virtual-hsm: virtualization of hardware security modules in linux containers
DESCRIPTION
In the report the technology of virtual security modules will be presented. It rely on Linux containers. The report should be interesting for those people who are planning (or already using) could services for building IT-infrastructure.TRANSCRIPT
Название доклада
Кирилл Кринкин, Дмитрий Карташов
Академический Университет РАНЛаборатория ParallelsСанкт-Петербург
Технология виртуализации аппаратных модулей безопасности в контейнерах Linux
Тренды
Безопасность в Интернет
OpenSSL● начат Dec'98
● большое количество поддерживаемых платформ
● Иногда встречаются ошибки:
– Entropy bug Sep'2006
– Heartbleed 2011-- 2014
● Клоны:
– LibreSSL (OpenBSD, Apr'2014)– BoringSSL (Google, Jun' 2014)
● Transport Layer Security (TLS)● Socket Security Layer (SSL)● криптофункции
● Web-серверы● Браузеры● Терминальные клиенты● ssh, ftps, https, emails, VPNs...
Что такое HSMHardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций
Свойства:
● физическая (аппаратная) изоляция;● отсутствие интерфейсов доступа к памяти● средства защиты от проникновения
PKCS#11 (Cryptoki)PKCS= Public-Key Cryptography Standards
PKCS#11 – платформо незивисимый API для криптографических токенов:
● HSM● Smart cards
Контейнеры в LinuxКонтейнеры:
– Пространства имен (ipc, pid, network, user...)
– Apparmor and SELinux– Chroots– cgroups
Идея проекта● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость;
● Контейнеры Linux – надежные и защищенные окружения
● Реализация функций HSM в контейнере – компромисс защищенности и функциональности
«Доступные» аналоги
Программные решения и их проблемы
● OpenDNS SEC SoftHSM
● Elliptic Ellipsys-VSM
● Trusted Virtual Security Module
● HighCloud Data Security Module
● отсутствие изоляции памяти
● нестандартный API
● TCP/IP в качестве транспорта
● Использование полновесных виртуальных машин
Архитектура Virtual-HSM
VHSM транспорт
VHSM для пользователя
● интерфейс OpenSSL
● crypto-engine
● клиент vhsm в контейнере
Организация хранилища
● SQL DB● AES GCM● только ID (pin)
Администрирование
Аутентификация, авторизация
Анализ угроз
Производительность
HMAC-SHA-1, VHSM, 1Kb/1Mb,
HMAC-SHA-1, VHSM/Crypto++
Ссылки и ресурсы
● http://openvz.org/Virtual_HSM
● http://git.openvz.org/?p=vhsm