Implementacja rozszerzenia DNSSEC z Utimaco Hardware Security Module (HSM)
Wybraliśmy firmę Utimaco jako dostawcę modułów bezpieczeństwa HSM dla integracji rozszerzenia DNSSEC nie tylko dlatego, że spełniła wszystkie postawione wymogi, ale także ponieważ wykazała się gotowością do współpracy i udzielania wsparcia.
Klucz do sukcesu: Bezpieczeństwo, szybkość i pojemność HSM
Instytut badawczy NASK przedstawił Utimaco bardzo szczegółowe kryteria dotyczące bezpieczeństwa, szybkości i pojemności modułów HSM. Wszystkie z nich spełniło sieciowy HSM SE1000.
Największą obawą NASK w zakresie bezpieczeństwa było ryzyko kradzieży kluczy lub manipulacji z zewnątrz, szczególnie gdyby miało do niej dojść w sposób niezauważony. Dlatego wybrany system musiał posiadać chronić przed fizyczną manipulacją oraz obsługiwać klucze RSA o długości przekraczającej 2048 bitów, co przy okazji stanowi inwestycję w bezpieczeństwo na przyszłość. HSM SE1000 LAN posiadający certyfikat FIPS 140-2 na poziomie 3 spełnia zarówno kryterium długości kluczy, jak i ochrony przez fizyczną manipulacją z zewnątrz. Krzysztof Olesik kierownik techniczny zespołu DNS z zadowoleniem stwierdził, że interfejs kryptograficzny PKCS#11, zaprojektowany specjalnie do obsługi procesów przeprowadzanych podczas transakcji, spełnia kryterium przesyłania szyfrowanych danych w bezpiecznym systemie przesyłania wiadomości. Dzięki bardzo sprawnie zorganizowanej bibliotece PKCS#11 wdrożenie rozwiązania odbyło się szybko i bez żadnych problemów.
W przypadku poważnego naruszenia zabezpieczeń NASK musiałaby natychmiast ponownie przypisać i zweryfikować wszystkie dwa miliony domen. Dlatego HSM Utimaco został przetestowany szczególnie pod kątem prędkości działania, a opisane czynności udało się przeprowadzić w niecałą godzinę. Inżynierów do urządzenia przekonał dodatkowo fakt, że moduły bezproblemowo obsługują dynamiczne aktualizacje systemu powtarzające się co 5 minut.
Dodatkowym warunkiem była możliwość wewnętrznego przechowywania kluczy, co stanowi przewagę scentralizowanych sprzętowych rozwiązań nad rozwiązaniami opartymi na oprogramowaniu. Zespół NASK szczegółowo przetestował pod względem pojemności urządzenia z serii SE 1000 LAN niemieckiego eksperta w dziedzinie kryptografii. Wyniki okazały się być w pełni satysfakcjonująca.
Podstawą bezproblemowej implementacji rozwiązania kryptograficznego Utimaco w należącym do NASK systemie DNS było użycie standardowych interfejsów oraz bezpłatnego oprogramowania do tworzenia symulacji. Rozwiązanie to pozwala klientom w prosty sposób włączyć HSM do środowiska informatycznego jako operatora systemu. Pogląd ten podziela Zbigniew Jasińsk: „Wielkie znaczenie miała dla nas możliwość przetestowania rozwiązania przed jego wdrożeniem. Możliwość użycia bezpłatnego oprogramowania symulującego HSM była strzałem w dziesiątkę, a kompletny sprzęt dostarczony przez inżynierów Utimaco pozwolił nam przetestować i przygotować nasze środowisko informatyczne”.
Wdrożenie rozwiązań sprzętu kryptograficznego musi być dopasowane do indywidualnych cech danego systemu i często wymaga wsparcia ze strony sprzedawcy: „Postawiliśmy na Utimaco, ponieważ firma wykazywała gotowość współpracy. Ponadto oferowane przez nią moduły HSM znakomicie odpowiadały naszym potrzebom i wymagały tylko nieznacznych adaptacji”, mówi Artur Piechocki, kierownik działu domen NASK.