AWS IoT - Chei unice pentru fiecare dispozitiv - Criptare datelor

(Probabil că nu este placa potrivită pentru a întreba. Dar aici merge)

Proiectez o soluție IoT cu RPi ca client și AWS ca server. Pe hardware-ul clientului, am un Cip de securitate care poate genera și stoca în siguranță chei/perechi ECC, RSA, AES și poate efectua o varietate de operațiuni criptografice, inclusiv ECDH, ECDSA, KeyGen etc.,

Obiectivele mele mai ample din partea cloud sunt următoarele:

1. Pe partea de server AWS, vreau să generez chei ECC unice pe dispozitiv, să le stochez în HSM, să efectuez ECDH pentru a genera chei simetrice pentru criptare. Nu vreau ca nimeni (inclusiv eu) să aibă acces la cheile private generate de KMS (Sau orice alt serviciu AWS - Criptat sau altfel).
2. Aș dori ca operațiunile de criptare și decriptare să fie efectuate de serviciile AWS (de preferință într-un hardware dedicat făcut pentru acea lucrare). Acest lucru este pentru a evita abuzul de erori de implementare în codul meu.

• Deși pot genera chei de criptare a datelor folosind KMS, cred că trebuie să decriptez cheia privată din cod pentru a o folosi. Aceasta înseamnă că am acces la cheia privată.
• Nu am găsit încă o modalitate de a face ECDH și apoi în siguranță stocați cheile generate în acel proces.

Ma puteti ajuta va rog cu urmatoarele:

1. Cum se generează și se stochează în siguranță cheile ECC pentru ECDH și ECDSA?
2. Există vreun serviciu care mă poate ajuta să fac operațiunile criptografice (Criptare, Decriptare, ECDH, ECDSA etc.) fără să fiu nevoit să scriu codul pentru ele?

Mulțumiri!

tC

Cum se generează și se stochează în siguranță cheile ECC pentru ECDH și ECDSA?

Conținutul perechilor de chei pentru ECDH și ECDSA este identic. Ele pot fi utilizate în ambii algoritmi, dar practica standard este de a genera chei separate în scopuri separate.

În ceea ce privește stocarea, trebuie să consultați manualul pentru HSM.

• Dacă HSM-ul dumneavoastră le poate stoca direct, atunci stocați-le direct;

• Dacă HSM-ul dvs. poate stoca doar o cheie de criptare, atunci criptați cheile dvs. ECC utilizând acea cheie de criptare și stocați-o într-un fel de NVRAM, apoi stocați cheia de criptare în HSM.

Dacă aveți nevoie de documente standard: iată a legătură.

Există vreun serviciu care mă poate ajuta să fac operațiunile criptografice (Criptare, Decriptare, ECDH, ECDSA etc.) fără să fiu nevoit să scriu codul pentru ele?

Puteți folosi o bibliotecă. Există multe biblioteci acolo, unele notabile includ:

• OpenSSL - cel mai cunoscut, dar a avut o vulnerabilitate gravă „HeartBleed” descoperită în 2014.

• LibreSSL - un furk de OpenSSL întreținut de dezvoltatorii OpenBSD.

• NSS - (Servicii de securitate de rețea) de la Mozilla.