🏠 | 💻 PC |

Аппаратный модуль безопасности

Содержание статьи
Введение
Дизайн
Безопасность
Применения

Введение

Аппаратный модуль безопасности (АМБ) или по-английски - Hardware security module (HSM) - это физическое вычислительное устройство, которое защищает цифровые ключи и управляет ими, выполняет функции шифрования и дешифрования цифровых подписей, строгой аутентификации и другие криптографические функции.

Эти модули традиционно поставляются в виде подключаемой платы или внешнего устройства, которое подключается непосредственно к компьютеру или сетевому серверу.

Аппаратный модуль безопасности содержит один или несколько защищенных криптопроцессорных чипов.

Дизайн

АМБ характеризуют следующими особенностями:



1) Надёжное доказательство взлома устройства. (Пломбирование).

Tamper evidence: Это обычно хорошо видимые следы взлома или несанкционированного входа и внесения изменений.

2) Взломостойкость

Tamper resistance: То есть сложности сохранения работоспособности после взлома.

3) Реакция на взлом

Tamper responsiveness: Например - удаление ключей после сигнала о взломе.

Каждый модуль содержит один или несколько защищенных криптопроцессорных чипов для предотвращения несанкционированного доступа и зондирования шины, или комбинацию чипов в модуле, защищенном запломбированной, устойчивой к несанкционированному доступу или чувствительной к несанкционированному доступу упаковкой.

Подавляющее большинство существующих АМБ предназначены в основном для управления секретными ключами.

Многие АМБ-системы поддерживают функцию создания на внешнем устройстве резервной копию ключей которыми они управляют.

Ключи могут быть скопированы в обернутом виде и сохранены на компьютерном диске или другом носителе, а также внешне с помощью защищенного портативного устройства, такого как смарт-карта или какой-либо другой криптографический токен.

АМБ используются для авторизации и аутентификации в режиме реального времени в критической инфраструктуре, поэтому обычно разрабатываются с поддержкой стандартных моделей высокой доступности, включая кластеризацию, автоматизированную отработку отказа и резервные компоненты, заменяемые на местах.

Некоторые из АМБ, доступных на рынке, имеют возможность выполнять специально разработанные модули в защищенном корпусе АМБ.

Такая возможность полезна, например, в тех случаях, когда специальные алгоритмы или бизнес-логика должны выполняться в защищенной и контролируемой среде.

Модули могут быть разработаны на родном языке Си , .NET , Java или других языках программирования.

Кроме того, будущие АМБ следующего поколения могут справляться с более сложными задачами, такими как загрузка и запуск полных операционных систем и программного обеспечения COTS, не требуя настройки и перепрограммирования.

Такие нетрадиционные конструкции преодолевают существующие конструктивные и эксплуатационные ограничения традиционных ГСМ.

Обеспечивая преимущество защиты кода конкретного приложения, эти исполнительные механизмы защищают статус проверки FIPS или общих критериев АМБ.

Безопасность

Из-за критической роли, которую они играют в обеспечении безопасности приложений и инфраструктуры, АМБ и/или криптографические модули обычно сертифицируются в соответствии с международно признанными стандартами, такими как общие критерии или FIPS 140, чтобы предоставить пользователям независимую гарантию того, что дизайн и реализация продукта и криптографических алгоритмов являются надежными.

Самый высокий уровень сертификации безопасности FIPS 140 достижим-это уровень безопасности 4 (в целом).

При использовании в приложениях финансовых платежей безопасность АМБ часто проверяется в соответствии с требованиями АМБ, определенными Советом по стандартам безопасности индустрии платежных карт.

Применения АМБ
Среда PKI (CA АМБ)
Система платежных карт АМБ (банковские АМБ)
Установление SSL соединения
DNSSEC
Криптовалютный кошелек

Аппаратный модуль безопасности может быть использован в любом приложении, использующем цифровые ключи. Как правило, ключи будут иметь высокую ценность - это означает, что если они будут скомпрометированы, это окажет значительное негативное воздействие на владельца ключа.

Функции аппаратного модуля безопасности несколько:

бортовая безопасная генерация криптографических ключей бортовое безопасное хранение криптографических ключей, по крайней мере для верхнего уровня и наиболее чувствительных ключей, которые часто называют мастер -ключами управление ключами использование криптографических и чувствительных материалов данных, например, выполнение функций шифрования или цифровой подписи разгрузка серверов приложений для полной асимметричной и симметричной криптографии.

АМБ также развертываются для управления прозрачными ключами шифрования данных для баз данных и ключами для устройств хранения данных, таких как диск или лента.

АМБ обеспечивают как логическую, так и физическую защиту этих материалов, включая криптографические ключи, от разглашения, несанкционированного использования и потенциальных противников.

АМБ поддерживают как симметричную, так и асимметричную криптографию (с открытым ключом).

Для некоторых приложений, таких как центры сертификации и цифровая подпись, криптографическим материалом являются асимметричные пары ключей (и сертификаты), используемые в криптографии с открытым ключом.

