软件安全模块/工具包替代 HSM 用于开发加密功能

Question

我工作并完成了一个 PKI 项目，该项目使用 HSM 来生成 - 存储密钥和执行加密功能。我使用 PKCS#11 与我们的应用程序交互以进行签名/验证和加密/解密。我们的平台是windows。

现在，我们希望通过用软件安全模块替换 HSM 来提供低成本替代解决方案。我必须在这里指出，我知道不使用 HSM 的缺点。这是安全性与成本之间的权衡。

我发现 Microsoft 提供了下一代 CryptoAPI (CNG)、密钥存储和证书服务。我的高级管理层不倾向于使用开源软件。我还发现 RSA 和 cryptomathic 提供工具包来执行基于软件的解决方案。

有人遇到过任何商业软件安全模块工具包来执行密钥生成、密钥存储和加密功能吗？

编程语言 - c/c++

谢谢

Raj

Answer 1

您可以使用 SoftHSM，它是纯软件 PKCS #11 实现。 OpenDNSSEC 项目正在使用它，以便在真正的 HSM 不可用的情况下进行替换，因此它也可能适合您。然而，它是 BSD 许可的，所以我猜你的管理层可能不喜欢它。

如果您正在寻找低成本且商业化的产品（我不确定您是否专门寻找专有的东西，即 CryptoAPI，或者是商业支持的东西，而 CryptoAPI 不是，除非您与Microsoft），重写您的应用程序以使用 Win32 CryptoAPI 对我来说似乎是唯一可行的选择。根据我的经验，RSA 的工具包并不便宜。

Answer 2

我有一位客户使用 Mozilla 的 NSS 附带的软件 PKCS#11 实现作为 HSM 的直接替代品。它们在 Linux 上使用 ruby​​-pkcs11，因此您的情况可能会有所不同。

Answer 3

您最好的选择应该是找到软件 PKCS#11 库。市场上应该有几种实现方式 - 我知道我工作的公司出售一种。这样，您仍然能够切换回符合 PKCS#11 的 HSM，并且对应用程序的必要修改应该最少。

您的其他选择是 Microsoft 的 CryptoAPI 或 CNG 或 RSA、Cryptomathic 或其他供应商的工具包。这可能需要更多的工作来重写应用程序 - 除了 CryptoAPI 和 CNG 是免费的之外，我真的看不出这个选项有任何优势。

Answer 4

看看http://www.openssl.org/lated/kits.html 适用于 LSM-PKCS11。这可能是一个解决方案。

Answer 5

我正在测试一个名为 Hashicorp 的 Vault 的解决方案，该解决方案类似于 SSM（软件安全模块），可以保护密钥并进行加密操作。它有一个可以在“开发者模式”（用于测试和编程）下使用的服务器和一个可以在最终环境中使用的非常严格的“生产模式”。基本解决方案是开源，如果您需要更多东西，可以使用“企业解决方案”，它们提供更多灾难恢复、备份、复制等方法。

他们用这句话提供了解决方案：
“管理机密并保护敏感数据 使用 UI、CLI 或 HTTP API 保护、存储和严格控制对令牌、密码、证书、加密密钥的访问，以保护机密和其他敏感数据。”

下载并测试它。