virtual-hsm: virtualization of hardware security modules in linux containers

Report

Post on 25-Dec-2014

185 Views

Category:

Software

8 Downloads

Preview:

Click to see full reader

DESCRIPTION

In the report the technology of virtual security modules will be presented. It rely on Linux containers. The report should be interesting for those people who are planning (or already using) could services for building IT-infrastructure.

TRANSCRIPT

Название доклада

Кирилл Кринкин, Дмитрий Карташов

Академический Университет РАНЛаборатория ParallelsСанкт-Петербург

Технология виртуализации аппаратных модулей безопасности в контейнерах Linux

Тренды

Безопасность в Интернет

OpenSSL● начат Dec'98

● большое количество поддерживаемых платформ

● Иногда встречаются ошибки:

– Entropy bug Sep'2006

– Heartbleed 2011-- 2014

● Клоны:

– LibreSSL (OpenBSD, Apr'2014)– BoringSSL (Google, Jun' 2014)

● Transport Layer Security (TLS)● Socket Security Layer (SSL)● криптофункции

● Web-серверы● Браузеры● Терминальные клиенты● ssh, ftps, https, emails, VPNs...

Что такое HSMHardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций

Свойства:

● физическая (аппаратная) изоляция;● отсутствие интерфейсов доступа к памяти● средства защиты от проникновения

PKCS#11 (Cryptoki)PKCS= Public-Key Cryptography Standards

PKCS#11 – платформо незивисимый API для криптографических токенов:

● HSM● Smart cards

Контейнеры в LinuxКонтейнеры:

– Пространства имен (ipc, pid, network, user...)

– Apparmor and SELinux– Chroots– cgroups

Идея проекта● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость;

● Контейнеры Linux – надежные и защищенные окружения

● Реализация функций HSM в контейнере – компромисс защищенности и функциональности

«Доступные» аналоги

Программные решения и их проблемы

● OpenDNS SEC SoftHSM

● Elliptic Ellipsys-VSM

● Trusted Virtual Security Module

● HighCloud Data Security Module

● отсутствие изоляции памяти

● нестандартный API

● TCP/IP в качестве транспорта

● Использование полновесных виртуальных машин

Архитектура Virtual-HSM

VHSM транспорт

VHSM для пользователя

● интерфейс OpenSSL

● crypto-engine

● клиент vhsm в контейнере

Организация хранилища

● SQL DB● AES GCM● только ID (pin)

Администрирование

Аутентификация, авторизация

Анализ угроз

Производительность

HMAC-SHA-1, VHSM, 1Kb/1Mb,

HMAC-SHA-1, VHSM/Crypto++

Ссылки и ресурсы

● http://openvz.org/Virtual_HSM

● http://git.openvz.org/?p=vhsm

http://openvz.org/Virtual_HSM
http://git.openvz.org/?p=vhsm

Спасибо

● Кирилл Кринкин   kirill.krinkin@gmail.com

● Дмитрий Карташов mapseamoff@mail.ru

mailto:kirill.krinkin@gmail.com
mailto:mapseamoff@mail.ru

top related

virtualization ( 가상화 )
Documents
57168996 containers
Documents
cpu virtualization - intel · cpu virtualization yu ke
Documents
seamless virtualization
Technology
manual containers
Documents
"lightweight virtualization with linux containers and...
Technology
grid computing & virtualization
Documents
devops'ing containers
Technology
ores containers
Documents
application virtualization
Documents
virtualization technology
Documents
network virtualization
Documents
5. io virtualization
Engineering
ch9. multiprocessor virtualization
Technology
07 containers
Entertainment & Humor
infiniband virtualization
Technology
虛擬化技術 virtualization technique system...
Documents
virtualization solutions
Documents
xen virtualization
Documents
open source virtualization
Technology