz azt mutatja be, hogy a NitroKey HSM-kártyát hogyan kell használni PGP-vel.

Beállítások

Be kell állítani a kártya felhasználói PIN-kódját a tárolt kulcs jelszavaként a PGP::Key::Password beállításban. Például ha a kulcs azonosítója 11223344, a kártya felhasználói PIN-kódja pedig 123456, akkor hozzon létre egy új elemet a beállításban, és az első részben állítsa be az 11223344 kulcsot, majd értékként az 123456 értéket.

A kulcs azonosítójának beszerzéséhez:

  1. Nyissa meg a PGP kulcsok modult az adminisztrátori felületen.

  2. Nézze meg a kulcs azonosítóját a Kulcs oszlopban.

Megjegyzés

Ha a rendszer már be van állítva és működik ezzel a meglévő kulccsal, akkor a beállításnak már tartalmaznia kell egy bejegyzést az azonosítóhoz. Ebben az esetben a kulcs jelszavának már beállítva kell lennie, de a kártya felhasználói PIN-kódjának helyes működéséhez továbbra is szükség van a cserére.

Használat

A használatnak mostantól átláthatónak kell lennie a felhasználók számára, például egy új e-mail jegy létrehozásakor. Győződjön meg arról, hogy olyan várólistát használjon, ahol a rendszercímnek van nyilvános és személyes kulcspárja a biztonságos kártyán, és a biztonsági beállítások mezőben válassza ki az e-mail PGP-vel történő aláírását.

FacebookXEmailLinkedIn
Scroll to Top