So ein Hardware Security Modul zur Verwaltung der privaten Schlüssel hat schon was. Ich habe heute mal wieder so ein Modul in eine Sun eingebaut, Solaris installiert, gepatcht und gehärtet, HSM-Treiber installiert und konfiguriert. In diesem Fall ein nCipher nShield F3 500. Ich finde die Teile schon praktisch.
Auf einem Webserver gibt es beispielsweise immer das Problem, dass private Schlüssel irgendwo rumliegen, damit der Server nach dem nächsten Reboot auch ohne manuelle Eingabe wieder funktioniert. Wenn der private Schlüssel jedoch sicher in einem HSM gespeichert ist, aus dem er nicht herausgelesen werden kann, ist zumindest dieser Teil der Verschlüsselungsinfrastruktur bei einer Kompromittierung geschützt.
Das Einrichten in Verbindung mit einem RSA Certificate Manager war erfreulich einfach:
- ./enquiry
./nfkminfo
./new-world -i -o -S -m 1 -Q 1/2 r p
./createocs -m 1 -Q 1/2 -N OperatorCard -p –pp-recovery
Nur schade, dass die Module so teuer sind.