AWS IoT - Khóa riêng cho mỗi thiết bị - Mã hóa dữ liệu

(Có lẽ không phải bảng phù hợp để hỏi. Nhưng đây đi)

Tôi đang thiết kế một Giải pháp IoT với RPi là máy khách và AWS là máy chủ. Trên phần cứng máy khách, tôi có một Chip bảo mật có thể tạo và lưu trữ Khóa/Cặp ECC, RSA, AES một cách an toàn và có thể thực hiện nhiều hoạt động mã hóa bao gồm ECDH, ECDSA, KeyGen, v.v.,

Các mục tiêu rộng hơn của tôi về phía đám mây như sau:

1. Về phía Máy chủ AWS, tôi muốn tạo Khóa ECC duy nhất cho mỗi thiết bị, lưu trữ chúng trong HSM, thực hiện ECDH để tạo khóa đối xứng để mã hóa. Tôi không muốn bất kỳ ai (kể cả tôi) có quyền truy cập vào các khóa riêng do KMS tạo (Hoặc bất kỳ Dịch vụ AWS nào khác - Được mã hóa hoặc cách khác).
2. Tôi muốn các hoạt động mã hóa và giải mã được thực hiện bởi các dịch vụ AWS (tốt nhất là trong một phần cứng chuyên dụng dành cho công việc đó). Điều này là để tránh lạm dụng các lỗi triển khai trong mã của tôi.

• Mặc dù tôi có thể tạo khóa Mã hóa dữ liệu bằng KMS, nhưng tôi tin rằng tôi phải giải mã khóa riêng tư trong mã để sử dụng nó. Điều này có nghĩa là tôi có quyền truy cập vào khóa riêng.
• Tôi vẫn chưa tìm ra cách để làm ECDH và sau đó an toàn lưu trữ các khóa được tạo trong quá trình đó.

Bạn có thể vui lòng giúp tôi như sau:

1. Làm cách nào để tạo và lưu trữ an toàn Khóa ECC cho ECDH và ECDSA?
2. Có dịch vụ nào có thể giúp tôi thực hiện các thao tác mã hóa (Mã hóa, Giải mã, ECDH, ECDSA, v.v.) mà không cần tôi phải viết mã cho chúng không?

Cảm ơn!

tC

Làm cách nào để tạo và lưu trữ an toàn Khóa ECC cho ECDH và ECDSA?

Nội dung cặp khóa cho ECDH và ECDSA là giống hệt nhau. Chúng có thể được sử dụng trong cả hai thuật toán, nhưng thông lệ tiêu chuẩn là tạo khóa riêng cho các mục đích riêng.

Đối với việc lưu trữ, bạn phải tham khảo hướng dẫn sử dụng cho HSM của mình.

• Nếu HSM của bạn có thể lưu trữ chúng trực tiếp, thì hãy lưu trữ chúng trực tiếp;

• Nếu HSM của bạn chỉ có thể lưu trữ một khóa mã hóa, thì hãy mã hóa các khóa ECC của bạn bằng khóa mã hóa đó và lưu trữ nó trong một số loại NVRAM, sau đó lưu trữ khóa mã hóa trong HSM.

Nếu bạn cần tài liệu tiêu chuẩn: đây là một liên kết.

Có dịch vụ nào có thể giúp tôi thực hiện các thao tác mã hóa (Mã hóa, Giải mã, ECDH, ECDSA, v.v.) mà không cần tôi phải viết mã cho chúng không?

Bạn có thể sử dụng một thư viện. Có rất nhiều thư viện ngoài kia, một số thư viện đáng chú ý bao gồm:

• OpenSSL - được biết đến nhiều nhất nhưng có lỗ hổng nghiêm trọng "HeartBleed" được phát hiện vào năm 2014.

• LibreSSL - một nhánh của OpenSSL được duy trì bởi các nhà phát triển OpenBSD.

• NSS - (Dịch vụ bảo mật mạng) từ Mozilla.