Lidé a podniky potřebují chránit svůj majetek pomocí kryptografických klíčů. Ale také potřebují chránit tyto klíče. HSM mohou být odpovědí.
Kyberzločinci lze nalézt všude, zaměřují se a útočí na každé náchylné zařízení, software nebo systém, se kterým se setkají. To si vyžádalo jednotlivce a společnosti, aby přijali bezpečnostní opatření další úrovně, jako je používání kryptografických klíčů, k ochraně svých IT aktiv.
Správa kryptografických klíčů, včetně jejich generování, ukládání a auditování, je však často hlavní překážkou v zabezpečení systémů. Dobrou zprávou je, že kryptografické klíče můžete bezpečně spravovat pomocí hardwarového bezpečnostního modulu (HSM).
Co je hardwarový bezpečnostní modul (HSM)?
HSM je fyzické výpočetní zařízení, které chrání a spravuje kryptografické klíče. Obvykle má alespoň jeden zabezpečený kryptoprocesor a je běžně dostupný jako zásuvná karta (SAM/SIM karta) nebo externí zařízení, které se připojuje přímo k počítači nebo síťovému serveru.
HSM jsou navrženy tak, aby chránily životní cyklus kryptografických klíčů pomocí hardwarových modulů odolných proti neoprávněné manipulaci a chránily data prostřednictvím několika
techniky, včetně šifrování a dešifrování. Slouží také jako bezpečná úložiště pro kryptografické klíče, které se používají pro úkoly, jako je šifrování dat, správa digitálních práv (DRM) a podepisování dokumentů.Jak fungují hardwarové bezpečnostní moduly?
HSM zajišťují bezpečnost dat generováním, zabezpečením, nasazením, správou, archivací a likvidací kryptografických klíčů.
Během zřizování jsou generovány jedinečné klíče, zálohovány a šifrovány pro ukládání. Klíče jsou poté rozmístěny oprávněným personálem, který je instaluje do HSM, což umožňuje kontrolovaný přístup.
HSM nabízejí funkce správy pro monitorování, kontrolu a rotaci kryptografických klíčů podle průmyslových standardů a organizačních zásad. Nejnovější HSM například zajišťují shodu tím, že prosazují doporučení NIST používat klíče RSA o délce alespoň 2048 bitů.
Jakmile se kryptografické klíče již aktivně nepoužívají, spustí se proces archivace, a pokud klíče již nejsou potřeba, jsou bezpečně a trvale zničeny.
Archivace zahrnuje ukládání vyřazených klíčů offline, což umožňuje budoucí načítání dat zašifrovaných těmito klíči.
K čemu slouží hardwarové bezpečnostní moduly?
Primárním účelem HSM je zabezpečit kryptografické klíče a poskytovat základní služby pro ochranu identit, aplikací a transakcí. HSM podporují více možností připojení, včetně připojení k síťovému serveru nebo použití offline jako samostatná zařízení.
HSM mohou být zabaleny jako čipové karty, PCI karty, diskrétní zařízení nebo cloudová služba s názvem HSM as a Service (HSMaaS). V bankovnictví se HSM používají v bankomatech, EFT a PoS systémech, abychom jmenovali alespoň některé.
HSM chrání mnoho každodenních služeb, včetně údajů o kreditních kartách a PIN, lékařských zařízení, národních průkazů totožnosti a pasů, inteligentních měřičů a kryptoměn.
Typy hardwarových bezpečnostních modulů
HSM se dodávají ve dvou hlavních kategoriích, z nichž každá nabízí odlišné ochranné schopnosti přizpůsobené konkrétním průmyslovým odvětvím. Zde jsou dostupné různé typy HSM.
1. Univerzální HSM
Univerzální HSM mají více funkcí šifrovací algoritmy, včetně symetrických, asymetrickýcha hashovací funkce. Tyto nejoblíbenější HSM jsou nejlépe známé pro svůj výjimečný výkon při ochraně citlivých datových typů, jako jsou kryptopeněženky a infrastruktura veřejných klíčů.
HSM spravují četné kryptografické operace a běžně se používají v PKI, SSL/TLS a obecné ochraně citlivých dat. Z tohoto důvodu se obvykle používají HSM pro všeobecné použití, aby pomohly splnit obecné průmyslové standardy, jako jsou bezpečnostní požadavky HIPAA a soulad s FIPS.
Univerzální HSM také podporují konektivitu API pomocí Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Cryptography Standard (PKCS) #11 a Microsoft Cryptographic Application Programming Interface (CAPI), které uživatelům umožňují vybrat si rámec, který nejlépe vyhovuje jejich kryptografii. operace.
