Avançar para a área de conteúdo

ir para o conteúdo principal

developerWorks Brasil  >  Tivoli | WebSphere  >

IBM Global Security Kit, Versão 7 - Integração do Dispositivo PKCS#11

developerWorks
Opções de documento

Opções de documento que necessitam de JavaScript não são exibidas


Classificar esta página

Ajude-nos a melhorar este conteúdo


Nível: Introdutório

GSKit Development Team, Software Group, IBM

09/Jul/2007
Atualizado 01/Mai/2009

Este artigo descreve os dispositivos criptográficos de hardware que suportam o padrão PKCS#11 e foram testados para uso com o IBM® Global Security Toolkit (GSKit), Versão 7.

Introdução

A Versão 7 do componente IBM Global Security Toolkit (GSKit) pode se integrar (e explorar) aos dispositivos criptográficos de hardware que tenham suporte ao padrão de mercado PKCS#11.

Os dispositivos de hardware PKCS#11 oferecem uma variedade de recursos através das plataformas de sistema operacional. Consulte ao fornecedor do dispositivo PKCS#11 para obter detalhes específicos da oferta. Alguns dos recursos mais comuns incluem:

  • Armazenamento de chaves mais seguro e uso protegido (parte dele, com detecção de violação).
  • Transferindo operações intensivas da CPU para hardware de dispositivo. Por exemplo, a maioria dos dispositivos tem suporte para operações de chave assimétricas.
  • Alguns dispositivos estão capacitados para compartilhamento de cargas caso haja mais de um deles instalado.

O uso do PKCS#11 do GSKit limita-se às funções necessárias (quando disponíveis) para comunicação segura via SSL:

  • Geração de chave assimétrica e armazenamento seguro
  • Armazenamento de certificado
  • Operações de chave assimétrica (Assinar e Verificar, e Decriptografia durante a troca de chaves SSL)
  • Geração de número randômico
  • Funções hash (quer dizer, cálculo digest)
  • Operações de chave simétrica

Os Certificados de Âncora de Confiança (Certificados Root) não devem estar armazenados em dispositivos que ofereçam proteção contra modificação/substituição de Certificado por meio da definição do atributo PKCS#11 CKA_TRUSTED. O suporte e definição desse atributo são atribuições exclusivas do fornecedor. Em caso de dúvida, não use o dispositivo PKCS#11 para armazenamento e de Certificado de Âncora de Confiança, em vez disso, use um armazenamento de chaves do GSKit.

A equipe de componentes do GSKit executa teste de interoperabilidade sobre hardware, firmware e níveis de driver específicos para cada dispositivo. As equipes de produtos IBM realizam testes, normalmente, em um subconjunto de dispositivos. Se um problema de integração for encontrado, a equipe de produtos da IBM, a equipe de componentes do IBM GSKit e o fornecedor do dispositivo PKCS#11 trabalharão em conjunto na resolução do problema. Todos os problemas de produtos IBM devem ser informados por meio dos canais de suporte de produtos padrão da IBM.

Plataformas do sistema operacional

Este artigo não aborda variantes do GSKit para z/OS® ou OS/400®. No geral, a lista de plataformas às quais um produto IBM se integra com um dispositivo PKCS#11 é a intersecção das plataformas com suporte nos produtos IBM e as plataformas com suporte no dispositivo PKCS#11. A exceções conhecidas estão anotadas abaixo, na seção “Observações da Placa” ou na documentação do produto IBM.

Dispositivos criptográficos de hardware testados com o GSKit, Versão 7

Consulte os problemas referentes à instalação e configuração de tais placas e software junto ao fornecedor do dispositivo.

  • nCipher
    • nCipher netHSM (500, 1600 e2000)
    • nCipher nForce (300 e 1600)
    • nCipher nShield (800, F2 e F3)
  • SafeNet
    • Orange (CSA8000)
  • Sun
    • A criptografia on-chip dentro do processador Sun Ultra-SPARC T1 CMT (Solaris 10 em Sparc)
  • IBM
    • Coprocessador Criptográfico IBM 4758 PCI (4758-002/023)
    • Coprocessador Criptográfico IBM 4764 PCI (4764-001)
    • Acelerador Criptográfico IBM e-business (4960, PCICA)
    • IBM PCICC (recurso 860 para S/390®, recurso 861 para zSeries®)
    • IBM PCICA (recurso 862 para zSeries)
    • IBM PCIXCC (recurso 868 para zSeries)
    • IBM Crypto Express2 (CEX2) (recurso 863 para zSeries)
    • IBM CP Assist for Cryptographic Function - CPACF (recurso 3863 para zSeries)

Observações sobre placas específicas

nCipher nForce, nShield e netHSM

  • Defina a variável de ambiente CKNFAST_OVERRIDE_SECURITY_ASSURANCES como weak-des;tokenkeys;silent. Essa configuração é obrigatória quando usar um dispositivo nCipher para operações de chave simétrica e o GSKit estiver ativado. Nesse modo de operação, o GSKit cria diretamente a Chave de Sessão SSL como um Objeto de Sessão PKCS#11 durante o protocolo handshake SSL. Mesmo sendo necessária a substituição da segurança, nenhum problema de segurança será causado quando a Chave da Sessão SSL for criado pelo GSKit como parte do protocolo handshake SSL. Os dispositivos nCipher não fornecem aceleração de Chave Simétrica e, portanto, o GSKit não deverá estar ativado para o modo de operação quando você utilizar dispositivos nCipher.
  • As CipherTools, Version 10.15 ou posterior são obrigatórias
  • Os mecanismos disponíveis para GSKit no nCipher "Security World" diferem com a opção do FIPS Level. Por exemplo, no FIPS 140-2 Level 3 estrito, o MD5 não está disponível e, portanto, é executado pelo software do GSKit quando exigido para os CipherSuites aprovados pelo TLS FIPS.
  • O suporte do Linux® está restrito para a libc 6.2 e superior, e para os kernels Linux 2.4.0 e posterior.

IBM PCICA e PCICC

  • GSKit, Version 7 está restrito para o Linux no zSeries. Consulte a documentação do SystemSSL para obter informações sobre o dispositivo de criptografia do z/OS.
  • Esses dispositivos requerem o driver de criptografia do Linux para zSeries - z90crypt 1.1.2.

IBM CEX2

  • GSKit, Version 7 está restrito para o Linux no zSeries. Consulte a documentação SystemSSL para obter informações sobre o dispositivo de criptografia do z/OS.
  • Há dois modos para esse dispositivo:
    • modo CEX2C - requer o driver de criptografia do Linux para zSeries - z90crypt 1.3.2
    • modo CEX2A - requer o driver de criptografia do Linux para zSeries - z90crypt 1.3.3

IBM PCICA e PCICC

  • O GSKit, Version 7 está restrito para o Linux no zSeries. Consulte a documentação do SystemSSL para obter informações sobre o dispositivo de criptografia do z/OS.
  • Há instruções em linguagem de máquina incluídas nos processadores z890, z990 e z9. O código de recurso 3863 as habilita.
  • No z990, esse recurso acelera os seguintes algoritmos criptográficos, simétricos e de hash: DES, DES3 e SHA-1
  • • Além disso, esse recurso acelera as máquinas AES128 no z9.


Sobre o autor

A GSKit Development Team projeta, desenvolve e mantém o conjunto de ferramentas criptográficas da IBM, GSKit. O GSKit é um componente comum usado em muitos produtos de software IBM.




Avalie esta página


Reserve um instante para completar este formulário para nos ajudar a servi-lo melhor.



 


 


Não
são úteis		Extremamente
úteis
 






Voltar para parte superior