Der Beitrag ist im Dezember 2015 erschienen
Gestern hatten wir die Gelegenheit, eine Funktion einer Safenet HSM Box, die wir für einen Kunden Hosten, auszuprobieren: Das Remote PED. Dazu muss man wissen, dass die HSM-Box quasi eine PKI bereitstellt, die für Verschlüsselungszwecke genutzt werden kann. Um die Box selbst abzusichern aber auch, um ein administratives Rollenmodell abzubilden, ist eine "Mehrfaktorauthentisierung" implementiert worden.
Es ist also möglich, mehrere verschiedene administrative Rollen abzubilden, und diese über eine Zweifaktorauthentisierung abzusichern. Für die verschiedenen Rollen, müssen verschiedene USB-Keys erstellt werden, die zusätzlich mit einer PIN abgesichert sind. Ein Administrator muss also über USB-Key und PIN verfügen, um sich für seine Tätigkeiten zu authentisieren.
Mindestens für das initiale Setup der Umgebung ist es vorgesehen, dass man physikalischen Zugang zu der HSM-Box hat, um die USB-Keys und die PINs zu erstellen. Dazu wird das sogenannte PED an die Box angeschlossen. Dabei handelt es sich um eine kleine Box mit Digitalanzeige und Tastatur. Um die Bedienung durch das PED zu aktivieren, muss man sich zunächst als "admin" auf die Konsole der HSM-Box einloggen. Arbeitet man direkt an der Box, erfolgt das über eine serielle Verbindung.
Da wir die für den Kunden wichtigen USB-Keys schon erstellt hatten, wollten wir nun ein Set Keys duplizieren, um es beim Kunden vor Ort benutzen zu können. Gleichzeitig stand die HSM-Box natürlich inzwischen im Rack im RZ.
Safenet hat für den Fall der Remote-Administration auch eine Lösung - sodass man eigentlich nach dem initialen Setup keinen physikalischen Zugriff mehr auf die HSM-Box benötigt. Man kann das PED auch "remote" verwenden.
Dazu wird das PED per USB an einen Windows-Rechner angeschlossen. Zusätzlich zu dem entsprechenden USB-Treiber benötigt man auch noch ein Stück Software: PedServer.exe.
Diese startet man auf der Windows-Kommandozeile mit PedServer -mode start. Man kann z. B. mit dem Taskmanager überprüfen, ob der Prozess korrekt gestartet worden ist. Der Prozess horcht auf Port 1503.
Um jetzt eine Verbindung mit der HSM-Box herzustellen, muss man sich dort zunächst wieder per ssh einloggen, in den Configure-Modus gehen, und per hsm remote ped connect <IP> <Port> eine Verbindung zu dem Laptop aufbauen. Dazu muss natürlich netzwerkmässig der Weg frei sein - Firewallfreischaltung required!
Wenn die Verbindung aufgebaut ist, zeigt dies das PED an. Danach kann man problemlos USB-Keys duplizieren.
Link: