Ha a kiszolgáló fájlrendszeréhez való ellenőrzött hozzáférés nem tekinthető elegendő biztonságnak, a biztonsági vezetők számára előnyös a hardveres biztonsági modul (HSM) támogatása a személyes kulcsokhoz. Ennek segítségével olyan tanúsítványokkal és egyéb kriptográfiai műveletekkel hitelesíthetnek, amelyekhez HSM van telepítve vagy csatlakoztatva. Ez biztonságosabb személyes kulcsokat és jelszavakat biztosít, ahelyett hogy a tanúsítványokat és a hozzájuk tartozó kulcsokat és jelszavakat a kiszolgáló fájlrendszerén tárolnák.
Követelmények
-
Beállított e-mail-címek az e-mailek küldéséhez és fogadásához.
-
Nitrokey HSM USB-kártya az S/MIME-hoz:
-
Személyes kulcs a kártyán tárolt beállított e-mailhez.
-
Tanúsítvány a kártyán tárolt beállított e-mailhez.
-
Beállított S/MIME támogatás az OTRS-ben.
-
-
Nitrokey Start USB kártya a PGP-hez:
-
Személyes kulcs a kártyán tárolt beállított e-mailhez.
-
Beállított PGP támogatás az OTRS-ben.
-
Hozzáadott nyilvános PGP-kulcs az OTRS-ben.
-
-
Az OpenSC eszközök telepítése:
opensc-tool opensc-explorer pkcs11-tool pkcs15-tool libp11
S/SMIME
Ez a szakasz azt mutatja be, hogy a NitroKey HSM-kártyát hogyan kell használni S/MIME-mal.
Előkészítés
A NitroKey HSM-kártya OTRS-sel történő használatához először az OpenSSL-t kell úgy beállítani, hogy a libp11
programkönyvtárral működjön. Bár ennek többféle módja is van, ajánlott egy egyéni beállítófájlt létrehozni, és az elejére a fő OpenSSL beállítófájlt felvenni. Egy példa erre az egyéni beállítófájlra az alábbiakban látható:
openssl_conf = openssl_init
[openssl_init]
engines = engine_section
[engine_section]
pkcs11 = pkcs11_section
[pkcs11_section]
engine_id = pkcs11
dynamic_path = <libpkcs11_PATH>
MODULE_PATH = opensc-pkcs11.so
init = 0
[req]
distinguished_name = req_distinguished_name
[req_distinguished_name]
Ahol a <libpkcs11_PATH>
a libp11
programkönyvtár által biztosított motormodulra mutató útvonal, mint például:
/usr/lib/ssl/engines/libpkcs11.so
/usr/local/lib/engines-1.1/libpkcs11.dylib
...
A verziótól, az operációs rendszertől és a telepítés módjától függően ez az Ön esetében eltérő lehet. Olvassa el a lib11
dokumentációját, hogy megtalálja a telepítésének megfelelő elérési utakat.
Mentse el a fájlt például az /etc/openssl/hsm.cnf
fájlba, és vegyen fel egy hivatkozást erre a fájlra az OpenSSL eredeti beállítófájljának elején, mint például:
# OpenSSL example configuration file.
# This is mostly being used for generation of certificate requests.
#
# Note that you can include other files from the main configuration
# file using the .include directive.
# .include filename
.include /etc/openssl/hsm.cnf
Beállítások
-
Állítsa be a helyes útvonalat, és engedélyezze az
SMIME::PKCS15ToolBin
beállítást. Ha a pkcs15-tool helyesen van telepítve, akkor az útvonal awhich pkcs15-tool
parancs végrehajtásával található meg. Az eredményt ki kell másolni és be kell illeszteni a beállításba. -
Állítsa be a helyes útvonalat, és engedélyezze az
SMIME::HSMPrivatePath
beállítást. Ajánlott egy új, azSMIME::PrivatePath
könyvtártól eltérő könyvtárat létrehozni, hogy elkerülje a félreértéseket és a beállításokból megmarad dolgokat. -
Állítsa be a HSM kártya helyes sorozatszámát és a felhasználói PIN-kódot az
SMIME::HSMCard::PIN
beállításban. A jelenlegi kártya sorozatszáma aMaint::SMIME::HSMCard::Check
konzolparancs használatával szerezhető be. A jelenlegi felhasználói PIN-kód az, amelyet az előkészítésnél használtak. A példakártyák kártya sorozatszámai eltávolíthatók. -
Engedélyezze a HSM-kártya használatát az
SMIME::UseHSM
beállításban.