2. Platební a transakční HSM
Platební a transakční HSM byly speciálně navrženy pro finanční průmysl k ochraně citlivých platebních informací, jako jsou čísla kreditních karet. Tyto HSM podporují platební protokoly, jako je APACS, a zároveň dodržují řadu specifických průmyslových standardů, jako je EMV a PCI HSM, pro zajištění souladu.
HSM přidávají další vrstvu ochrany platebním systémům zabezpečením citlivých dat během přenosu a ukládání. To vedlo finanční instituce, včetně bank a zpracovatelů plateb, k jeho přijetí jako integrálního řešení pro zajištění bezpečného zpracování plateb a transakcí.
Klíčové vlastnosti hardwarových bezpečnostních modulů
HSM slouží jako kritické komponenty pro zajištění souladu s předpisy o kybernetické bezpečnosti, zvýšení bezpečnosti dat a udržení optimální úrovně služeb. Zde jsou klíčové vlastnosti HSM, které jim toho pomáhají dosáhnout.
1. Odolnost proti neoprávněné manipulaci
Primárním cílem zajištění odolnosti HSM proti neoprávněné manipulaci je ochrana vašich kryptografických klíčů v případě fyzického útoku na HSM.
Podle FIPS 140-2 musí HSM obsahovat plomby prokazující neoprávněnou manipulaci, aby se kvalifikovalo pro certifikaci jako zařízení úrovně 2 (nebo vyšší). Jakýkoli pokus o manipulaci s HSM, jako je odstranění ProtectServer PCIe 2 z jeho sběrnice PCIe, spustí událost manipulace, která odstraní veškerý kryptografický materiál, konfigurační nastavení a uživatelská data.
2. Bezpečný design
HSM jsou vybaveny jedinečným hardwarem, který splňuje požadavky stanovené PCI DSS a vyhovuje různým vládním standardům, včetně Common Criteria a FIPS 140-2.
Většina HSM je certifikována na různých úrovních FIPS 140-2, většinou na úrovni 3 certifikace. Vybrané HSM certifikované na úrovni 4, nejvyšší úrovni, jsou skvělým řešením pro organizace, které hledají špičkovou ochranu.
3. Autentizace a řízení přístupu
HSM slouží jako strážci brány, řízení přístupu k zařízením a datům chrání. To je evidentní díky jejich schopnosti aktivně monitorovat HSM kvůli neoprávněné manipulaci a účinně reagovat.
Pokud je detekována manipulace, některé HSM buď přestanou fungovat, nebo vymažou kryptografické klíče, aby se zabránilo neoprávněnému přístupu. Pro další zvýšení bezpečnosti používají HSM silné autentizační postupy, jako je např vícefaktorové ověřování a přísné zásady řízení přístupu, které omezují přístup oprávněným osobám.
4. Compliance a audit
Aby byla zachována shoda, musí HSM dodržovat různé normy a předpisy. Mezi hlavní patří obecné nařízení Evropské unie o ochraně osobních údajů (GDPR), Domain Name System Security Extensions (DNSSEC), PCI Data Security Standard, Common Criteria a FIPS 140-2.
Soulad se standardy a předpisy zajišťuje ochranu dat a soukromí, zabezpečení infrastruktury DNS, zabezpečení transakce platebními kartami, mezinárodně uznávaná bezpečnostní kritéria a dodržování vládního šifrování standardy.
HSM také obsahují funkce protokolování a auditování, které umožňují monitorování a sledování kryptografických operací pro účely dodržování předpisů.
5. Integrace a API
HSM podporují populární API, jako je CNG a PKCS #11, což umožňuje vývojářům bezproblémově integrovat funkce HSM do svých aplikací. Jsou také kompatibilní s několika dalšími rozhraními API, včetně JCA, JCE a Microsoft CAPI.
Chraňte své kryptografické klíče
HSM poskytují jedny z nejvyšších úrovní zabezpečení mezi fyzickými zařízeními. Jejich schopnost generovat kryptografické klíče, bezpečně je ukládat a chránit zpracování dat z nich činí ideální řešení pro každého, kdo hledá lepší zabezpečení dat.
HSM zahrnují funkce, jako je bezpečný design, odolnost proti neoprávněné manipulaci a podrobné protokoly přístupu, což z nich činí investici, která se vyplatí pro posílení bezpečnosti důležitých kryptografických dat.