オープンソースの鍵管理ソリューション

Question

PCIに準拠するために、キー管理ソリューションを研究しています。私はアリーナで多くのベンダーと話をしてきましたが、彼らの製品は好きですが、コストは私の予算を超えています。キー管理のためのオープンソースまたは低コストのソリューションを知っている人はいますか？私はWindows/.NET環境を使用しているので、その環境を対象とするソリューションを好みますが、そこにあるものについて聞きたいです。

ありがとう

havoc1 · Answer

OpenStackスイートのキー管理コンポーネントである KeyManager を見てください。アプリケーションは、OpenStack外のスタンドアロンの鍵管理ソリューションとして使用できます。

OpenStackのコンポーネントであるKeyManagerは、6か月サイクルで計画される新機能を使用して積極的に開発されています。

Arshad Noor · Answer

これは古いスレッドですが、いくつかのオプションがあります。

完全に無料でオープンソースの鍵管理ソリューションは http://sourceforge.net/projects/strongkey にあります。認めますが、ソフトウェアは少し古く、セットアップがかなり複雑です。これは、キー管理サーバーとの通信とクライアントデバイスのキーのセキュリティ保護のために、アプリケーションクライアントにデジタル証明書を発行するPKIがあることを前提としているためです。
オリジナルのStrongKeyソフトウェアは3年前に大幅に簡素化され、暗号化ハードウェアモジュール（TPMおよびHSM）を備えたアプライアンスに統合され、より強力なキー管理を提供しました。残念ながら、アプライアンスのソフトウェアはすべてFOSSですが、統合されたソリューション自体は無料ではありません。その価格はWebサイトに記載されています（ http://www.strongauth.com/products/key-appliance.html ）。

ただし、オプション＃2には、PCIに完全に準拠しながらパブリッククラウドを活用できるため、多くの利点があります（「Regulatory Compliant Cloud Computing（RC3）」を検索し、IBMのリンクをクリックしてください-2つのリンクしか投稿できません。私の回答では）このアプライアンスを活用する方法についてのより多くの発表がサンフランシスコのRSA 2013で発表されています。

お役に立てば幸いです。

brian beuning · Answer

私たちはあなたと同じような経験をしました。私たちはPCIコンプライアンスのための重要な管理ソリューションを必要としており、私たちが目にしたすべての商用製品は高すぎました。一部の主要な管理者は、小規模なお客様向けに当社の製品よりも高額です！

ソフトウェアベースのキーマネージャーを作ることになりました。要件を作成し、オフショア開発者がそれをコーディングしました。かつて彼らはそれを使う他の顧客を探していました。彼らがまだそうであるかどうかはわかりません。

私たちが探求したオプションについて説明しましょう。最初に覚えておかなければならないのは、PCI準拠とセキュリティは異なるものであり、PCI準拠であり、あまり安全ではない場合があることです。

オプション0-DB列ごとにキーを割り当て、キーをDLLファイルに保存します。アプリケーションはDLLファイルにリンクし、キーにアクセスして暗号化およびデータを復号化します。キーは誰も知りません。定期的にキーを置き換える場合は、新しいキーを使用して新しいDLLを作成します。古いキーを使用してすべてのデータを復号化し、新しいキーを使用してデータを再暗号化するために、ダウンタイムをとります。次に、新しいDLLを新しいキーで使用してアプリケーションを再起動します（DBバックアップの復元を検討する場合は、古いキーを保持する必要があることに注意してください）。

オプション0について初めて聞いたとき、それがPCI準拠であることに驚いた。オプション0は使用しません。

オプション0を改善する方法。

環境にHSMがある場合は、HSMを使用してDLLファイル内のキーを暗号化します。アプリケーションが起動すると、HSMを使用してキーが復号化されます。さらにセキュリティが必要な場合は、キーが必要になるたびに。

キーが暗号化されたら、DBテーブルに保存しても安全です。各キー（古いものと新しいもの）に小さな整数のキーIDを割り当てると、暗号化されたデータと共にキーIDを格納できます。これにより、増分キーの交換を行い、ダウンタイムを回避できます。

多くのプロセスでメモリ内のキーをクリアにしておくと、キーを見つけるメモリスキャン攻撃の危険性が高まります。キーを復号化する唯一のプロセスである新しいプロセスを作成できます。アプリケーションは、この新しいプロセスと通信してデータを暗号化および復号化します。この新しいプロセスは、それを保護するために小さな「表面積」を持つボックスで行う必要があります。現在、機密データがネットワークを経由しているため、この通信は暗号化する必要があります。 SSLは適切なオプションです。

Mohit Thakur · Answer

KLIP over KMIPは、キー管理のための優れた使いやすいソリューションです。これは、Javaで記述されたオープンソースのソリューションです。以下のリンクを参照してください。 http://www.ibm.com/developerworks/library/se-kmip4j/

StubInterfaceという名前のパッケージには、KMIP経由でKLMSを使用するために必要なすべてのAPIが含まれます。

[〜＃〜] klms [〜＃〜]：主要ライフサイクル管理システム

[〜＃〜] kmip [〜＃〜]：鍵管理相互運用プロトコル

garthoid · Answer

検索で見つけたので、このリストに追加します。他のユーザーは、拡張されたリストの恩恵を受ける可能性があります。

私は最近 KeyWhiz を見つけました。これはアルファ版のようです。

RJ Fowler · Answer

SNipeitは私が見た中で最高のものであり、オープンソースであり、非常に堅牢で、技術者以外でも非常に使いやすいです。

https://snipeitapp.com/demo/

そちらをチェックしてください。