カテゴリ: セキュリティ
CodeMeter Certificate Vault
x.509形式を使用するデジタル証明書は、ますます一般的になり、ますます重要になっています。 ただし、証明書を管理したり、キーを安全に保存したりするプロセスは、これまでより簡単ではありません。特定のセキュリティ手順の必要性は、現実世界のユーザビリティとの衝突のために設定されています。CodeMeter Certificate Vaultは、そのときを救うためにここにあるのです。
すべてのCodeMeterドングル(CmDongle)の中核には、安全な要素、つまり安全なキーストレージと読み取り可能なメモリを備えた小さなチップが存在しています。CodeMeter Certificate Vaultは、この基本システムに基づいて構築されており、既存のCodeMeter APIを超えて、ソリューションを既存のアプリケーションまたはクライアントの特定の要件と統合するためのインターフェースを提供します。CodeMeter Certificate Vaultは、PKCS#11準拠のトークンプロバイダーとして機能し、マイクロソフト社の次世代の暗号化API(CNG)とキーストレージプロバイダー(KSP)として統合し、OpenSSL APIと妥協のないCodeMeterセキュリティを備えたTLS証明書のキーを保存および処理などをするために、完全に連携します。
証明書と鍵は、CodeMeter License Centralのような中央システムを経由し、特別に保護されたルートでCmDonglesに入ります。エンドユーザは、リクエスト、アップデート、署名された証明書など、技術的な細かいことを気にする必要はありません。このような複雑な管理はすべて、必要に応じてCA(認証局)を含め、ユーザーのバックグラウンドで行われます。
基本的プロセスとしては、証明書を必要とするエンティティ(人またはマシン)は、まずキーペアを作成します。理想的には、すでにハードウェアのセキュアエレメント内に作成します。この鍵ペアを用いて、上位の認証局に送るリクエストに署名します。リクエストはチェックされ、証明書が作成され署名され、署名された証明書が送り返されます。その後、要求元のエンティティがその証明書を読み取り可能なメモリにロードします。証明書の有効期限が切れると、すべてのプロセスがやり直されます。この(簡略化した)説明で、なぜ電子メールの署名と暗号化が少ないのか、なぜスマート健康保険カードが多くの国で政治的に注目されているのか、なぜ証明書が暗号専用のシーン以外のIT世界で疎外されているのかが簡単に理解できます。
CodeMeter Certificate Vaultは、このすべてを変えるために登場しました。ユーザー側では、PKCS#11、KSP、OpenSSLなどの標準的なインターフェースがそのまま残されています。すべてのアプリケーションは、CmDongle内の証明書と鍵に完全に適合した方法でアクセスでき、必要な暗号化操作はドングル内で行われます。証明書の作成はすべて中央認証局で行われ、認証局は企業のIT部門によって具体化される可能性があります。ここで証明書とキー・ペアが作成され、現場のドングルに配布されます。
この方法は、秘密鍵がユーザーの安全なドングルから決して離れてはならないと規定している、正しい証明書管理のすべてのルールに反しているように思われます。しかし、キーと証明書が中央の同様に安全な環境で作成されている場合、CodeMeter Certificate Vault Admin ToolまたはCodeMeter License Centralは、該当のCmDongleのみが復号できる暗号化アップデートファイル(WibuCmRaU)にそれらをパッケージ化することができます。このファイルは鍵や証明書をCmDongleに持ち込む安全な容器であり、標準的なインターフェースを通じて使用することができます。証明書の更新や削除も同様に行うことができ、ユーザーは一切関与する必要がありません。このため、産業施設の遠隔操作機器やIoT機器、あるいは企業ネットワークにおける暗号化メールやVPN証明書などに最適なプロセスとなっています。
KEYnote 37 – Edition Spring 2019