Sikkerhetsguide.

PKCS # 11-delsystemet gir applikasjoner en metode for tilgang til maskinvareenheter (tokens) pa enhetsnoytral mate. Innholdet i dette kapittelet samsvarer med versjon 2.01 i PKCS # 11-standarden.

Dette delsystemet er implementert ved hjelp av folgende komponenter:

En slot manager daemon (pkcsslotd), som gir delsystemet informasjon om tilstanden til tilgjengelige maskinvareenheter. Denne demonen startes automatisk under installasjon og nar systemet startes pa nytt. Et API-delt objekt (/usr/lib/pkcs11/pkcs11_API.so) er gitt som et generisk grensesnitt til adaptere som PKCS # 11-stotte har blitt implementert. Et adapter-spesifikt bibliotek, som gir PKCS # 11-stotten til adapteren. Denne tiered designen lar brukeren bruke nye PKCS # 11 enheter nar de kommer til radighet uten a kompilere eksisterende applikasjoner.

Dette kapittelet inneholder folgende informasjon:

IBM 4758 Model 2 Kryptografisk Coprocessor.

IBM 4758 Model 2 Cryptographic Coprocessor gir et sikkert databehandlingsmiljo. For du prover a konfigurere PKCS # 11-delsystemet, ma du kontrollere at adapteren er riktig konfigurert med en stottet mikrokode.

Verifisering av IBM 4758 Model 2 Cryptographic Coprocessor for bruk med PKCS # 11-delsystemet.

PKCS # 11-delsystemet er designet for automatisk a detektere adaptere som kan stotte PKCS # 11-anrop under installasjon og omstart. Av denne grunn vil enhver IBM 4758 Model 2 kryptografisk kopprosessor som ikke er riktig konfigurert, ikke v re tilgjengelig fra PKCS # 11-grensesnittet, og samtaler som sendes til adapteren, vil mislykkes. Fullfor folgende for a verifisere at adapteren er riktig konfigurert:

Kontroller at programvaren for adapteren er riktig installert ved hjelp av folgende kommando:

Hvis IBM 4758 Model 2 Cryptographic Coprocessor ikke vises i den resulterende listen, ma du kontrollere at kortet sitter riktig og at stottesoftwaren er riktig installert.

Kontroller at segment 3-bildet har PKCS # 11-programmet lastet. Hvis den ikke er lastet, se den spesifikke dokumentasjonen for adapteren for a fa den nyeste mikrokoden og installasjonsinstruksjonene.

Merk: Hvis dette verktoyet ikke er tilgjengelig, har ikke stotteprogramvaren blitt installert.

PKCS # 11 Subsystem Configuration.

PKCS # 11-delsystemet registrerer automatisk enheter som stotter PKCS # 11. For at enkelte applikasjoner skal kunne bruke disse enhetene, er det imidlertid nodvendig med noen innledende oppsett. Disse oppgavene inkluderer:

Disse oppgavene kan utfores via API (ved a skrive et PKCS # 11-program) eller ved a bruke SMIT-grensesnittet. PKCS # 11 SMIT-alternativene er tilgjengelige enten gjennom Administrer PKCS11-delsystemet fra hoved SMIT-menyen, eller ved hjelp av smit pkcs11-hurtigbanen.

Initialisering av Token.

Hver adapter eller PKCS # 11-token ma initialiseres for den kan brukes med hell. Denne initialiseringsprosedyren inneb rer a sette inn en unik etikett til symbolet. Denne etiketten tillater applikasjoner a unikt identifisere token. Derfor ma etikettene ikke gjentas. Derimot; API-en bekrefter ikke at etikettene ikke blir brukt pa nytt. Denne initialiseringen kan gjores via et PKCS # 11-program eller av systemadministratoren ved hjelp av SMIT. Hvis symbolet ditt har en sikkerhetsoffisjons-PIN, er standardverdien satt til 87654321. For a sikre sikkerheten til PKCS # 11-delsystemet, bor denne verdien endres etter initialisering.

