Puncte:1

AWS IoT - Chei unice pentru fiecare dispozitiv - Criptare datelor

drapel rs

(Probabil că nu este placa potrivită pentru a întreba. Dar aici merge)

Proiectez o soluție IoT cu RPi ca client și AWS ca server. Pe hardware-ul clientului, am un Cip de securitate care poate genera și stoca în siguranță chei/perechi ECC, RSA, AES și poate efectua o varietate de operațiuni criptografice, inclusiv ECDH, ECDSA, KeyGen etc.,

Obiectivele mele mai ample din partea cloud sunt următoarele:

  1. Pe partea de server AWS, vreau să generez chei ECC unice pe dispozitiv, să le stochez în HSM, să efectuez ECDH pentru a genera chei simetrice pentru criptare. Nu vreau ca nimeni (inclusiv eu) să aibă acces la cheile private generate de KMS (Sau orice alt serviciu AWS - Criptat sau altfel).
  2. Aș dori ca operațiunile de criptare și decriptare să fie efectuate de serviciile AWS (de preferință într-un hardware dedicat făcut pentru acea lucrare). Acest lucru este pentru a evita abuzul de erori de implementare în codul meu.
  • Deși pot genera chei de criptare a datelor folosind KMS, cred că trebuie să decriptez cheia privată din cod pentru a o folosi. Aceasta înseamnă că am acces la cheia privată.
  • Nu am găsit încă o modalitate de a face ECDH și apoi în siguranță stocați cheile generate în acel proces.

Ma puteti ajuta va rog cu urmatoarele:

  1. Cum se generează și se stochează în siguranță cheile ECC pentru ECDH și ECDSA?
  2. Există vreun serviciu care mă poate ajuta să fac operațiunile criptografice (Criptare, Decriptare, ECDH, ECDSA etc.) fără să fiu nevoit să scriu codul pentru ele?
Mulțumiri!
tC
fgrieu avatar
drapel ng
Deoarece menționați HSM pe partea AWS, cea mai bună practică este să generați, să stocați și să utilizați cheile în cadrul HSM, lăsându-vă fără nicio modalitate de a manipula cheile în niciun fel (vestea bună este că nu aveți nevoie/aveți cheile corespunzătoare). efort/cunoștințe/risc). A avea toate cripto-urile în HSM este o alegere definitorie de design, care vine cu atât constrângeri, cât și beneficii. HSM va face cripto. Doriți să citiți [documentația furnizorului](https://aws.amazon.com/cloudhsm/) și mă tem că aspectele practice și IT ale întrebării ar putea deriva din afara subiectului.
Puncte:1
drapel vu

Cum se generează și se stochează în siguranță cheile ECC pentru ECDH și ECDSA?

Conținutul perechilor de chei pentru ECDH și ECDSA este identic. Ele pot fi utilizate în ambii algoritmi, dar practica standard este de a genera chei separate în scopuri separate.

În ceea ce privește stocarea, trebuie să consultați manualul pentru HSM.

  • Dacă HSM-ul dumneavoastră le poate stoca direct, atunci stocați-le direct;

  • Dacă HSM-ul dvs. poate stoca doar o cheie de criptare, atunci criptați cheile dvs. ECC utilizând acea cheie de criptare și stocați-o într-un fel de NVRAM, apoi stocați cheia de criptare în HSM.

Dacă aveți nevoie de documente standard: iată a legătură.

Există vreun serviciu care mă poate ajuta să fac operațiunile criptografice (Criptare, Decriptare, ECDH, ECDSA etc.) fără să fiu nevoit să scriu codul pentru ele?

Puteți folosi o bibliotecă. Există multe biblioteci acolo, unele notabile includ:

  • OpenSSL - cel mai cunoscut, dar a avut o vulnerabilitate gravă „HeartBleed” descoperită în 2014.

  • LibreSSL - un furk de OpenSSL întreținut de dezvoltatorii OpenBSD.

  • NSS - (Servicii de securitate de rețea) de la Mozilla.

Teja avatar
drapel rs
Multumesc pentru raspuns. Întrebarea mea este mai mult despre cum să realizez acest lucru în AWS. [AWS KMS](https://aws.amazon.com/kms/) îmi oferă o opțiune de a genera chei. Totuși, pot obține acces la cheile private, ceea ce nu vreau (în cazul oricărei solicitări legale, pot preda doar date criptate. Fără eu să am acces la chei, nu le-aș putea livra catre oricine)

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.