AWS IoT — Уникальные ключи для каждого устройства — Шифрование данных

(Возможно, не тот совет, чтобы спросить. Но вот)

Я разрабатываю решение IoT с RPi в качестве клиента и AWS в качестве сервера. На клиентском оборудовании у меня есть Чип безопасности который может безопасно генерировать и хранить ключи/пары ECC, RSA, AES и может выполнять различные криптографические операции, включая ECDH, ECDSA, KeyGen и т. д.,

Мои более широкие цели на стороне облака заключаются в следующем:

1. На стороне сервера AWS я хочу создать уникальные ключи ECC для каждого устройства, сохранить их в HSM, выполнить ECDH для создания симметричных ключей для шифрования. Я не хочу, чтобы кто-либо (включая меня) имел доступ к закрытым ключам, сгенерированным KMS (или любой другой службой AWS — зашифрованной или иной).
2. Я хотел бы, чтобы операции шифрования и дешифрования выполнялись службами AWS (желательно на специальном оборудовании, предназначенном для этой работы). Это сделано для того, чтобы избежать злоупотребления ошибками реализации в моем коде.

• Хотя я могу генерировать ключи шифрования данных с помощью KMS, я считаю, что мне нужно расшифровать закрытый ключ в коде, чтобы использовать его. Это означает, что у меня есть доступ к закрытому ключу.
• Я еще не нашел способ сделать ECDH, а затем надежно хранить ключи, сгенерированные в этом процессе.

Не могли бы вы помочь мне в следующем:

1. Как безопасно генерировать и хранить ключи ECC для ECDH и ECDSA?
2. Есть ли какой-либо сервис, который может помочь мне выполнять криптографические операции (шифрование, дешифрование, ECDH, ECDSA и т. д.) без написания кода для них?

Спасибо!

тС

Как безопасно генерировать и хранить ключи ECC для ECDH и ECDSA?

Содержимое пар ключей для ECDH и ECDSA идентично. Их можно использовать в обоих алгоритмах, но стандартной практикой является создание отдельного ключа для разных целей.

Что касается хранения, вы должны обратиться к руководству для вашего HSM.

• Если ваш HSM может хранить их напрямую, сохраняйте их напрямую;

• Если ваш HSM может хранить только ключ шифрования, зашифруйте ключи ECC с помощью этого ключа шифрования и сохраните его в какой-либо NVRAM, а затем сохраните ключ шифрования в HSM.

Если вам нужны стандартные документы: вот соединять.

Есть ли какой-либо сервис, который может помочь мне выполнять криптографические операции (шифрование, дешифрование, ECDH, ECDSA и т. д.) без написания кода для них?

Вы можете использовать библиотеку. Существует множество библиотек, некоторые из них включают в себя:

• OpenSSL — самый известный, но в 2014 году была обнаружена серьезная уязвимость HeartBleed.

• LibreSSL — ответвление OpenSSL, поддерживаемое разработчиками OpenBSD.

• NSS — (Службы сетевой безопасности) от Mozilla.