Környezet ellenőrzése
Hajtsa végre a Maint::SMIME::HSMCard::Check
konzolparancsot. A kimenetnek ehhez hasonlónak kell lennie:
Reading HSM card information...
+-----------------+--------------------+
| Label | SmartCard-HSM |
| Serial number | DENK0100003 |
| Manufacturer ID | www.CardContact.de |
| User PIN | Verified |
+-----------------+--------------------+
Checking OpenSSL engines...
+--------------------------------+-------------+
| Dynamic engine loading support | Available |
| pkcs11 engine | Available |
| Intel RDRAND engine | Available |
+--------------------------------+-------------+
Done
Fontos, hogy a User PIN
ellenőrzött és a pkcs11
motor elérhető legyen. Ha bármely más felsorolt motor nem érhető el, akkor az nem feltétlenül jelent problémát.
HSM-kártya tanúsítványok és kulcsok importálása
Míg az üzenetek aláírása és visszafejtése a HSM-kártyán történik, az OTRS-nek továbbra is importálnia kell bizonyos információkat a HSM-kártyáról. A nyilvános tanúsítványokat át kell másolni a kártyáról a fájlrendszerbe. Ezt a szokásos SMIME::CertPath
beállítással lehet megtenni.
Egy csonkfájlt kell előállítani néhány személyes kulcs metaadatával, és elhelyezni az SMIME::HSMPrivatePath
beállításban megadott útvonalon. Ezek a metaadatok tartalmazzák a HSM-kártya sorozatszámát, a kulcs azonosítóját, címkéjét, kivonatát, modulusát stb.
A feladat elvégzéséhez egy új Maint::SMIME::HSMCard::Sync
konzolparancs lett létrehozva. A kimenetnek ehhez hasonlónak kell lennie:
Syncronizing certificates and private keys metadata...
Reading HSM card information... OK
Reading HSM card objects... OK
Processing HSM certificates and keys...
ID 'a1b2e3d4'... OK
ID 'f5d6e7c8'... OK
Done.
Használat
A HSM-kártyának most már használatra késznek kell lennie, és a használatnak átláthatónak kell lennie a felhasználók számára, például egy új e-mail jegy létrehozásakor.
Győződjön meg arról, hogy olyan várólistát használjon, ahol a rendszercím rendelkezik tanúsítvánnyal és személyes kulccsal a HSM modulban, valamint a biztonsági beállítások mezőben válassza az e-mail S/MIME aláírását. Az űrlap elküldése kissé lassabb lehet, mivel a HSM-kártyát fel kell oldani és végre kell hajtani a műveletet.
PGP
Ez a szakasz azt mutatja be, hogy a NitroKey HSM-kártyát hogyan kell használni PGP-vel.
Beállítások
Be kell állítani a kártya felhasználói PIN-kódját a tárolt kulcs jelszavaként a PGP::Key::Password
beállításban. Például ha a kulcs azonosítója 11223344, a kártya felhasználói PIN-kódja pedig 123456, akkor hozzon létre egy új elemet a beállításban, és az első részben állítsa be az 11223344 kulcsot, majd értékként az 123456 értéket.
A kulcs azonosítójának beszerzéséhez:
-
Nyissa meg a PGP kulcsok modult az adminisztrátori felületen.
-
Nézze meg a kulcs azonosítóját a Kulcs oszlopban.
Megjegyzés
Ha a rendszer már be van állítva és működik ezzel a meglévő kulccsal, akkor a beállításnak már tartalmaznia kell egy bejegyzést az azonosítóhoz. Ebben az esetben a kulcs jelszavának már beállítva kell lennie, de a kártya felhasználói PIN-kódjának helyes működéséhez továbbra is szükség van a cserére.
Használat
A használatnak mostantól átláthatónak kell lennie a felhasználók számára, például egy új e-mail jegy létrehozásakor. Győződjön meg arról, hogy olyan várólistát használjon, ahol a rendszercímnek van nyilvános és személyes kulcspárja a biztonságos kártyán, és a biztonsági beállítások mezőben válassza ki az e-mail PGP-vel történő aláírását.