в других приложениях, таких как шифрование данных или финансовые платежные системы, криптографический материал состоит в основном из симметричных ключей.

Некоторые системы АМБ также являются аппаратными криптографическими ускорителями.

Они обычно не могут превзойти производительность аппаратных решений для операций с симметричными ключами.

Однако при производительности в диапазоне от 1 до 10 000 1024-битных знаков RSA в секунду АМБ может обеспечить значительную разгрузку процессора для асимметричных операций с ключами.

Поскольку Национальный институт стандартов и технологий (NIST) рекомендует использовать 2048-битные ключи RSA с 2010 года, производительность при более длинных размерах ключей становится все более важной.

Чтобы решить эту проблему, Большинство АМБ теперь поддерживают криптографию с эллиптической кривой (ECC), которая обеспечивает более сильное шифрование с более короткой длиной ключа.

Среда PKI (CA АМБ)

В средах PKI АМБ могут использоваться центрами сертификации (CAs) и регистрационными органами (RAs) для создания, хранения и обработки асимметричных пар ключей.

В этих случаях существуют некоторые фундаментальные особенности, которыми должно обладать устройство, а именно::

Логическая и физическая защита высокого уровня

Многосоставная схема авторизации пользователя (см. раздел секретный доступ Блейкли-Шамира)

Полный аудит и трассировка журналов

Безопасное резервное копирование ключей

С другой стороны, производительность устройств в среде PKI, как правило, менее важна как в онлайновых, так и в автономных операциях, поскольку процедуры регистрационного органа представляют собой узкое место производительности инфраструктуры.

Система платежных карт АМБ (банковские АМБ)

Специализированные АМБ используются в индустрии платежных карт. АМБ поддерживают как функции общего назначения, так и специализированные функции, необходимые для обработки транзакций и соблюдения отраслевых стандартов.

Обычно они не имеют стандартного API.

Типичными приложениями являются авторизация транзакций и персонализация платежных карт, требующие таких функций, как:

убедитесь, что введенный пользователем PIN-код совпадает с эталонным PIN-кодом, известным эмитенту карты

проверка транзакций по кредитным/дебетовым картам путем проверки кодов безопасности карт или выполнения компонентов хост-обработки транзакций на основе EMV в сочетании с контроллером банкомата или POS-терминалом

поддерживают крипто-API со смарт-картой (например, EMV)

повторное шифрование PIN-блока для отправки его на другой узел авторизации

выполнение безопасного управления ключами

поддержка протокола управления сетью POS ATM

поддержка де-факто стандартов host-host key | data exchange API

генерация и печать "PIN mailer"

генерация данных для карты с магнитной полосой (PVV, CVV)

создание набора ключей карт и поддержка процесса персонализации смарт-карт

Основными организациями, которые производят и поддерживают стандарты для АМБ на банковском рынке, являются Совет по стандартам безопасности индустрии платежных карт, ANS X9 и ISO.

Установление SSL соединения

Критически важные для производительности приложения, которые должны использовать HTTPS (SSL/TLS), могут извлечь выгоду из использования АМБ ускорения SSL, переместив операции RSA, которые обычно требуют нескольких больших целочисленных умножений, с центрального процессора хоста на устройство АМБ.

Типичные устройства АМБ могут выполнять от 1 до 10 000 1024-битных операций RSA в секунду.

некоторая производительность при более длинных размерах ключей становится все более важной.

Чтобы решить эту проблему, некоторые АМБ теперь поддерживают ECC.

Специализированные устройства АМБ могут достигать числа до 20 000 операций в секунду.

DNSSEC

Все большее число реестров используют АМБ для хранения ключевого материала, который используется для подписи больших файлов зон.

Инструментом с открытым исходным кодом для управления подписью файлов зон DNS с помощью АМБ является OpenDNSSEC.

27 января 2007 года официально началось развертывание DNSSEC для корневой зоны; оно было предпринято ICANN и Verisign при поддержке Министерства торговли США.

подробную информацию о корневой сигнатуре можно найти на веб-сайте Root DNSSEC.

Криптовалютный кошелек

Криптовалюта может храниться в криптовалютном кошельке на АМБ

Поиск по сайту

Контакты и сотрудничество:
Рекомендую наш хостинг beget.ru
Пишите на info@urn.su если Вы:
1. Хотите написать статью для нашего сайта или перевести статью на свой родной язык.
2. Хотите разместить на сайте рекламу, подходящуюю по тематике.
3. Реклама на моём сайте имеет максимальный уровень цензуры. Если Вы увидели рекламный блок недопустимый для просмотра детьми школьного возраста, вызывающий шок или вводящий в заблуждение - пожалуйста свяжитесь с нами по электронной почте
4. Нашли на сайте ошибку, неточности, баг и т.д. ... .......
5. Статьи можно расшарить в соцсетях, нажав на иконку сети: