Služby zabezpečení sítě - Network Security Services
 | |||||
| Vývojáři | Mozilla , AOL , Red Hat , Sun Microsystems , Oracle Corporation , Google a další | ||||
|---|---|---|---|---|---|
| Stabilní uvolnění (s) [±] | |||||
| |||||
| Úložiště |
|
||||
| Napsáno | C , montáž | ||||
| Operační systém | Cross-platform | ||||
| Plošina | Cross-platform | ||||
| Typ | Knihovny | ||||
| Licence | MPL 2.0 | ||||
| webová stránka | vývojář |
||||
Network Security Services ( NSS ) je kolekce kryptografických počítačových knihoven navržených tak, aby podporovaly vývoj klientských a serverových aplikací s podporou různých platforem s volitelnou podporou hardwarové akcelerace TLS/SSL na straně serveru a hardwarových čipových karet na straně klienta. NSS poskytuje kompletní open-source implementaci kryptografických knihoven podporujících Transport Layer Security (TLS) / Secure Sockets Layer (SSL) a S / MIME . Verze NSS před verzí 3.14 jsou licencovány podle licencí Mozilla Public License 1.1, GNU General Public License a GNU Lesser General Public License . Od verze 3.14 jsou vydání NSS licencována pod veřejnou licencí Mozilla 2.0 kompatibilní s GPL.
Dějiny
NSS pochází z knihoven vyvinutých, když Netscape vynalezl bezpečnostní protokol SSL.
Ověření FIPS 140 a testování NISCC
Softwarový krypto modul NSS byl pětkrát ověřen (v letech 1997, 1999, 2002, 2007 a 2010) z hlediska shody s FIPS 140 na úrovních zabezpečení 1 a 2. NSS byla první open source kryptografickou knihovnou, která obdržela ověření FIPS 140. Knihovny NSS prošly testovacími sadami NISCC TLS/SSL a S/MIME (1,6 milionu testovacích případů neplatných vstupních dat).
Aplikace, které používají NSS
Společnosti AOL , Red Hat , Sun Microsystems / Oracle Corporation , Google a další společnosti a jednotliví přispěvatelé společně vyvinuli NSS. Mozilla poskytuje úložiště zdrojových kódů, systém sledování chyb a infrastrukturu pro seznamy adres a diskusní skupiny. Oni a další níže uvedení používají NSS v řadě produktů, včetně následujících:
- Klientské produkty Mozilla , včetně Firefoxu , Thunderbirdu , SeaMonkey a Firefoxu pro mobily .
- AOL Communicator a AOL Instant Messenger (AIM)
- Open source klientské aplikace jako Evolution , Pidgin a OpenOffice.org 2.0 a novější (a její potomci).
- Serverové produkty od Red Hat : Red Hat Directory Server , Red Hat Certificate System a mod nss SSL modul pro webový server Apache .
- Sun serverové produkty ze Sun Java Enterprise System , včetně Sun Java System Web Server , Sun Java System Directory Server , Sun Java System Portal Server , Sun Java System Messaging Server a Sun Java System Application Server , open source verze Directory Server OpenDS .
- Libreswan IKE/IPsec vyžaduje NSS. Je to vidlice Openswanu, která by případně mohla použít NSS.
Architektura
NSS obsahuje rámec, do kterého mohou vývojáři a výrobci OEM přispívat záplatami, jako je například kód sestavení, k optimalizaci výkonu na svých platformách. Mozilla certifikovala NSS 3.x na 18 platformách. NSS využívá Netscape Portable Runtime (NSPR), platformově neutrální open-source API pro systémové funkce určené k usnadnění vývoje napříč platformami. Stejně jako NSS byl NSPR hojně používán ve více produktech.
Sada pro vývoj softwaru
Kromě knihoven a API poskytuje NSS bezpečnostní nástroje potřebné pro ladění, diagnostiku, správu certifikátů a klíčů, správu kryptografických modulů a další vývojové úkoly. NSS přichází s rozsáhlou a rostoucí sadou dokumentace, včetně úvodního materiálu, odkazů na API, manstránek pro nástroje příkazového řádku a ukázkového kódu.
Programátoři mohou využívat NSS jako zdrojové i jako sdílené (dynamické) knihovny. Každé vydání NSS je zpětně kompatibilní s předchozími verzemi, což uživatelům NSS umožňuje upgradovat na nové sdílené knihovny NSS bez nutnosti překompilovat nebo znovu spojovat své aplikace.
Interoperabilita a otevřené standardy
NSS podporuje řadu standardů zabezpečení, včetně následujících:
- TLS 1.0 (RFC 2246), 1.1 (RFC 4346), 1.2 (RFC 5246) a 1.3 (RFC 8446). Protokol TLS (Transport Layer Security) z IETF nahrazuje protokol SSL v3.0, přičemž zůstává zpětně kompatibilní s implementacemi SSL v3.
- SSL 3.0. Protokol SSL (Secure Sockets Layer) umožňuje vzájemné ověřování mezi klientem a serverem a navázání ověřeného a šifrovaného připojení.
- DTLS 1.0 (RFC 4347) a 1.2 (RFC 6347).
- DTLS-SRTP (RFC 5764).
- Následující standardy PKCS :
- PKCS #1. Standard RSA, který řídí implementaci kryptografie veřejného klíče na základě algoritmu RSA.
- PKCS #3. Standard RSA, který řídí implementaci klíčové dohody Diffie – Hellman.
- PKCS #5. Standard RSA, který řídí kryptografii založenou na heslech, například pro šifrování soukromých klíčů pro ukládání.
- PKCS #7. Standard RSA, který řídí aplikaci kryptografie na data, například digitální podpisy a digitální obálky.
- PKCS #8. Standard RSA, který řídí ukládání a šifrování soukromých klíčů.
- PKCS #9. Standard RSA, který řídí vybrané typy atributů, včetně těch, které se používají s PKCS #7, PKCS #8 a PKCS #10.
- PKCS #10. Standard RSA, který řídí syntaxi pro žádosti o certifikát.
- PKCS #11. Standard RSA, který řídí komunikaci s kryptografickými tokeny (jako jsou hardwarové akcelerátory a čipové karty) a umožňuje nezávislost aplikace na konkrétních algoritmech a implementacích.
- PKCS #12. Standard RSA, který řídí formát používaný k ukládání nebo přepravě soukromých klíčů, certifikátů a dalšího tajného materiálu.
- Kryptografická syntaxe zpráv , používaná v S/MIME (RFC 2311 a RFC 2633). Specifikace zpráv IETF (založená na populárním standardu Internet MIME ), která poskytuje konzistentní způsob odesílání a přijímání podepsaných a šifrovaných dat MIME.
- X.509 v3 . Standard ITU, který řídí formát certifikátů používaných pro autentizaci v kryptografii veřejného klíče.
- OCSP (RFC 2560). Protokol OCSP (Online Certificate Status Protocol) řídí potvrzení platnosti certifikátu v reálném čase.
- Certifikát PKIX a profil CRL (RFC 3280). První část čtyřdílného standardu, který vyvíjí pracovní skupina Public-Key Infrastructure (X.509) pracovní skupiny IETF (známá jako PKIX) pro infrastrukturu veřejného klíče pro internet.
- RSA , DSA , ECDSA , Diffie – Hellman , EC Diffie – Hellman , AES , Triple DES , Camellia , IDEA , SEED , DES , RC2 , RC4 , SHA-1 , SHA-256, SHA-384, SHA-512 , MD2 , MD5 , HMAC : Běžné kryptografické algoritmy používané v kryptografii s veřejným klíčem a symetrickým klíčem.
- Generátor pseudonáhodných čísel FIPS 186-2.
Hardwarová podpora
NSS podporuje rozhraní PKCS #11 pro přístup ke kryptografickému hardwaru, jako jsou akcelerátory TLS/SSL , moduly zabezpečení hardwaru a čipové karty . Protože většina dodavatelů hardwaru, jako jsou SafeNet , AEP a Thales, toto rozhraní také podporuje, mohou aplikace s podporou NSS pracovat s vysokorychlostním krypto hardwarem a používat soukromé klíče umístěné na různých čipových kartách, pokud dodavatelé poskytnou potřebný middleware. NSS verze 3.13 a vyšší podporuje Advanced Encryption Standard New Instructions (AES-NI).
Podpora Java
Network Security Services for Java (JSS) se skládá z rozhraní Java k NSS. Podporuje většinu bezpečnostních standardů a šifrovacích technologií podporovaných NSS. JSS také poskytuje čisté rozhraní Java pro typy ASN.1 a kódování BER / DER .