Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Advanced Crypto Service Provider – kryptografia...

Smart Coders
March 16, 2015
Technology
0
72

Advanced Crypto Service Provider – kryptografia jako usługa

Zapewnienie bezpieczeństwa danych to konieczny standard w wielu środowiskach IT. W czasie gdy informacje coraz częściej są przetrzymywane w „chmurze” zapewnienie bezpieczeństwa stanowi coraz bardziej poważne wyzwanie.
IBM Advanced Crypto Service Provider (ACSP) jest rozwiązaniem, które pozwala udostępnić zasoby koprocesora kryptograficznego firmy IBM poza system, w którym został zainstalowany.
Takie rozwiązanie pozwala na korzystanie z silnej kryptografii sprzętowej jako usługi („cryptography as a service”) w środowiskach rozproszonych o niższym stopniu bezpieczeństwa.
ACSP to „network hardware security module (NetHSM)”, który pozwala na korzystanie zarówno z funkcji IBM Common Cryptographic Architecture (CCA) jak i standardu PKCS#11.

Więcej na https://ibm.box.com/v/acsp-vault-ibm-forum-2015

Nagranie z tej sesji znajduje się pod adresem https://vimeo.com/smartcoders/acsp-vault-ibm-forum-2015

Smart Coders

March 16, 2015
Tweet

More Decks by Smart Coders

See All by Smart Coders
Advanced Crypto Service Provider – cryptography as a service
smartcoders
0
570

Other Decks in Technology

See All in Technology
サーバレスアプリ開発者向けアップデートをキャッチアップしてきた #AWSreInvent #regrowth_fuk
drumnistnakano
0
190
生成AIをより賢く エンジニアのための RAG入門 - Oracle AI Jam Session #20
kutsushitaneko
4
220
.NET 9 のパフォーマンス改善
nenonaninu
0
690
プロダクト開発を加速させるためのQA文化の築き方 / How to build QA culture to accelerate product development
mii3king
1
260
KubeCon NA 2024 Recap: How to Move from Ingress to Gateway API with Minimal Hassle
ysakotch
0
200
watsonx.ai Dojo #5 ファインチューニングとInstructLAB
oniak3ibm
PRO
0
160
生成AIのガバナンスの全体像と現実解
fnifni
1
180
小学3年生夏休みの自由研究「夏休みに Copilot で遊んでみた」
taichinakamura
0
150
AWS re:Invent 2024 ふりかえり
kongmingstrap
0
130
Snowflake女子会#3 Snowpipeの良さを5分で語るよ
lana2548
0
220
レンジャーシステムズ | 会社紹介(採用ピッチ)
rssytems
0
150
サイボウズフロントエンドエキスパートチームについて / FrontendExpert Team
cybozuinsideout
PRO
5
38k

Featured

See All Featured
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
28
900
Docker and Python
trallard
42
3.1k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
2
170
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
47
5.1k
Into the Great Unknown - MozCon
thekraken
33
1.5k
Writing Fast Ruby
sferik
628
61k
Learning to Love Humans: Emotional Interface Design
aarron
273
40k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Building Your Own Lightsaber
phodgson
103
6.1k
The Invisible Side of Design
smashingmag
298
50k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
810

Transcript

  1. Advanced  Crypto  Service  Provider     –  Kryptografia  jako  usługa

    Warszawa,  16  marca  2015         Błażej  Pawlak   Crypto  Competence  Center,  Copenhagen  @  IBM  Dania

  2. IBM  4765  PCIe  Cryptographic  Coprocessor

  3. Problem Brak  bezpiecznego,  zdalnego  dostępu  do  sprzętowych  usług   kryptograficznych

     na  poziomie  API  oraz  web  service.

  4. Rozwiązanie • System  w  architekturze  klient  –  serwer,  gdzie  serwer

     w  imieniu  klienta   komunikuje  się  z  koprocesorem  kryptograficznym. ! ! ! ! ACSP  servers ACSP  client TLS

  5. Rozwiązanie • Usługa  REST  z  prostszym  API  –  „zCloud  ACSP

     REST  service” ! ! ! ! ! REST   client ACSP  REST  on  WAS  
 +
 ACSP  client ACSP  servers TLS TLS

  6. ! ! ! ! ! ! INSECURE ZONE PUBLIC ZONE

    BLUE SECURE ZONE RED HTTPS TLS connection – Client & server mutual authentication iOS device with Touch ID – Touch ID on iOS 8 TCP TLS connection – Client & server mutual authentication ACSP REST Service – z/OS, AIX, Linux, Windows – Websphere Liberty Core profile – ACSP client ACSP Servers with cryptographic hardware – z/OS, AIX, Linux, z/Linux – ACSP server – CEX2, 4764, CEX3, CEX4S, CEX5S, 4765

  7. Kluczowa  funkcjonalność • Zdalny  dostęp  do  koprocesora  kryptograficznego.   •

    Szyfrowanie  oraz  deszyfrowanie  z  użyciem  algorytmów  symetrycznych   (w  demo  to  AES).   • Generowanie  i  weryfikacja  za  pomocą  funkcji  skrótu  SHA   • Generowanie  oraz  weryfikacja  podpisu  cyfrowego  (PoC).

  8. Korzyści • Zdalny  dostęp  do  „mocnej”  kryptografii  sprzętowej  firmy  IBM.

      • Zwiększenie  wykorzystania  zasobów  koprocesora  kryptograficznego.

