Criptografía en IBM System z. ICSF, RMF, SMF y monitorización de recursos criptográficos

Hola,

He estado ojeando un par de redbooks de IBM que hablan de servicios criptográficos en System z (para la vieja guardia, los host o mainframe de IBM)

ibm system z

Los mainframe en general, cuyos buques estrella han sido tradicionalmente los host de IBM o las máquinas Unisys, son grandes sistemas transaccionales que dan cobertura a procesos críticos de negocio, en los que sea requisito abastecer a una fuerte demanda de transacciones online, y el poder de ejecución de tareas batch fuera de la ventana de operación en línea. Estos procesos fuera de línea precisan enorme capacidad de cómputo, para poder ofrecer y con garantías de finalización adecuadas, capacidad para operar online nuevamente. Sistemas típicos transaccionales son los bancarios, aunque otros sistemas como los relacionados con el censo poblacional masivo, servicios estadísticos o ERPs pueden apoyarse en mainframes.

En estos grandes sistemas, la criptografía juega un papel fundamental. Los datos sensibles, como por ejemplo los datos de medios de pago, los datos personales de la clientela y en general, cualquier dato que desee ser protegido, debe contar con el soporte de servicios criptográficos. En numerosos casos, la protección será aún mayor, ya que en vez de conservarse registros cifrados en tablas o botes, se confiará a la infraestructura criptográfica el cálculo y/o la verificación en tiempo real de un dato determinado, lo que hace innecesario su almacenamiento, reduciendo la potencial exposición ante accesos indebidos. En estos dos escenarios, los servicios criptográficos de un mainframe se tornan en críticos.

Los libros son algo densos, pero bueno, tampoco es que estas materias sean fáciles de digerir. Son los siguientes:

System z Cryptographic Services and z/OS PKI Services

Este libro puede ser interesante para una primera toma de contacto con los servicios criptográficos de los mainframe IBM. Algunos capítulos pueden estar bien para hacerse una idea, si bien el manual al completo es algo complejo y entra en temas que tienen que ver con la interrelación entre el mainframe y los sistemas periféricos que suelen rodear a los sistemas de este tipo.

A destacar:

Capítulo 1. La infraestructura criptográfica de System z. La sección 1.4 habla de ICSF y trazas de auditoría. También cubre otro aspecto básico, como el particionado lógico y la asignación de recursos criptográficos a los volúmenes lógicos del sistema.

Capítulo 2. Verificación de la actividad de criptografía hardware del mainframe. Interesante la sección 2.2.1, que habla sobre la detección del uso de recursos criptográficos protegidos por RACF. Ojo también a la sección 2.2.3, en la que se habla de las trazas de actividad de ICSF, la sección 2.4.2, en la que veremos cómo se puede recolectar información de la actividad del hardware de criptografía y los contenidos de 2.4.3, donde se habla de programas que invocan a los servicios criptográficos.

Capítulo 3. Control de la actividad criptográfica de z/OS mediante RMF, que trata sobre los mecanismos de log existentes en el gestor SMF (System Management Facility) para trazar la actividad del hardware criptográfico. En ciertos ambientes, puede ser de utilidad la recolección de datos para la infraestructura criptográfica mediante RMF (Resource Management Facility)

Los otros capítulos hablan de otros sistemas periféricos de IBM, como el control de la criptografía mediante Tivoli Omegamon XE for z/OS y RMF, o la criptografía Java. El capítulo 6 está dedicado a Public Key Cryptography Standard #11 (PKCS#11) y el capítulo 7, a la criptografía de clave pública PKI.

El único pero que le he encontrado es la poca información que se ofrece de Hardware Management Console (HMC). Se menciona únicamente de pasada cuando se habla de Crypto Express 2 (un mecanismo que combina en un único adaptador PCI-X las dos características principales de criptografía hardware, por un lado el coprocesador de criptografía para transacciones, y por otro lado, un acelerador, habitualmente usado para transaccionalidad SSL)

Monitoring System z Cryptographic Services

Este otro libro está exclusiamente dedicado a la monitorización de los servicios criptográficos en System z. Es prácticamente un extracto del libro anterior, recopilando los capítulos que hemos destacado. El primer capítulo es introductorio, y puede ser una buena referencia para no iniciados.

Espero os sean de utilidad ;)