Emulation von Hardware-Kryptomodulen

Die Software softhsm [1] ist aus dem OpenDNSSec-Projekt [2] hervorgegangen, das ein umfassendes System zum Signieren von DNS-Zonen anbietet. Zur Sicherung der kryptografischen Schlüssel setzt die Software auf Hardware-Security-Module (HSM). Der Zugriff auf die hierin gespeicherten Tokens erfolgt meistens über eine PKCS#11-Schnittstelle [3]. Anders als bei einfachen Dateispeichern lassen sich die im HSM gespeicherten Daten nicht einfach von dem System kopieren. Desweiteren erfolgen auch sämtliche kryptografischen Operationen auf dem HSM selbst.

Da jedoch manche Administratoren den Erwerb von solch zusätzlicher Hardware scheuen, die Entwickler von OpenDNSSec aber auch die Verbreitung ihrer Software nicht einschränken wollten, wurde als Notbehelf softhsm entwickelt. Hierbei handelt es sich um einen reinen softwarebasierten Crypto-Store mit PKCS#11-Schnittstelle, auf den OpenDNSSec somit zurückgreifen kann, um die Schlüssel zum Signieren einer DNS-Zone sicher aufzubewahren. softhsm stellen wir im Folgenden näher vor.

SoftHSM zum Testen

Auch für andere Bereiche ist ein softwarebasierter Crypto-Store hilfreich. Möchte man beispielsweise bestimmte Software testen, die eine Smartcard voraussetzt, dann lässt sich softhsm sehr gut als Ersatz verwenden, wenn die physischen Gerätschaften fehlen. Es ist natürlich daran zu denken, dass die Software nicht den Sicherheitsstandards eines HSM oder einer Smartcard entspricht, da letztendlich sämtliche Daten wieder in Dateien gespeichert werden, die sich beim Zugriff auf das System einfach kopieren lassen. Für Testzwecke oder als Notbehelf ist die Software aber prima geeignet.

Im Folgenden beschreiben wir das Setup eines Tokens in softhsm. In diesem Token sollen ein privater RSA-Schlüssel und ein X.509-Zertifikat abgelegt werden. Um so nah wie möglich an den Standards zu bleiben, werden in diesem Beispiel der private RSA-Schlüssel und

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.