IBM Global Security Kit, Versão 8 - Integração do Dispositivo PKCS#11

Este artigo descreve os dispositivos criptográficos de hardware que suportam o padrão PKCS#11 e foram testados para uso com o IBM® Global Security Toolkit (GSKit), versão 8.

GSKit Development Team, Software Group, IBM

A GSKit Development Team projeta, desenvolve e mantém o conjunto de ferramentas criptográficas da IBM, GSKit. O GSKit é um componente comum usado em muitos produtos de software IBM.



06/Dez/2010

Introdução

A versão 8 do componente IBM Global Security Toolkit (GSKit) pode se integrar a dispositivos criptográficos de hardware que suportam o padrão de mercado PKCS#11 e explorá-los.

Os dispositivos de hardware com o padrão PKCS#11 oferecem uma série de recursos para várias plataformas de sistema operacional. Consulte o fornecedor do dispositivo PKCS#11 para obter detalhes específicos da sua oferta. Estas são algumas das características mais comuns:

  • Armazenamento mais seguro e uso protegido das chaves (algumas com proteção contra violação).
  • Transferência de operações que consomem muita CPU para o hardware do dispositivo. Por exemplo: a maioria dos dispositivos suporta operações de chave assimétrica.
  • Alguns dispositivos contam com o recurso de compartilhamento de carga quando há mais de um dispositivo instalado.

O uso do PKCS#11 pelo GSKit está limitado às funções necessárias para a comunicação segura via SSL (onde estiverem disponíveis):

  • Geração e armazenamento seguro de chaves assimétricas
  • Armazenamento de certificados
  • Operações de chaves assimétricas (assinar & verificar e decriptografia durante o intercâmbio de chaves de SSL)
  • Geração de números aleatórios
  • Funções hash (ou seja, cálculo de compilação)
  • Operações de chaves simétricas

Os certificados de âncora de confiança (certificados raiz) só devem ser armazenados no dispositivo quando o mesmo oferece proteção contra modificação/substituição de certificados por meio da definição do atributo CKA_TRUSTED do PKCS#11. O suporte e a configuração desse atributo são específicos de cada fornecedor. Em caso de dúvida, não use o dispositivo PKCS#11 para armazenar certificados de âncora de confiança; em vez disso, use um armazenamento de chaves do GSKit.

A equipe do componente GSKit realiza testes de interoperabilidade em hardwares, firmwares e níveis de driver específicos para cada dispositivo. As equipes de produtos IBM normalmente fazem testes em um subconjunto desses dispositivos. Se ocorrer um problema de integração, a equipe de produtos IBM, a equipe do componente GSKit IBM e o fornecedor do dispositivo PKCS#11 trabalham juntos para corrigir o defeito. Todos os defeitos de produtos IBM devem ser relatados por meio dos canais padrão de suporte para produtos IBM.

Plataformas de sistema operacional

Este artigo não cobre as variantes do GSKIt referentes ao z/OS® ou OS/400® . Em geral, a lista de plataformas que um produto IBM integra a um dispositivo PKCS#11 é a interseção das plataformas suportadas pelo produto IBM e as plataformas suportadas pelo dispositivo PKCS#11. As exceções conhecidas são indicadas abaixo, na seção "Observações sobre placas", ou na documentação do produto IBM.

Dispositivos criptográficos de hardware testados com o GSKit versão 8

Encaminhe as perguntas relacionadas à instalação e configuração dessas placas e softwares ao fornecedor do dispositivo.

  • SafeNet
    • PSG PCI HSM 600
    • LunaSA HSM
  • Sun®
    • A criptografia on-chip dentro do processador CMTSun Ultra-SPARC T1 e T2 (Solaris 10 em Sparc)

Comentários

developerWorks: Conecte-se

Los campos obligatorios están marcados con un asterisco (*).


Precisa de um ID IBM?
Esqueceu seu ID IBM?


Esqueceu sua senha?
Alterar sua senha

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


A primeira vez que você entrar no developerWorks, um perfil é criado para você. Informações no seu perfil (seu nome, país / região, e nome da empresa) é apresentado ao público e vai acompanhar qualquer conteúdo que você postar, a menos que você opte por esconder o nome da empresa. Você pode atualizar sua conta IBM a qualquer momento.

Todas as informações enviadas são seguras.

Elija su nombre para mostrar



Ao se conectar ao developerWorks pela primeira vez, é criado um perfil para você e é necessário selecionar um nome de exibição. O nome de exibição acompanhará o conteúdo que você postar no developerWorks.

Escolha um nome de exibição de 3 - 31 caracteres. Seu nome de exibição deve ser exclusivo na comunidade do developerWorks e não deve ser o seu endereço de email por motivo de privacidade.

Los campos obligatorios están marcados con un asterisco (*).

(Escolha um nome de exibição de 3 - 31 caracteres.)

Ao clicar em Enviar, você concorda com os termos e condições do developerWorks.

 


Todas as informações enviadas são seguras.


static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Tivoli, WebSphere
ArticleID=599341
ArticleTitle=IBM Global Security Kit, Versão 8 - Integração do Dispositivo PKCS#11
publish-date=12062010