作者:Kryptus
数字认证和 加密 给业务流程带来诸多好处,这一点毫无疑问。
成功案例 数字认证 节省文档处理成本、加快工作流程等,这些优点已为公司、政府和个人所普遍接受。
然而——这是一个很大的但是——互操作性和缺乏与云业务模型相一致的标准是阻碍采用加密技术(包括数字认证)的两个主要原因。
事实上,在 巴西ICP例如,从一开始,主要关注点之一就是使硬件平台(尤其是智能卡、读卡器、令牌和 HSM)、证书以及后来的软件和签名格式兼容,以便用户拥有购买选择——这在具有强制用例的公共 ICP 中是必不可少的。
正如总干事 Roberto Gallo 博士所解释的那样 克里普托斯 和安全专家指出,标准化是围绕起源于1990世纪8年代的技术制定的,当时对效率和硬件成本的担忧推动了极端技术解决方案的出现:“[…] 最初,API和与设备通信的方式是以非常有限的设备(有时是11位微控制器)作为核心元素而设计的。设计人员将所有与主机系统接口的复杂性都留给了外部软件层。一个典型的例子是PKCS#XNUMX接口,它用C语言编写,其格式完全依赖于主机平台。”
数据格式根据操作系统、字节顺序、总线宽度(32/64 位)、处理器系列而不同[...]”。
此外,加洛评论说,制造商历来实施不兼容的标准子集,在某种程度上寻求竞争保护。
然而,OASIS KMIP 标准(密钥管理互操作性协议)彻底改变了这一切,因为它从使用角度出发,以互操作性、集成速度、易于部署和云模型为基本要素。根据我们的经验,开发人员只需一两天即可使用 KMIP 成功部署 HSM,而使用 PKCS#11 接口则需要数周时间。这是因为 KMIP 是面向消息的,而非编程式 API,它与语言无关。
该标准目前得到了巴西密码和数字认证市场主要公司的支持,包括 IBM、Oracle、Gemalto 和 Kryptus。
可以在 OSAIS 网站 (https://wiki.oasis-open.org/kmip/KnownKMIPImplementations) 上找到具有保证互操作性的完整列表,在那里可以找到使用该协议作为客户端(例如用于数据库加密或设置 ICP)和服务器(例如 HSM、IAM 平台等)的产品。
在巴西,Kryptus 为感兴趣的客户提供通过云端 (hsm.kryptus.com) 远程通过其 kNET HSM 产品测试 KMIP 的机会。
ITI 就使用 KMIP 进行云认证进行公众咨询
本周的 ITI 已就云端数字认证的使用展开公众咨询,以技术为核心 KMIP em 硬件安全模块.
可以查看查询 这里.
参与“云端数字证书”公众咨询
国家信息技术研究所 - ITI 通过两份主要文件草案 (DOC-ICP) 和一份决议草案,就“云端数字证书 (ICP-Brasil 的 HSM/PSC)”主题向公众征求意见。
[Regina Tupinambé 的原始帖子,CryptoId.com]
