Ľudia a firmy musia chrániť svoj majetok pomocou kryptografických kľúčov. Ale tiež musia chrániť tieto kľúče. Odpoveďou môžu byť HSM.
Kyberzločinci sa dajú nájsť všade, zameriavajú sa a útočia na každé citlivé zariadenie, softvér alebo systém, s ktorým sa stretnú. To si vyžiadalo jednotlivcov a spoločnosti, aby prijali bezpečnostné opatrenia ďalšej úrovne, ako je používanie kryptografických kľúčov na ochranu svojich IT aktív.
Správa kryptografických kľúčov, vrátane ich generovania, ukladania a auditovania, je však často hlavnou prekážkou pri zabezpečení systémov. Dobrou správou je, že kryptografické kľúče môžete bezpečne spravovať pomocou hardvérového bezpečnostného modulu (HSM).
Čo je hardvérový bezpečnostný modul (HSM)?
HSM je fyzické výpočtové zariadenie, ktoré chráni a spravuje kryptografické kľúče. Zvyčajne má aspoň jeden zabezpečený kryptoprocesor a je bežne dostupný ako zásuvná karta (SAM/SIM karta) alebo externé zariadenie, ktoré sa pripája priamo k počítaču alebo sieťovému serveru.
HSM sú navrhnuté tak, aby chránili životný cyklus kryptografických kľúčov pomocou hardvérových modulov odolných voči neoprávnenej manipulácii a chránili údaje prostredníctvom viacerých techniky vrátane šifrovania a dešifrovania. Slúžia tiež ako bezpečné úložiská pre kryptografické kľúče, ktoré sa používajú na úlohy, ako je šifrovanie údajov, správa digitálnych práv (DRM) a podpisovanie dokumentov.
Ako fungujú hardvérové bezpečnostné moduly?
HSM zabezpečujú bezpečnosť údajov generovaním, zabezpečením, nasadením, správou, archiváciou a likvidáciou kryptografických kľúčov.
Počas poskytovania sa generujú jedinečné kľúče, zálohujú sa a zašifrujú sa na ukladanie. Kľúče potom rozmiestni autorizovaný personál, ktorý ich nainštaluje do HSM, čo umožňuje kontrolovaný prístup.
HSM ponúkajú funkcie správy pre monitorovanie, kontrolu a rotáciu kryptografických kľúčov podľa priemyselných štandardov a organizačných zásad. Najnovšie HSM napríklad zabezpečujú súlad tým, že presadzujú odporúčanie NIST používať kľúče RSA s minimálne 2048 bitmi.
Keď sa kryptografické kľúče už aktívne nepoužívajú, spustí sa proces archivácie a ak kľúče už nie sú potrebné, sú bezpečne a natrvalo zničené.
Archivácia zahŕňa ukladanie vyradených kľúčov offline, čo umožňuje budúce získavanie údajov zašifrovaných týmito kľúčmi.
Na čo sa používajú hardvérové bezpečnostné moduly?
Primárnym účelom HSM je zabezpečiť kryptografické kľúče a poskytovať základné služby na ochranu identít, aplikácií a transakcií. HSM podporujú viaceré možnosti pripojenia, vrátane pripojenia k sieťovému serveru alebo používania offline ako samostatné zariadenia.
HSM môžu byť zabalené ako smart karty, PCI karty, diskrétne zariadenia alebo cloudová služba s názvom HSM as a Service (HSMaaS). V bankovníctve sa HSM používajú v bankomatoch, EFT a PoS systémoch, aby sme vymenovali aspoň niektoré.
HSM chráni mnoho každodenných služieb, vrátane údajov o kreditných kartách a PIN kódov, zdravotníckych zariadení, národných preukazov totožnosti a pasov, inteligentných meračov a kryptomien.
Typy hardvérových bezpečnostných modulov
HSM sa dodávajú v dvoch hlavných kategóriách, z ktorých každá ponúka odlišné ochranné schopnosti prispôsobené špecifickým odvetviam. Tu sú dostupné rôzne typy HSM.
1. HSM na všeobecné použitie
Univerzálne HSM majú viacero funkcií šifrovacie algoritmy vrátane symetrických, asymetrickýcha hašovacie funkcie. Tieto najpopulárnejšie HSM sú najlepšie známe pre svoj výnimočný výkon pri ochrane citlivých dátových typov, ako sú kryptopeňaženky a infraštruktúra verejných kľúčov.
HSM riadia množstvo kryptografických operácií a bežne sa používajú v PKI, SSL/TLS a všeobecnej ochrane citlivých údajov. Z tohto dôvodu sa HSM na všeobecné použitie zvyčajne používajú na splnenie všeobecných priemyselných štandardov, ako sú bezpečnostné požiadavky HIPAA a súlad s FIPS.
