După ce m-am jucat cu un #YubiHSM timp de aproximativ 4 zile întregi, sunt oarecum mulțumit de alegere! 😁 Acestea fiind spuse, de asemenea, nu este suficient în mai multe locuri, așa că kilometrajul tău poate varia (de asemenea, în unele locuri în care aveam nevoie de el pentru a nu fi scurt). 🧵

Unde strălucește absolut sunt capacitățile și eleganța relativă și ușurința de utilizare. Spre deosebire de o YubiKey în care vorbiți direct cu dispozitivul, HSM este în general expus printr-un server web care îl interfață. Acest lucru vă permite să utilizați HSM de la distanță (cu problemele de operare noduroase).

Yubico oferă un shell CLI care poate vorbi YubiHSM, ceea ce este frumos pentru că puteți începe imediat (chiar nu doriți să vă rulați propriul protocol aici). Pe partea negativă, este... nu CLI de profil înalt cu care suntem obișnuiți în zilele noastre. Are o mulțime de datorii tehnologice și pistoale.

Din păcate, YubiHSM-urile nu sunt atât de comune, așa că bibliotecile de interfață din alte limbi sunt aproape inexistente. Yubico face piton, așa că fie te rostogolești cu asta, fie te întorci la coajă... Amintiți-vă doar de tunuri.

Principala mea problemă cu pistoalele este "ooops, am semnat ceva invalid". Ei bine, da, pentru că nu veți putea niciodată să explicați acea intrare în jurnalul de audit și nici să dovediți ceea ce ați semnat (mai ales pentru că nici măcar nu veți ști sau nu veți putea dovedi acest lucru). Ceea ce ne duce la ceea ce este rău: auditul.

YubiHSM se laudă cu un jurnal de audit semnat de inviolare. Ei bine, partea semnată s-a dovedit a fi marketing, nu este semnată. Jurnalul de audit *este* legat de hash, din păcate fără o semnătură este, de asemenea, inutil pentru auditul offline, deoarece orice jurnal poate fi falsificat și hashat.

Singura modalitate de a audita un YubiHSM este să aveți o conexiune live cu acesta. Acest lucru se datorează faptului că puteți dovedi că sunteți conectat la un HSM Yubico (prin certificate semnate), așa că dacă aveți încredere în Yubico și în hardware-ul lor HSM, atunci când spune că este la hash H, îl credeți. Dar este interactiv.

Celălalt dezavantaj este că jurnalul de audit conține doar operațiunile pe care le-a rulat, dar nu date. Acest lucru este oarecum de înțeles, dar face și jurnalele mult mai puțin utile: scriptul tău a făcut buclă de 10 ori și a semnat șirul gol? Ei bine, există 10 oportunități pentru semnături rău intenționate.

De asemenea, cel puțin deocamdată, nu am găsit o modalitate de a demonstra unui auditor că o anumită cheie *este* pe dispozitiv. Dacă îi oferiți unui auditor acces la atestarea cheilor dvs., atunci da, funcționează, dar pur și simplu se simte greșit. Fără asta nu pot decât să dovedesc că *la un moment dat am avut chei*.

Durerea mea personală este pentru că vreau să creez un raport de transparență pentru proiectul meu @dark_dot_bio, ceea ce pare semi-imposibil cu YubiHSM. Dacă modelul tău de amenințare este de a proteja cheile de actorii răi, un YubiHSM este perfect. Dacă doriți să demonstrați că nu există o utilizare greșită, deși noroc.

Una peste alta, nu pare să existe un produs mai bun pe piață la un interval de preț pe care să-l pot permite, așa că YubiHSM va trebui să o facă, dar oricine se uită la el, să fie sfătuit, capacitatea de audit presupune o *mulțime* încredere care ar fi putut fi evitată, pur și simplu nu a fost. Aripioară.