| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
- 앱스토어
- 2FA
- SwiftUI
- 안드로이드
- fido
- MYSQL
- MSYS2
- git
- SSH
- Android
- WebAuthn
- openssl
- Nodejs
- FIDO2
- SSL
- MFA
- css
- kmip
- 앨범북
- apple
- albumbook
- appres
- 앱리소스
- SWIFT
- Xcode
- OSX
- OTP
- 애플
- 인증
- otpkey
- Today
- Total
인디노트
오픈소스 PKI 문서 - 제 9 장. 지원되는 Crypto 하드웨어 및 소프트웨어 아키텍처 본문
제 9 장. 지원되는 Crypto 하드웨어 및 소프트웨어 아키텍처
- 목차
- TrustWay Crypto PCI 2000
- PowerCrypt 암호화 가속기
- CryptoSwift 전자 상거래 가속기
- 리눅스 환경에서의 스마트 카드 사용을위한 움직임 ( MUSCLE )
- Schlumberger의 Linux 스마트 카드 스타터 키트
- gpkcs11 PKCS # 11 오픈 소스 구현
- 공통 데이터 보안 아키텍처 ( CDSA )
- 싱글 사인온
- KeyMan PKI 관리 도구
- 분산 감사 서비스 (Distributed Audit Service, XDAS )
- 일반 보안 서비스 API ( GSS-API )
- SNTP (단순 네트워크 시간 프로토콜 )
- 경량 디렉터리 액세스 프로토콜 ( LDAP )
- S / MIME CMS [TODO]
우리는 공개 키 기반 구조의 구현을 위해 사용될 수 있는 리눅스 하드웨어와 호환되는 짧은 목록을 제공합니다. 현재 우리는 암호화 하드웨어 가속 확장 카드와 스마트 카드에 중점을 두고 있습니다.
스마트 카드의 성공적인 사용을 위해서는 스마트 카드에 대한 프로그래밍 인터페이스를 구현해야 합니다. 현재 컴퓨터에서 스마트 카드에 액세스하기 위한 인터페이스를 설명하는 두 가지 표준이 있습니다. 첫 번째는 원래 Windows 플랫폼 용으로 개발 된 PC / SC 이고, 후자는 Java 를 사용하기 때문에 크로스 플랫폼 솔루션인 Open Card Framework ( OCF ) 입니다.
TrustWay Crypto PCI 2000
Bull 은 TrustWay Crypto PCI 2000 이라는 암호화 가속기를 제조합니다 . 암호화 가속기 및 기타 하드웨어 장치는 CDSA (Common Data Security Architecture) 를 사용하여 응용 프로그램에서 액세스 할 수 있습니다 . Bull 은 Linux 에서 CDSA 를 구현하고 구현 및 하드웨어 장치를 번들로 묶은 VPN 제품을 판매하고 있습니다. CDSA 에 대한 자세한 내용 은 Common Data Security Architecture ( CDSA ) 섹션을 참조하십시오 . 암호화 가속기 부분에서는 약 2500 유로를 별도로 판매 할 수 있습니다.
PowerCrypt 암호화 가속기
Global Technologies Group, Inc. 는 OpenBSD, FreeBSD 및 Linux와 호환되는 하드웨어 암호화 가속기인 PowerCrypt Encryption Accelerator 를 판매합니다. 이것은 IPsec 표준과 호환되는 HiFn 7751 암호화 가속 칩을 기반으로 합니다. 현재는 대칭 암호화만 지원하며 비대칭 암호화는 미래에 계획됩니다.
CryptoSwift 전자 상거래 가속기
Rainbow Technologies 는 일련의 암호화 하드웨어 제품을 제조하며 오픈 소스 운영 체제를 효과적으로 지원합니다. 이들 제품 중 하나는 CryptoSwift 전자 상거래 가속기로 , RSA, DSS, 난수 생성 및 개인 키의 안전한 저장을 지원하는 하드웨어 암호 가속기입니다. Linux 의 경우, 바이너리 커널 모듈이 포함됩니다.
