Ich habe ein PKI-Projekt bearbeitet und abgeschlossen, das ein HSM zum Generieren - Speichern von Schlüsseln und Ausführen von Kryptofunktionen verwendet hat. Ich benutzte PKCS # 11, um mit unserer Anwendung zum Signieren/Verifizieren und Verschlüsseln/Entschlüsseln zu kommunizieren. Unsere Plattform ist Windows.Softwaresicherheitsmodul/Toolkit ersetzt HSM zur Entwicklung von Kryptofunktionen
Jetzt suchen wir nach einer kostengünstigen alternativen Lösung, indem wir das HSM durch ein Software-Sicherheitsmodul ersetzen. Ich muss hier anmerken, dass mir die Nachteile der Nichtverwendung eines HSM bekannt sind. Es ist ein Kompromiss zwischen Sicherheit und Kosten.
Ich habe festgestellt, dass Microsoft die nächste Generation CryptoAPI (CNG), Schlüsselspeicher und Zertifikatsdienste bietet. Mein Senior Management ist nicht geneigt, Open-Source-Software zu verwenden. Ich fand auch RSA und Cryptomathic Toolkits, um Software-basierte Lösungen durchzuführen.
Hat irgendjemand Software-Toolkits für kommerzielle Software gefunden, um Schlüsselgenerierung, Keystore und Crypto-Funktionen auszuführen?
Programmiersprache - c/C++
Dank
Raj
Verweisen Sie "Software PKCS # 11-Bibliothek" als Wrapper um PKCS # 11 Cryptoki-Bibliothek? Wenn dies der Fall ist, auf welche Art und Weise denken Sie, dass dies anders ist als die Funktionen, die ich für Signatur/Verschlüsselung geschrieben habe? Können Sie mich bitte auf einige Anbieter auf "Software PKCS # 11 library" hinweisen. Stellen diese Anbieter auch Schlüsselverwaltungsfunktionen bereit oder muss ich mich auf das Betriebssystem und eine andere Bibliothek zum Speichern/Zugreifen auf die Schlüssel verlassen? Inwiefern unterscheidet sich Absatz 1 Ihrer Antwort von Absatz 2? Ich bin hier wirklich sehr verwirrt. Entschuldigung, wenn ich zu ignorant klänge. – Raj
PKCS # 11 spezifiziert eine API (Cryptoki).Sie haben sich mit dieser API programmiert und hatten vermutlich eine DLL, die diese API mit einem HSM implementierte, der die Operationen ausführt. Mehrere Unternehmen (darunter Cryptomathic, mein Arbeitgeber) verkaufen "Software PKCS # 11-Bibliotheken". Eine Software-PKCS # 11-Bibliothek wäre eine DLL, die die PKCS # 11-Bibliothek implementiert, die Funktionen jedoch einer reinen Softwareimplementierung zuordnet (und die Schlüssel in (verschlüsselten) Dateien speichert). Die Schlüsselverwaltung kann über die PKCS # 11-API erfolgen, aber Sie erhalten möglicherweise auch ein separates Tool (abhängig vom Anbieter). –
Mein zweiter Absatz enthielt nur die Optionen, von denen Sie bereits wussten: andere kryptografische APIs. –