  9. iOS  ACSP  REST  Demo
 Szyfrowanie  wiadomości
 z  iPhone  6

  10. ! ! ! ! ! ! INSECURE ZONE PUBLIC ZONE

    BLUE SECURE ZONE RED HTTPS TLS connection – Client & server mutual authentication iOS device with Touch ID – Touch ID on iOS 8 TCP TLS connection – Client & server mutual authentication ACSP REST Service – z/OS, AIX, Linux, Windows – Websphere Liberty Core profile – ACSP client ACSP Servers with cryptographic hardware – z/OS, AIX, Linux, z/Linux – ACSP server – CEX2, 4764, CEX3, CEX4S, CEX5S, 4765 5 4 3 2 1

  11. Kluczowa  funkcjonalność • Zdalny  dostęp  do  koprocesora  kryptograficznego.   •

    Szyfrowanie  oraz  deszyfrowanie  z  użyciem  algorytmów  symetrycznych   (w  demo  to  AES).   • Generowanie  i  weryfikacja  za  pomocą  funkcji  skrótu  SHA   • Generowanie  oraz  weryfikacja  podpisu  cyfrowego  (PoC).

  12. Pytania?

  13. None

  14. 1. Client protocol [cca] instantiated 2. Connecting [ssl on 127.0.0.1:-1]

    to [192.168.77.200:8994] 3. ACSP01250I Created TLS/SSL connection to [192.168.77.200:8994] using cipher suite [SSL_RSA_WITH_AES_128_CBC_SHA] with protocols [[TLSv1.2]]
 4. Connected for transport [ssl] protocol [cca] from own socket [ssl on 127.0.0.1:54211] to [192.168.77.200:8994]
 5. ACSP01110I Connected to [ssl:cca] on host [192.168.77.200] using service [$$acp-serv] 6. Connection [1] to [192.168.77.200] with transport [ssl] and protocol [cca] has been created 7. The connection pool now holds [1] connections. Połączenie  REST  klient  –  serwer

  15. POST  /zCloud-­‐JaxRS/crypto/cipher  HTTP/1.1   Content-­‐Type:  application/json   Host:  rest.cccc.dk.bal.ibm.com:29443  

    Connection:  close   User-­‐Agent:  Curl/2.1.1  (Macintosh;  OS  X/10.10.2)  GCDHTTPRequest   Content-­‐Length:  274   {          "cipherRequest":  {                  "operation":  "ENCRYPT",                  "text":  {                          "textType":  "BASE64",                          "textValue":  "QUNTUC5BRVMxMjguS0VZ"                  },                  "key":  {                          "keyLabel":  "ACSP.AES256.KEY",                          "keyType":  "AES"                  }          }   } REST  klient  –  serwer.  Zapytanie  JSON

  16. 1.        Submitting  [34]  bytes  for  [CSNBRNGL]  to

     host  [192.168.77.200]  using  connection  [1]   2.        Submitting  [217]  bytes  for  [CSNBSAE]  to  host  [192.168.77.200]  using  connection  [1]   Szyfrowanie  REST  –  AES

  17. Połączenie  ACSP  klient  –  serwer 1.      extracting  user

     from  certificate  DN=CN=client1,OU=IWP  Operations,O=Internet  Widgits  Pty  Ltd,ST=Copenhagen,C=DK  using  SAN:  ACSP:CLIENT1   2.      extracting  user  from  certificate  DN=CN=client1,OU=IWP  Operations,O=Internet  Widgits  Pty  Ltd,ST=Copenhagen,C=DK  using  SAN:  ACSP:CLIENT1   3.      Incoming  connect  for  [cca]  on  port  [8994]  from  client  [192.168.77.200:54247]   4.      ACSP01196I  Client  [192.168.77.200  /  192.168.77.200]  connect  to  port  8994  using  ssl  for  protocol  cca   5.      Socket  receive/send  buffer  sizes  [87379/330075]  with  Nagle's  algorithm  used  [false]   6.      ACSP01190I  Awaiting  connect  -­‐  name[ssl-­‐cca]  transport[ssl]  protocol[cca]  port[8994]  -­‐  Count[1]  Sessions[1]   7.      Identified  handler  of  class  [com.ibm.acsp.cca.ProtocolCcaServer]  for  port  number  [8994]   8.      Protocol  handler  [cca  on  layer  tcp  on  127.0.0.1:8994]  waiting  for  peer  [cca  at  192.168.77.200:54247]  

  18. Szyfrowanie  ACSP  serwer  –  AES 1.      Received  JCCA

     call  for  verb  [CSNBRNGL]   2.      Adding  rule  [RANDOM]   3.      Flushing  [cca  on  layer  tcp  on  127.0.0.1:8994]  output  stream  to  [cca  at  192.168.77.200:54247]   4.      Number  of  connects  [1]  -­‐  requests  [1]]  -­‐  responses  [1]   5.      Protocol  handler  [cca  on  layer  tcp  on  127.0.0.1:8994]  waiting  for  peer  [cca  at  192.168.77.200:54247]   6.      Received  JCCA  call  for  verb  [CSNBSAE]   7.      Adding  rule  [AES]   8.      Adding  rule  [PKCS-­‐PAD]   9.      Adding  rule  [KEYIDENT]   10.    Adding  rule  [INITIAL]   11.    Flushing  [cca  on  layer  tcp  on  127.0.0.1:8994]  output  stream  to  [cca  at  192.168.77.200:54247]   12.    Number  of  connects  [1]  -­‐  requests  [2]]  -­‐  responses  [2]   13.    Protocol  handler  [cca  on  layer  tcp  on  127.0.0.1:8994]  waiting  for  peer  [cca  at  192.168.77.200:54247]   14.    ACSP01195I  Closed  scheme  [tcp:cca]  on  port  [8997]  with  name  [tcp-­‐cca]  
  19. None

  20. Pytania?