オープンソースの鍵管理ソリューション

Question

私はPCIに準拠するために鍵管理ソリューションを研究しています。私は競技場で数多くのベンダーと話していました。私は彼らの製品が好きですが、コストは私の予算を超えています。誰もがオープンソースやキー管理のための低コストのソリューションを知っていますか？私はWindows/.NET環境を使用しているので、私はその環境をターゲットとするソリューションを好むだろうが、そこにある何かについて聞くことに興味があるだろう。

ありがとうございました

Answer 1

私たちもあなたと同じような経験を持っていました。 PCIコンプライアンスのための重要な管理ソリューションが必要でした。私たちが見たすべての市販製品は高価でした。一部のキーマネージャーは、小規模のお客様には当社製品よりもコストがかかります。

私たちはソフトウェアベースのキーマネージャーを作り上げました。私たちは要件を作成し、オフショア開発者はそれをコード化しました。ある時点で、彼らはそれを使用する他の顧客を探していました。彼らがまだ存在するかどうかはわかりません。

私が検討したオプションについて説明しましょう。まず覚えておいて欲しいのは、PCIのコンプライアンスとセキュリティは異なるものです.PCIに準拠することができ、あまり安全ではありません。

オプション0 - DB列ごとにキーを割り当て、キーをDLLファイルに格納します。アプリケーションは、DLLファイルにリンクして、データを暗号化および復号化するためのキーにアクセスします。誰も鍵を知っていません。定期的にキーを交換するには、新しいキーで新しいDLLを作成し、古いキーを使用してすべてのデータを復号化し、新しいキーを使用してデータを再暗号化する時間を減らします。新しいDLLを使用して新しいDLLを使用してアプリケーションを再起動します。 （DBバックアップの復元を検討する場合は、古い鍵を保持する必要があります）。

オプション0について初めて聞いたとき、私はPCI準拠であることに驚いていました。私たちは、0

方法お使いの環境でHSMを持っている場合は、オプションに0

を改善するDLLファイル内のキーを暗号化するためにHSMを使用するためのオプションを使用しないでください。アプリケーションが起動すると、HSMを使用してキーが復号化されます。セキュリティをさらに強化するには、必要なときに毎回鍵を復号化します。

鍵が暗号化されたら、DBテーブルに格納しても安全です。各キー（古いものと新しいもの）に小さい整数のkey-idを割り当てると、key-idを暗号化されたデータとともに保存できます。これにより、増分のキー置換を行い、ダウンタイムを避けることができます。

多くのプロセスでメモリ内の鍵をクリアにすると、鍵を見つけるメモリスキャン攻撃への暴露が増加します。鍵を解読する唯一のプロセスである新しいプロセスを作成することができます。あなたのアプリケーションは、データを暗号化して解読するこの新しいプロセスと話します。この新しいプロセスは、それを保護するための小さな「表面領域」を備えた箱に置く必要があります。機密データは現在ネットワークを経由しているため、この通信は暗号化する必要があります。 SSLは良いオプションです。

Answer 2

私は、これは古いスレッドです実現が、選択肢がいくつかあります：

1. が完全にフリーでオープンソースの鍵管理ソリューションはhttp://sourceforge.net/projects/strongkeyです。鍵管理サーバーと通信してクライアントデバイス上の鍵を保護するために、アプリケーションクライアントにデジタル証明書を発行するためのPKIを持っていると仮定しているため、ソフトウェアは少し日付があり、セットアップがかなり複雑です。
2. 元のStrongKeyソフトウェアは3年前に大幅に簡素化され、暗号化ハードウェアモジュール（TPMおよびHSM）を備えたアプライアンスに統合され、より強力なキー管理を実現しました。残念ながら、アプライアンスのソフトウェアはすべてFOSSですが、統合ソリューション自体は無料ではありません。その価格はWebサイト（http://www.strongauth.com/products/key-appliance.html）に記載されています。

しかし、完全準拠のPCIクラウドコンピューティング（RC3）を検索してパブリッククラウドを活用し、IBM - サンフランシスコでRSA 2013で発表されたこのアプライアンスをどのように活用するかについての発表が増えたので、私の答えには2つのリンクしか掲載できません。

私は役立つことを願っています。

Answer 3

OpenStackスイートの主要な管理コンポーネントであるKeyManagerを見てください。このアプリケーションは、OpenStack以外の独立したキー管理ソリューションとして使用できます。

OpenStackのコンポーネントであるKeyManagerは、6か月ごとに予定されている新機能を積極的に開発しています。

Answer 4

このリストに追加したのは、検索で見つかったものですが、他のものは拡張リストのメリットがあります。

私は最近、アルファにあると思われるKeyWhizが見つかりました。

Answer 5

KMIP over KMIPは、キー管理のための優れた使いやすいソリューションです。 これはJavaで書かれたオープンソースのソリューションです。参考までに下のリンクを参照してください。 http://www.ibm.com/developerworks/library/se-kmip4j/

stubInterfaceという名前のパッケージには、KMIP上でKLMSを使用するために必要なすべてのAPIが含まれています。

KLMS：鍵ライフサイクル管理システム

KMIP：キー管理の相互運用性プロトコル

Answer 6

SNipeitが、私はそれは非常に堅牢で、非常に使いやすいオープンソースであり、見た中で最高の一つであり、非技術者であっても

https://snipeitapp.com/demo/

そこにそれをチェックアウト。