For a initialisere token:

Skriv inn token management skjermen ved a skrive smit pkcs11. Velg Initialize a Token. Velg en PKCS # 11-adapter fra listen over stottede adaptere. Bekreft valget ditt ved a trykke Enter.

Merk: Dette vil slette all informasjon pa symbolet. Skriv inn sikkerhetsbekreftelses-PIN-koden (SO PIN) og en unik tokenetikett.

Hvis den riktige PIN-koden er oppgitt, vil adapteren bli initialisert eller pa nytt opprettet etter at kommandoen er ferdig.

Angi PIN-kode for sikkerhetsansvarlig.

Hvis symbolet ditt har en PIN-kode, kan du endre PIN-koden fra standardverdien som folger:

Skriv smitt pkcs11. Velg Angi PIN-kode for sikkerhetsbehandler. Velg den initialiserte adapteren som du vil angi SO PIN. Angi gjeldende SO-PIN og en ny PIN-kode. Bekreft den nye PIN-koden.

Initialisering av brukerens PIN-kode.

Etter at token er initialisert, kan det v re nodvendig a sette brukerens PIN-kode for a tillate at applikasjoner far tilgang til tokenobjekter. Se den enhetsspesifikke dokumentasjonen for a finne ut om enheten krever at en bruker logger pa for du far tilgang til objekter.

For a initialisere brukerens PIN-kode:

Skriv inn token management skjermen skrive smit pkcs11. Velg Initialiser brukerens PIN-kode. Velg en PKCS # 11-adapter fra listen over stottede adaptere. Oppgi SO-PIN og brukerens PIN-kode. Bekreft brukerens PIN-kode. Ved bekreftelse ma brukerens PIN-kode endres.

Tilbakestille brukerens PIN-kode.

For a tilbakestille brukerens PIN-kode, kan du enten initialisere PIN-koden med SO-PIN-koden eller angi bruker-PIN-koden ved hjelp av den eksisterende bruker-PIN-koden. A gjore dette:

Skriv inn token management skjermen ved a skrive smit pkcs11. Velg Angi brukerens PIN-kode. Velg den initialiserte adapteren som du vil angi brukerens PIN-kode for. Skriv inn den nav rende brukerens PIN-kode og en ny PIN-kode. Bekreft den nye brukerens PIN-kode.

Innstilling av PKCS # 11 Funksjonskontrollvektor.

Din token stotter kanskje ikke sterk kryptografisk operasjon uten a laste inn en funksjonsstyringsvektor. Vennligst se din spesifikke dokumentasjon for enheten for a finne ut om token din trenger en funksjonskontrollvektor og hvor du skal finne den.

Hvis en funksjonskontrollvektor er nodvendig, bor du ha en nokkelfil. Slik laster du funksjonskontrollvektoren:

Skriv inn token management skjermen ved a skrive smit pkcs11. Velg Sett funksjonskontrollvektoren. Velg PKCS # 11-sporet for symbolet. Skriv inn banen til funksjonskontrollvektorfilen.

PKCS # 11 bruk.

For et program som skal bruke PKCS # 11-delsystemet, ma delsystemets slot manager daemon kjores, og soknaden ma lastes i APIs delte objekt.

Slotsbehandleren starter normalt ved oppstartstid ved inittab a ringe /etc/rc.pkcs11 scriptet. Dette skriptet verifiserer adapterne i systemet for du starter spilleren daemon. Som et resultat er spillelederdemonen ikke tilgjengelig for brukeren logger pa systemet. Etter at demonen starter, inntar delsystemet eventuelle endringer i antall og typer stottede adaptere uten inngrep fra systemadministratoren.

API-en kan lastes enten ved a koble i objektet ved kjoretid eller ved bruk av utsatt symbolopplosning. For eksempel kan et program fa PKCS # 11-funksjonslisten pa folgende mate: