開放源碼密鑰管理解決方案

Question

我正在研究密鑰管理解決方案以符合PCI標準。我已經和一些競技場的供應商談過了，雖然我喜歡他們的產品，但是這個成本超出了我的預算。是否有人知道任何開源或低成本的密鑰管理解決方案？我使用Windows/.NET環境，所以我更喜歡針對該環境的解決方案，但是我會很樂意聽到任何有關這方面的信息。

謝謝

Answer 1

我們和你有類似的經歷。我們需要一個用於PCI合規的關鍵管理解決方案，我們看到的所有商業產品都太昂貴了。一些主要經理的成本比我們的產品更適合小客戶！

我們最終制作了一個基於軟件的密鑰管理器。我們制定了要求和海外開發商對其進他們曾經在尋找其他客戶來使用它。我不知道他們是否仍然存在。

讓我來解釋我們探索的選項。首先要記住的是，PCI合規性和安全性是不同的事情，您可以符合PCI並且不是很安全。

選項0 - 爲每個DB列分配一個密鑰，並將密鑰存儲在DLL文件中。您的應用程序鏈接到DLL文件中以訪問密鑰來加密和解密數據。沒有人知道鑰匙。要定期更換密鑰，您需要使用新密鑰創建一個新的DLL，使用舊密鑰解密所有數據並使用新密鑰重新加密數據。然後使用帶有新密鑰的新DLL重新啓動應用程序。 （請注意，如果您曾考慮恢復數據庫備份，則需要保留舊密鑰。）

第一次聽說Option 0時，我很驚訝這是PCI兼容。我們不使用選項0

方法來改善期權0

如果你有一個HSM在你的環境中，使用HSM在DLL文件中的密鑰進行加密。當您的應用程序啓動時，它將使用HSM解密密鑰。如果您想要更高的安全性，請在每次需要時解密密鑰。

一旦您的密鑰被加密，將它們存儲在數據庫表中是安全的。如果您爲每個密鑰（舊密鑰和新密鑰）分配一個小整數密鑰ID，則可以將密鑰ID與加密數據一起存儲。這可以讓您執行增量密鑰替換並避免停機時間。

在許多進程中讓您的密鑰在內存中清除時，會增加您對發現密鑰的內存掃描攻擊的暴露程度。您可以創建一個新的進程，該進程是解密密鑰的唯一進程。您的應用程序將與此新流程對話來加密和解密數據。這個新的過程應該放在一個具有小「表面積」的盒子上以保護它。由於現在敏感數據正在通過網絡傳輸，因此應該對此通信進行加密。 SSL是一個不錯的選擇。

Answer 2

我意識到這是一個古老的線程，但也有幾個選項：

1. 一個完全免費且開放源代碼的密鑰管理解決方案是在http://sourceforge.net/projects/strongkey。我承認，這個軟件有點過時了，而且安裝起來相當複雜，因爲它假定你有一個PKI嚮應用程序客戶端發出數字證書，以便與密鑰管理服務器進行通信以及在客戶端設備上保護密鑰。
2. 原始的StrongKey軟件在三年前大幅簡化，並與具有加密硬件模塊（TPM和HSM）的設備集成，以提供更強大的密鑰管理。不幸的是，即使設備上的軟件都是自由和開放源碼軟件，集成解決方案本身並不是免費的 - 其價格已在其網站上列出（http://www.strongauth.com/products/key-appliance.html）。

然而，選項2有很多優點，因爲它允許您在完全符合PCI標準的情況下利用公有云（搜索「符合法規的雲計算（RC3）」並單擊IBM鏈接 - 我只能在我的答案中發佈兩個鏈接），以及更多關於如何利用在舊金山RSA 2013上發佈的設備的公告。

我希望有幫助。

Answer 3

看看KeyManager，這是OpenStack套件的關鍵管理組件。該應用程序可以用作OpenStack之外的獨立密鑰管理解決方案。

作爲OpenStack的一個組件，KeyManager正在積極開發，計劃在六個月的週期中計劃新功能。

Answer 4

我將添加到此列表中，因爲我在搜索中發現它，而其他人可能會從擴展列表中受益。

我最近找到了KeyWhiz這似乎是在阿爾法。

Answer 5

KLMS over KMIP是一個很好且易於使用的密鑰管理解決方案。 這是一個用Java編寫的開源解決方案。請參閱下面的鏈接以供參考。 http://www.ibm.com/developerworks/library/se-kmip4j/

名爲stubInterface的軟件包將包含通過KMIP使用KLMS所需的所有api。

KLMS：密鑰生命週期管理系統

KMIP：密鑰管理互操作協議

Answer 6

SNipeit是我所看到的是開源的，非常強大的，而且很容易使用最好的一個，即使是非技術人員。

https://snipeitapp.com/demo/

檢查它在那裏。