丸4日間ほど #YubiHSM で遊んだので、この選択にはちょっと満足しています!😁 そうは言っても、それはまた多くの場所で不足しているので、あなたのマイレージは異なるかもしれません(また、不足しないように必要だったいくつかの場所もあります)。🧵

それが絶対に輝いているのは、その機能と相対的な優雅さと使いやすさです。 YubiKeyがデバイスに直接通信するのとは対照的に、HSMは通常、Webサーバーを介してインターフェースされます。これにより、HSMをリモートで使用できます(厄介なopsecの問題があります)。

Yubicoは、YubiHSMを話すことができるCLIシェルを提供しており、すぐに開始できるので便利です(ここで自分のプロトコルをロールするのは本当に望ましくありません)。マイナス面としては、それは...私たちが最近慣れ親しんでいる知名度の高いCLIではありません。それは多くの技術的負債とフットガンを持っています。

残念ながら、YubiHSMはそれほど一般的ではないため、他の言語のインターフェースライブラリはほぼ存在しません。YubicoはPythonをやっているので、それで転がるか、シェルに戻るかのどちらかです...フットガンを覚えておいてください。

フットガンに関する私の主な問題は、「おっと、何か無効なものに署名してしまった」ということです。はい、おっと、その監査ログエントリを説明したり、署名したものを証明したりすることは決してできないからです(ほとんどの場合、それを知らないか証明することさえできないため)。これは、監査という悪い点につながります。

YubiHSMは、改ざん防止の署名付き監査ログを持っていることを売り込んでいます。まあ、署名された部分はマーケティングであることが判明しました、それは署名されていません。 監査ログはハッシュリンクされていますが、残念ながら署名がなければ、任意のログが偽造およびハッシュ化されるため、オフライン監査にも役に立ちません。

YubiHSM を監査する唯一の方法は、YubiHSM にライブ接続することです。これは、Yubico HSMに接続している(署名付き証明書を介して)ことを証明できるため、YubicoとそのHSMハードウェアを信頼している場合は、ハッシュHにあると表示されていれば、それを信じます。しかし、それはインタラクティブです。

もう 1 つの欠点は、監査ログには実行した操作のみが含まれ、データが含まれないことです。これはある程度理解できますが、ログの有用性も大幅に低下します:スクリプトは10回ループし、空の文字列に署名しましたか?悪意のあるシグネチャの機会は10あります。

また、少なくとも今のところ、特定のキーがデバイス上にあることを監査人に実証する方法は見つかりませんでした。監査人にキーの証明アクセス権を付与すれば、確かに機能しますが、間違っているように感じます。それがなければ、*ある時点で私が鍵を持っていた*ことを証明することしかできません。

私の個人的な苦痛は、YubiHSMでは半ば不可能に思える@dark_dot_bioプロジェクトの透明性レポートを作成したいからです。 脅威モデルが悪意のある人物からキーを保護することである場合、YubiHSMは最適です。あなたが誤用を示さないようにしたい場合は、運が良ければ。

全体として、私が実際に購入できる価格帯で市場にはこれ以上の製品はないように思われるので、YubiHSMはやらなければなりませんが、それを調べている人は誰でも、監査機能は避けられたはずの*多くの*信頼を前提としていることに注意してください。鰭。