IBM Global Security Kit, Versão 8 - Integração do Dispositivo PKCS#11

Comments

A versão 8 do componente IBM Global Security Toolkit (GSKit) pode se integrar a dispositivos criptográficos de hardware que suportam o padrão de mercado PKCS#11 e explorá-los.

Os dispositivos de hardware com o padrão PKCS#11 oferecem uma série de recursos para várias plataformas de sistema operacional. Consulte o fornecedor do dispositivo PKCS#11 para obter detalhes específicos da sua oferta. Estas são algumas das características mais comuns:

  • Armazenamento mais seguro e uso protegido das chaves (algumas com proteção contra violação).
  • Transferência de operações que consomem muita CPU para o hardware do dispositivo. Por exemplo: a maioria dos dispositivos suporta operações de chave assimétrica.
  • Alguns dispositivos contam com o recurso de compartilhamento de carga quando há mais de um dispositivo instalado.

O uso do PKCS#11 pelo GSKit está limitado às funções necessárias para a comunicação segura via SSL (onde estiverem disponíveis):

  • Geração e armazenamento seguro de chaves assimétricas
  • Armazenamento de certificados
  • Operações de chaves assimétricas (assinar & verificar e decriptografia durante o intercâmbio de chaves de SSL)
  • Geração de números aleatórios
  • Funções hash (ou seja, cálculo de compilação)
  • Operações de chaves simétricas

Os certificados de âncora de confiança (certificados raiz) só devem ser armazenados no dispositivo quando o mesmo oferece proteção contra modificação/substituição de certificados por meio da definição do atributo CKA_TRUSTED do PKCS#11. O suporte e a configuração desse atributo são específicos de cada fornecedor. Em caso de dúvida, não use o dispositivo PKCS#11 para armazenar certificados de âncora de confiança; em vez disso, use um armazenamento de chaves do GSKit.

A equipe do componente GSKit realiza testes de interoperabilidade em hardwares, firmwares e níveis de driver específicos para cada dispositivo. As equipes de produtos IBM normalmente fazem testes em um subconjunto desses dispositivos. Se ocorrer um problema de integração, a equipe de produtos IBM, a equipe do componente GSKit IBM e o fornecedor do dispositivo PKCS#11 trabalham juntos para corrigir o defeito. Todos os defeitos de produtos IBM devem ser relatados por meio dos canais padrão de suporte para produtos IBM.

Plataformas de sistema operacional

Este artigo não cobre as variantes do GSKIt referentes ao z/OS® ou OS/400® . Em geral, a lista de plataformas que um produto IBM integra a um dispositivo PKCS#11 é a interseção das plataformas suportadas pelo produto IBM e as plataformas suportadas pelo dispositivo PKCS#11. As exceções conhecidas são indicadas abaixo, na seção "Observações sobre placas", ou na documentação do produto IBM.

Dispositivos criptográficos de hardware testados com o GSKit versão 8

Encaminhe as perguntas relacionadas à instalação e configuração dessas placas e softwares ao fornecedor do dispositivo.

  • SafeNet
    • PSG PCI HSM 600
    • LunaSA HSM
  • Sun®
    • A criptografia on-chip dentro do processador CMTSun Ultra-SPARC T1 e T2 (Solaris 10 em Sparc)

Recursos para download


Comentários

Acesse ou registre-se para adicionar e acompanhar os comentários.

static.content.url=http://www.ibm.com/developerworks/js/artrating/
SITE_ID=80
Zone=Tivoli, WebSphere
ArticleID=599341
ArticleTitle=IBM Global Security Kit, Versão 8 - Integração do Dispositivo PKCS#11
publish-date=12062010