Univerzálne HSM tiež podporujú konektivitu API pomocou Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Cryptography Standard (PKCS) #11 a Microsoft Cryptographic Application Programming Interface (CAPI), ktoré používateľom umožňujú vybrať si rámec, ktorý najlepšie vyhovuje ich kryptografii. operácií.
2. Platobné a transakčné HSM
Platobné a transakčné HSM boli špeciálne navrhnuté pre finančný priemysel na ochranu citlivých platobných informácií, ako sú čísla kreditných kariet. Tieto HSM podporujú platobné protokoly, ako je APACS, pričom dodržiavajú viaceré priemyselné štandardy, ako sú EMV a PCI HSM, aby sa zabezpečil súlad.
HSM dodávajú platobným systémom ďalšiu vrstvu ochrany zabezpečením citlivých údajov počas prenosu a ukladania. To viedlo finančné inštitúcie, vrátane bánk a spracovateľov platieb, k prijatiu tohto riešenia ako integrálneho riešenia na zabezpečenie bezpečného spracovania platieb a transakcií.
Kľúčové vlastnosti hardvérových bezpečnostných modulov
HSM slúžia ako kritické komponenty na zabezpečenie súladu s nariadeniami o kybernetickej bezpečnosti, zvýšenie bezpečnosti údajov a udržiavanie optimálnej úrovne služieb. Tu sú kľúčové vlastnosti HSM, ktoré im to pomáhajú dosiahnuť.
1. Odolnosť proti manipulácii
Primárnym cieľom, aby boli HSM odolné voči manipulácii, je chrániť vaše kryptografické kľúče v prípade fyzického útoku na HSM.
Podľa FIPS 140-2 musí HSM obsahovať plomby preukazujúce falšovanie, aby sa kvalifikovalo na certifikáciu ako zariadenie úrovne 2 (alebo vyššej). Akýkoľvek pokus o manipuláciu s HSM, napríklad odstránenie ProtectServer PCIe 2 z jeho zbernice PCIe, spustí udalosť manipulácie, ktorá vymaže všetok kryptografický materiál, konfiguračné nastavenia a používateľské údaje.
2. Bezpečný dizajn
HSM sú vybavené jedinečným hardvérom, ktorý spĺňa požiadavky stanovené PCI DSS a vyhovuje rôznym vládnym štandardom, vrátane Common Criteria a FIPS 140-2.
Väčšina HSM je certifikovaná na rôznych úrovniach FIPS 140-2, väčšinou na úrovni 3. Vybrané HSM certifikované na úrovni 4, najvyššej úrovni, sú skvelým riešením pre organizácie, ktoré hľadajú špičkovú ochranu.
3. Autentifikácia a kontrola prístupu
HSM slúžia ako strážcovia brány, kontrola prístupu k zariadeniam a dátam chránia. Je to zrejmé z ich schopnosti aktívne monitorovať HSM z hľadiska manipulácie a efektívne reagovať.
Ak sa zistí manipulácia, niektoré HSM prestanú fungovať alebo vymažú kryptografické kľúče, aby zabránili neoprávnenému prístupu. Na ďalšie zvýšenie bezpečnosti využívajú HSM silné overovacie postupy, ako napr viacfaktorové overenie a prísne zásady kontroly prístupu, ktoré obmedzujú prístup oprávneným osobám.
4. Súlad a audit
Na udržanie súladu musia HSM dodržiavať rôzne normy a predpisy. Medzi hlavné patria všeobecné nariadenie Európskej únie o ochrane údajov (GDPR), Domain Name System Security Extensions (DNSSEC), PCI Data Security Standard, Common Criteria a FIPS 140-2.
Súlad s normami a predpismi zaisťuje ochranu údajov a súkromia, bezpečnosť infraštruktúry DNS transakcie platobnými kartami, medzinárodne uznávané bezpečnostné kritériá a dodržiavanie vládneho šifrovania štandardy.
HSM tiež obsahujú funkcie protokolovania a auditovania, ktoré umožňujú monitorovanie a sledovanie kryptografických operácií na účely dodržiavania predpisov.
5. Integrácia a API
HSM podporujú populárne rozhrania API, ako sú CNG a PKCS #11, čo umožňuje vývojárom bezproblémovo integrovať funkcie HSM do svojich aplikácií. Sú tiež kompatibilné s niekoľkými ďalšími rozhraniami API, vrátane JCA, JCE a Microsoft CAPI.
Chráňte svoje kryptografické kľúče
HSM poskytujú jedny z najvyšších úrovní zabezpečenia medzi fyzickými zariadeniami. Ich schopnosť generovať kryptografické kľúče, bezpečne ich ukladať a chrániť spracovanie údajov z nich robí ideálne riešenie pre každého, kto hľadá vylepšenú bezpečnosť údajov.
HSM obsahujú funkcie, ako je bezpečný dizajn, odolnosť proti neoprávnenej manipulácii a podrobné protokoly prístupu, vďaka čomu sa oplatí investovať do posilnenia bezpečnosti dôležitých kryptografických údajov.
