virtual-hsm: virtualization of hardware security modules in linux containers
DESCRIPTION
In the report the technology of virtual security modules will be presented. It rely on Linux containers. The report should be interesting for those people who are planning (or already using) could services for building IT-infrastructure.TRANSCRIPT
![Page 1: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/1.jpg)
Название доклада
Кирилл Кринкин, Дмитрий Карташов
Академический Университет РАНЛаборатория ParallelsСанкт-Петербург
Технология виртуализации аппаратных модулей безопасности в контейнерах Linux
![Page 2: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/2.jpg)
Тренды
![Page 3: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/3.jpg)
Безопасность в Интернет
![Page 4: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/4.jpg)
OpenSSL● начат Dec'98
● большое количество поддерживаемых платформ
● Иногда встречаются ошибки:
– Entropy bug Sep'2006
– Heartbleed 2011-- 2014
● Клоны:
– LibreSSL (OpenBSD, Apr'2014)– BoringSSL (Google, Jun' 2014)
● Transport Layer Security (TLS)● Socket Security Layer (SSL)● криптофункции
● Web-серверы● Браузеры● Терминальные клиенты● ssh, ftps, https, emails, VPNs...
![Page 5: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/5.jpg)
Что такое HSMHardware Security Module – физическое устройство для управления цифровыми ключами и выполнения криптофункций
Свойства:
● физическая (аппаратная) изоляция;● отсутствие интерфейсов доступа к памяти● средства защиты от проникновения
![Page 6: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/6.jpg)
PKCS#11 (Cryptoki)PKCS= Public-Key Cryptography Standards
PKCS#11 – платформо незивисимый API для криптографических токенов:
● HSM● Smart cards
![Page 7: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/7.jpg)
Контейнеры в LinuxКонтейнеры:
– Пространства имен (ipc, pid, network, user...)
– Apparmor and SELinux– Chroots– cgroups
![Page 8: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/8.jpg)
Идея проекта● Аппаратные HSM – зарекомендовавшие себя средства защиты, имеющие высокую стоимость;
● Контейнеры Linux – надежные и защищенные окружения
● Реализация функций HSM в контейнере – компромисс защищенности и функциональности
![Page 9: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/9.jpg)
«Доступные» аналоги
![Page 10: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/10.jpg)
Программные решения и их проблемы
● OpenDNS SEC SoftHSM
● Elliptic Ellipsys-VSM
● Trusted Virtual Security Module
● HighCloud Data Security Module
● отсутствие изоляции памяти
● нестандартный API
● TCP/IP в качестве транспорта
● Использование полновесных виртуальных машин
![Page 11: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/11.jpg)
Архитектура Virtual-HSM
![Page 12: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/12.jpg)
VHSM транспорт
![Page 13: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/13.jpg)
VHSM для пользователя
● интерфейс OpenSSL
● crypto-engine
● клиент vhsm в контейнере
![Page 14: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/14.jpg)
Организация хранилища
● SQL DB● AES GCM● только ID (pin)
![Page 15: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/15.jpg)
Администрирование
![Page 16: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/16.jpg)
Аутентификация, авторизация
![Page 17: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/17.jpg)
Анализ угроз
![Page 18: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/18.jpg)
Производительность
HMAC-SHA-1, VHSM, 1Kb/1Mb,
HMAC-SHA-1, VHSM/Crypto++
![Page 19: Virtual-HSM: Virtualization of Hardware Security Modules in Linux Containers](https://reader031.vdocuments.net/reader031/viewer/2022013105/549cfcf9b4795991318b48f3/html5/thumbnails/19.jpg)
Ссылки и ресурсы
● http://openvz.org/Virtual_HSM
● http://git.openvz.org/?p=vhsm