레인보우의 ISG 연구소 에서 성능 데이터 및 일반적인 테스트의 경우 제품의 벤치 마크 관련 정보를 찾을 수 있습니다. 오픈 소스 애플리케이션 의 경우 Stronghold / Apache + SSL 보안 웹 서버의 성능에 대한 포괄적인 연구는 하드웨어 가속을 사용하여 상당한 이득을 보였습니다.
이해 당사자는 데모 카드 를 신청 할 수 있습니다 . 그들은 착수 할 프로젝트를 설명해야합니다.
마지막으로 CryptoSwift 소프트웨어 개발 키트 가 있어 하드웨어 암호화 가속 소프트웨어 개발을 지원합니다.
리눅스 환경에서의 스마트 카드 사용을위한 움직임 ( MUSCLE )
MUSCLE 은 Linux 용 스마트 카드를 지원합니다. 프로젝트 목표에는 스마트 카드 액세스를 위한 PC / SC 표준 구현, Netscape 브라우저와의 S/MIME 통합, 카드 및 카드 판독기 용 드라이버 및 PAM 지원 스마트 카드 인증이 있습니다. 또한 이 PC / SC 구현은 OCF 응용 프로그램이 작동 할 수 있도록 추상화 계층으로 사용될 수 있습니다.
Schlumberger의 Linux 스마트 카드 스타터 키트
Schlumberger 는 Cyberflex 스마트 카드 제품군을 생산합니다 . 대표적인 Cyberflex ™ 카드는 현재 Cyberflex ™ Access 스마트 카드이며 강력한 암호 기능을 지원합니다. Schlumberger 는 Linux 에서 Schlumberger Cyberflex Access 카드를 프로그래밍하는 데 필요한 하드웨어 및 소프트웨어 모음인 Linux 용 Starter 's Kit 2.1 용 Cyberflex 를 제공합니다 . 소프트웨어의 소스 코드는 키트에 포함되어 있습니다. 이 제품에는 Cyberflex Access 카드 2 종 (Class 00, Augmented Crypto)이 함께 제공되며 PIN 패드가있는 Reflex 64 직렬 포트 스마트 카드 판독기를 사용하거나 사용하지 않고 구입 할 수 있습니다.
gpkcs11 PKCS # 11 오픈 소스 구현
gpkcs11 은 LGPL 배포 라이센스 하에서 사용 가능한 PKCS # 11 : Cryptographic Token Interface Standard 의 구현입니다.
PKCS # 11은 암호화 및 복호화, 서명 및 확인과 같은 암호 연산을 수행하는 시스템과 임의의 응용 프로그램 간의 통신을 위한 인터페이스를 정의합니다. 토큰 이라고 하는 이러한 시스템은 스마트 카드 (적절한 판독기 포함), 개별 하드웨어 시스템 또는 순수 소프트웨어 구현 일 수 있습니다.
gpkcs11의 소프트웨어는 애플리케이션에 PKCS # 11 지원을 통합하는 소프트웨어 개발자에 의해 사용됩니다. 현재 개발 중이며 이 문서를 작성하는 순간 최신 버전은 0.6.1입니다.
공통 데이터 보안 아키텍처 ( CDSA )
CDSA 는 소프트웨어 제품에 보안을 추가하는 프로세스를 용이하게합니다. 하나의 공통 API 에 작성 함으로써 소프트웨어 개발자는 스마트 카드 판독기와 같은 인증 서비스, DES 와 같은 암호화 서비스 및 보안 프로세스 (키 복구, 내보내기 제한, 내부 소프트웨어에 대한 공격 방지)를 관리하는 기능을 추가 할 수 있습니다.
