我正在终止我的DMZ中的SSL / TLS,我必须假设这台机器将被黑客入侵。 此时,我的证书被泄露。
以前我用nCipher硬件密钥库/加速器来解决这个问题。 这些卡甚至不会透露私钥。 该卡片在板上执行encryption和解密,并加强对物理攻击。 获取钥匙的唯一方法是将智能卡读卡器连接到卡本身。
我很难find有关某些东西的信息来重新创build这种方法。 这是专业交换机和防火墙这个领域吗?
这个旧页面引用了一些旧的硬件: http : //www.kegel.com/ssl/hw.html#cards
如果您select了SSL实现,那么它将限制您select的硬件。 支持长期由官方发布支持的硬件,按原样。
在使用防篡改硬件来保护您的密钥之前,值得考虑一些其他问题:
被盗的证书只有在DNS被劫持时才有用。 (SSL使用Diffie-Hellman防止被动攻击,所以小偷需要成为一个活跃的中间人,冒充你)。
SSL只与其信任的最弱的 CA(证书颁发机构)一样安全。 浏览器有两个主要的CA(Comodo,DigiNotar)在过去的两年内被公开的泄露。 如果可能(显然不是在networking商务中),请在没有CA的情况下安装证书。
为您的证书申请最短的实际到期时间。
闯入你的SSL终结者的人不需要你的证书来造成重大的伤害。 他可以隐藏在那里,漏斗和过滤stream量(例如,取得信用卡号码),并使用隐写检测无法检索到结果。
商业encryption硬件有一个可怕的安全logging。 有定时攻击,故障注入(电压,辐射)攻击和传统的错误。 他们是封闭的,营利性产品; 他们有很强的隐藏缺陷的动机 – 正如在RSA SecureID的情况下所显示的那样。