Mozilla использует Crypto Stick для формирования цифровых подписей в своих репозиториях

Разработчики проекта Mozilla поделились опытом построения защищённой инфраструктуры для формирования цифровых подписей для пакетов, распространяемых через внутренние репозитории. Для хранения закрытых ключей используется USB-брелок Crypto Stick, выступающий в роли HSM-модуля.

Crypto Stick развивается в соответствии с принципами Open Hardware (готовые брелки продаются по цене 59 евро, что значительно ниже проприетарных аналогов) и поддерживает интеграцию с различными открытыми приложениями, такими как GnuPG, Mozilla Thunderbird + Enigmail, OpenSSH, Linux PAM, OpenVPN, Mozilla Firefox. Хранение ключей в Crypto Stick полностью изолирует их от системы, предоставляется лишь готовый API для выполнения криптографических операций, которые выполняются на стороне Crypto Stick. Crypto Stick поддерживает интерфейс OpenPGP Card version 2; может хранить три независимых RSA-ключа для цифровых подписей, аутентификации и шифрования; поддерживается как генерация ключей на устройстве, так и загрузка уже созданных ключей (можно загрузить одни и те же ключи на разные брелки и использовать их на разных серверах).

Так как в случае атаки злоумышленники не имеют возможность получить доступ к ключам (но могут выполнить с их помощью криптографические операции, например, подписать поддельный пакет), после выявления фактов компрометации инфраструктуры требуется лишь анализ целостности репозитория, сами ключи менять не нужно и соответственно нет необходимости в выполнении такой неприятной операции как распространение новых открытых ключей среди пользователей.

Полный текст статьи читайте на OpenNet