CDSA 는 Intel 에서 개발 한 사양이며 현재 버전인 Version 2는 1997 년에 Open Group 기술 표준으로 The Open Group 에서 채택되었습니다 . CDSA 표준은 하드 카피 및 전자 형식 (HTML 및 PDF)으로 Common Security : The Open Group 웹 사이트의 CDSA 및 CSSM, 버전 2 (정오표 포함) 페이지
Currenly, CDSA의 소스 코드는 Windows 플랫폼에서 사용할 수 있습니다. Intel과 Caldera Systems 및 Bull TrustWise 조직은 CDSA의 Linux 포트를 개발 중이며 2000 년 9 월에 출시 될 것으로 예상됩니다.
Linux 에서 CDSA 를 사용할 수 있으려면 대칭 및 비대칭 암호화 알고리즘에 대한 소프트웨어 암호화 지원이 필요합니다. 이전 버전의 CDSA 버전 1.2에는 공개적으로 사용 가능한 암호화 지원이나 Cryptographic Service Provider ( CSP ) 가 호출 될 당시에는 없었습니다. CSP 는 확장 카드의 하드웨어 구현 또는 소프트웨어 버전의 두 가지 유형으로 제공 될 수 있습니다. 개발 목적으로 소프트웨어 버전이 적어도 있어야합니다.
CDSA 는 CSP 용으로 기존의 암호화 소프트웨어를 사용할 수 있는 적응 레이어가 있으며 Linux 용 원시 CDSA CSP 가 없는 경우 OpenSSL 을 백엔드로 사용 할 수 있습니다. OpenSSL 을 기반으로 한 이러한 CSP 는 Jonah mailling 목록에 발표 되었지만 무료 전자 메일 계정에 대한 전자 메일은 활성화 된 것처럼 보이지 않습니다. 그러나 CDSA 2.0의 최신 개정판 1.3에서는 OpenSSL 을 CSP 의 플러그인으로 사용하는 공식 지원이 있습니다. 이것은 곧 출시 될 Linux 포트에 대한 매우 긍정적인 소식입니다.
CDSA 2.0 구현을위한 향후 계획 중에는 Itanium ™ 프로세서에 대한 Linux 지원이 있습니다.
Intel 에서 제공하는 CDSA 2.0의 구현은 BSD 라이센스 인 Intel Open Source 라이센스 에 따라 배포 되며 추가 수출 고지가 있습니다. 이 라이센스는 OSI (Open Source Initiative) 에서 검토 및 승인 되었으므로 CDSA 구현은 OSI 인증 오픈 소스 소프트웨어입니다.
싱글 사인-온
SSO (Single Sign-On )는 사용자 인증 및 권한 부여의 단일 초기 동작으로 사용자가 이후의 시간을 인증/권한 부여하지 않고도 액세스가 허용되는 모든 컴퓨터 리소스에 액세스 할 수 있도록 허용하는 메커니즘입니다.
SSO 의 이점 중 하나는 전체 액세스 제어가 수행되지만 사용자가 반복적인 인증 및 권한 부여로 인해 방해받지 않는 컴퓨터 시스템 사용의 투명성입니다. SSO 는 응용 프로그램에 공통 보안 메커니즘을 사용하고 모든 세션 액세스 제어 요구 사항에 대해 사용자 자격 증명을 사용하도록 요구합니다.
The Open Group 은 PAM (Pluggable Authentication Mechanism)을 표준화했으며 X / Open Single Sign-On Service (XSSO) 페이지 에서 해당 표준을 사용할 수 있습니다 . Single Sign-On 페이지 에서 SSO 표준에 대한 일반적인 설명을 볼 수 있습니다 .
KeyMan PKI 관리 도구
KeyMan 은 공개 키 인프라 스트럭처의 클라이언트 측 관리 도구입니다.
KeyMan 은 공개 키 인프라 (PKI)의 클라이언트 측 관리 도구입니다. KeyMan 은 키, 인증서, 인증서 해지 목록 (CRL) 및 해당 항목을 저장 및 검색 할 각 리포지토리 를 관리합니다. 인증서의 전체 수명주기가 지원 되며 프로세스는 사용자 인증서 처리와 관련됩니다.
