bye*_*yeo 5 hardware security linux
我正在我的 DMZ 中终止 SSL/TLS,我必须假设该机器将被黑客入侵。在这一点上,我的证书被泄露了。
以前我使用 nCipher 硬件密钥库/加速器来解决这个问题。这些卡即使是 root 也不会泄露私钥。该卡在板上执行加密和解密,并加强了物理攻击。获得钥匙的唯一方法是将智能卡读卡器连接到卡本身。
我无法找到有关重新创建此方法的信息。这是当今专业交换机和防火墙的领域吗?
这个旧页面引用了一些旧硬件:http : //www.kegel.com/ssl/hw.html#cards
如果您选择了 SSL 实施,那么它将限制您对硬件的选择。优先选择官方版本长期支持的硬件。
在使用防篡改硬件来保护您的密钥之前,值得考虑一些其他问题:
被盗的证书只有在 DNS 也被劫持时才有用。(SSL 使用 Diffie-Hellman 来防止被动攻击,因此窃贼需要成为主动的中间人,冒充您。)
SSL 的安全性取决于它所信任的最弱的CA(证书颁发机构)。在过去 2 年里,浏览器有 2 个主要 CA(Comodo、DigiNotar)被公开泄露。如果可能(显然不是在网络商务中),请安装没有 CA 的证书。
为您的证书应用最短的实际到期时间。
侵入您的 SSL 终止程序的人不需要您的证书即可造成重大损害。他可以隐藏在那里,收集和过滤流量(例如获取信用卡号码),并使用隐写术以不易察觉的方式检索结果。
商业加密硬件的安全记录很糟糕。存在定时攻击、故障注入(电压、辐射)攻击和传统错误。它们是封闭的、营利性的产品;他们有强烈的动机来掩盖缺陷——正如 RSA SecureID 案例中戏剧性地揭示的那样。
| 归档时间: |
|
| 查看次数: |
379 次 |
| 最近记录: |