1. Mi a HSM, és mire használható?
Hardware Security Module (HSM) fizikai eszköz, mely a titkosító kulcsok tárolásáról gondoskodik. Biztonsági memóriája segítségével hajtja végre a kódolást, dekódolást. Az Oracle Wallet biztonságosabb megoldása. A kulcs védett az illetéktelen hozzáférési kísérletektől, mivel nem egy operációs rendszerfájl, hanem fizikai berendezés. Minden művelet, ami a kulcsot használja, a HSM-en belül történik. A kulcs így nem kerül át veszélyes memóriába. A HSM-et újra aktiválni kell, ahányszor az adatbázis újraindul. Menedzselése a biztonsági adminisztrátor felelőssége. Ha az adatbázis nyilvános kulccsal titkosított oszlopot tartalmaz, az oszlopot visszaállítja, majd újrakódolja HSM-alapú, AES szimmetrikus kulcsú titkosítással.
2. Wallet elhelyezésére és karbantartására milyen lehetőségek állnak rendelkezésre?
A wallet lehet egy előre megadott helyen megosztva más adatbázis komponensekkel, vagy elkülönítve tároljuk külön modulban a mesterkulcsot (ezt ajánlja az Oracle). A második esetben lehetőség van automatikus elérésre (auto-login), amikor a tárca folyamatosan nyitva van. Akkor használatos, ha nincs szükség erős biztonsági intézkedésekre (például csak akkor legyen nyitva, ha a megfelelő személy használja), kényelmes hozzáférést jelent a titkosított adatokhoz adatbázis újraindulása esetén is. A külön modul használata elszeparálja az alap adatbázis-kezelő programokat a titkosítási műveletektől, lehetővé téve az adatbázis adminisztrátor és a biztonsági adminisztrátor feladatainak szétválasztását. A biztonság fokozódik, mivel a wallet jelszava az adatbázis admin előtt ismeretlen, megkövetelve, hogy a biztonsági admin feladata legyen a tárca kezelése.
3. Windows környezetben milyen lehetőségek vannak tárcák tárolására?
Windows rendszerben lehetőség van többszörös wallet tárolására a registryben, előnyei
· könnyebb hozzáférés felügyelet: a wallet a felhasználó profil területén tárolva csak a felhasználónak engedélyezi a hozzáférést, kilépésével a wallethez férést is meggátolja
· könnyebb adminisztráció: nincs szükség engedélyek kérésére, a wallet automatikusan törlődik a profil törlésével. Az Oracle Wallet Manager létrehozható, és kezelhető a registryn belül.
támogatott lehetőségek:
· registryben létrehozott, registrybe mentett, registryből törölt wallet
· elmentés másik registry területre
· fájlrendszerben megnyitott wallet mentése registrybe, és fordítva
4. Milyen feladatokat lát el az Oracle Wallet Manager?
A wallet gondoskodik a szükséges tároló helyről, ahol biztonságban tudhatók az igazolások, valamint megbízhatósági pont, ahol a partner hitelessége ellenőrizhető (tanúsítvány - aláírt adatstruktúra, ami összeköti a hálózati személyazonosságot a megfelelő nyilvános kulccsal). A tárca erős jelszóval védett (min 8 karakter, nincs max hossz, kevert betű, szám vagy egyéb karakterek). A kulcsok tárolása X.509-es szabvánnyal karöltve, 3DES titkosítással történik. Ezen adatok kezelését, szerkesztését végzi az Oracle Wallet Manager:
· wallet létrehozása
· igazolás-kérés létrehozása
· PKI-alapú szolgáltatások eléréséhez a wallet megnyitása
· wallet kihelyezése külső környezetbe (harmadik fél)
· PKCS #12 formátumú wallet behozatala külső helyről
· wallet fel- és letöltése
· igazoló iratok biztonságos hardver modulba mentése API-k segítségével, amely eleget tesz a 11-es számú nyilvános kulcsú titkosítási szabványnak (PKCS #11 – Public-Key Cryptography Standards #11)
5. Mit jelent az auto-login, mikor használható?
Auto-login az automatikus wallet-hozzáférést jelent, ha a wallet-et külön modulban tároljuk. PKI-alapú hozzáférést jelent a szolgáltatásokhoz mellőzve az emberi beavatkozást. Használata létrehoz egy elhomályosított wallet-másolatot, amelyet addig használ automatikusan, amíg az auto-login módot ki nem kapcsoljuk. Auto-login wallet-eket fájlrendszeri engedélyek védik. Auto-login módban csak az operációs rendszer felhasználója, aki a wallet-et létrehozta, tudja kezelni Oracle Wallet Manager-en keresztül.
Engedélyezni kell az auto-logint, ha egyszeri belépési hozzáférést (Single Sign-on) szeretnénk összetett Oracle adatbázisokhoz.