KeyMan 기능 요약 :
사용자 인증서 수명주기 전체 지원
다양한 키 / 인증서 저장소 관리
PKCS # 11 인터페이스를 통해 암호화 토큰 지원
e-Business 용 IBM Smart Card (IBM Java Card)에 대한 즉시 지원
X.509 / PKIX (인증서 V3, CRL V2) 지원
PKCS 표준 준수 (# 7, # 10, # 11, # 12)
Netscape 인증서 요청 (SPKAC) 지원
VeriSign 및 기타 CA와의 통합
100 % Java, JDK 1.1 / 1.2에서 실행
사용하기 쉬운 GUI
KeyMan은 IBM Zurich Research Laboratory의 Thomas Eirich 가 개발했습니다 .
분산 감사 서비스 (Distributed Audit Service, XDAS )
보안 감사 서비스의 목적은 분산 시스템에서의 보안 정책 위반에 대한 책임 및 탐지 원칙을 지원하는 것입니다. XDAS 사양은 전역 분산 시스템 수준에서 관련성이 높은 일련의 일반 이벤트와 분산된 시스템 수준에서 여러 구성 요소의 감사 정보를 병합하고 분석 할 수있는 일반적인 이식 가능한 감사 레코드 형식을 정의합니다. 이를 수행하기 위해 네 개의 API 그룹이 제공됩니다. 소스 XDAS 오픈 그룹 예비 사양 페이지 .
위 사양의 HTML 및 PDF 버전은 XDAS Open Group 예비 사양 페이지 에서 사용 할 수 있습니다. 동일한 페이지에서 하드 카피를 구입 할 수도 있습니다.
일반 보안 서비스 API ( GSS-API )
GSS-API 는 소프트웨어에 보안 서비스를 제공하는 응용 프로그래밍 인터페이스 입니다. API 의 정의는 서로 다른 소프트웨어가 작성되어 모든 호환 GSS-API 라이브러리 구현에서 작동하도록 합니다. GSS-API 는 RFC 1508 및 RFC 1509에 정의되어 있습니다.
SNTP (단순 네트워크 시간 프로토콜 )
SNTP 는 인터넷의 컴퓨터 시계를 동기화 하는데 사용 되는 NTP (Network Time Protocol) 를 채택한 것입니다. SNTP 는 RFC 1769 에 설명되어 있습니다.
경량 디렉터리 액세스 프로토콜 ( LDAP )
LDAP 는 디렉토리 서비스에 액세스하는 데 사용되는 프로토콜 입니다. 그것은 원래 X.500 디렉토리와 함께 사용하도록 설계되었습니다. 그러나 현재는 일반 디렉토리 액세스 프로토콜로 사용됩니다. LDAP 의 핵심은 RFC 1777에 설명되어 있습니다.
S/MIME CMS [TODO]
S/MIME 은 보안 서비스가 MIME 본문 부분에 적용될 수 있는 프레임 워크를 정의합니다. S/MIME 은 RFC 1847에 설명되어 있습니다.
'인증기술 > PKI 기술' 카테고리의 다른 글
| 오픈소스 PKI 문서 - 제 11 장. 공개 소스 PKI 구현의 이점 [TODO] (0) | 2018.09.27 |
|---|---|
| 오픈소스 PKI 문서 - 제 10 장. 비판적 토론 [TODO] (0) | 2018.09.27 |
| 오픈소스 PKI 문서 - 제 8 장. 소프트웨어 지원 방법 (0) | 2018.09.27 |
| 오픈소스 PKI 문서 - 제 7 장. 오픈 소스 구현 (0) | 2018.09.27 |
| 오픈소스 PKI 문서 - 제 6 장. 인터넷 X.509 PKIX (Public Key Infrastructure) (0) | 2018.09.27 |