Название доклада
Кирилл Кринкин, Дмитрий Карташов
Академический Университет РАНЛаборатория ParallelsСанкт-Петербург
Технология виртуализации аппаратных модулей безопасности в контейнерах Linux
Тренды
Безопасность в Интернет
OpenSSL● начат Dec'98
● большое количество поддерживаемых платформ
● Иногда встречаются ошибки:
– Entropy bug Sep'2006
– Heartbleed 2011-- 2014
● Клоны:
– LibreSSL (OpenBSD, Apr'2014)– BoringSSL (Google, Jun' 2014)
● Transport Layer Security (TLS)● Socket Security Layer (SSL)● криптофункции
● Web-серверы● Браузеры● Терминальные клиенты● ssh, ftps, https, emails, VPNs...
Что такое HSMHardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций
Свойства:
● физическая (аппаратная) изоляция;● отсутствие интерфейсов доступа к памяти● средства защиты от проникновения
PKCS#11 (Cryptoki)PKCS= Public-Key Cryptography Standards
PKCS#11 – платформо незивисимый API для криптографических токенов:
● HSM● Smart cards
Контейнеры в LinuxКонтейнеры:
– Пространства имен (ipc, pid, network, user...)
– Apparmor and SELinux– Chroots– cgroups
Идея проекта● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость;
● Контейнеры Linux – надежные и защищенные окружения
● Реализация функций HSM в контейнере – компромисс защищенности и функциональности
«Доступные» аналоги
Программные решения и их проблемы
● OpenDNS SEC SoftHSM
● Elliptic Ellipsys-VSM
● Trusted Virtual Security Module
● HighCloud Data Security Module
● отсутствие изоляции памяти
● нестандартный API
● TCP/IP в качестве транспорта
● Использование полновесных виртуальных машин
Архитектура Virtual-HSM
VHSM транспорт
VHSM для пользователя
● интерфейс OpenSSL
● crypto-engine
● клиент vhsm в контейнере
Организация хранилища
● SQL DB● AES GCM● только ID (pin)
Администрирование
Аутентификация, авторизация
Анализ угроз
Производительность
HMAC-SHA-1, VHSM, 1Kb/1Mb,
HMAC-SHA-1, VHSM/Crypto++
Ссылки и ресурсы
● http://openvz.org/Virtual_HSM
● http://git.openvz.org/?p=vhsm