Људи и предузећа треба да заштите своју имовину помоћу криптографских кључева. Али они такође морају да заштите те кључеве. ХСМ би могао бити одговор.
Сајбер криминалци се могу наћи свуда, циљајући и нападају сваки подложни уређај, део софтвера или систем на који наиђу. Ово је захтевало од појединаца и компанија да предузму безбедносне мере следећег нивоа, као што је коришћење криптографских кључева, како би заштитили своју ИТ имовину.
Међутим, управљање криптографским кључевима, укључујући њихово генерисање, складиштење и ревизију, често је главна препрека у обезбеђивању система. Добра вест је да можете безбедно да управљате криптографским кључевима помоћу хардверског безбедносног модула (ХСМ).
Шта је хардверски сигурносни модул (ХСМ)?
ХСМ је физички рачунарски уређај који штити и управља криптографским кључевима. Обично има најмање један сигуран криптопроцесор и обично је доступан као додатна картица (САМ/СИМ картица) или екстерни уређај који се повезује директно на рачунар или мрежни сервер.
ХСМ-ови су наменски направљени да заштите животни циклус криптографских кључева помоћу хардверских модула отпорних на неовлашћено неовлашћено коришћење и да штите податке преко вишеструких технике, укључујући шифровање и дешифровање. Они такође служе као безбедна спремишта за криптографске кључеве који се користе за задатке као што су шифровање података, управљање дигиталним правима (ДРМ) и потписивање докумената.
Како функционишу хардверски сигурносни модули?
ХСМ-ови обезбеђују безбедност података генерисањем, обезбеђењем, применом, управљањем, архивирањем и одлагањем криптографских кључева.
Током обезбеђивања, јединствени кључеви се генеришу, праве резервне копије и шифрују за складиштење. Кључеве затим поставља овлашћено особље које их инсталира у ХСМ, омогућавајући контролисан приступ.
ХСМ-ови нуде функције управљања за праћење, контролу и ротацију криптографских кључева према индустријским стандардима и организационим политикама. Најновији ХСМ-ови, на пример, обезбеђују усклађеност спровођењем препоруке НИСТ-а о коришћењу РСА кључева од најмање 2048 бита.
Када се криптографски кључеви више не користе активно, покреће се процес архивирања, а ако кључеви више нису потребни, они се безбедно и трајно уништавају.
Архивирање подразумева складиштење отпуштених кључева ван мреже, омогућавајући будуће преузимање података шифрованих тим кључевима.
За шта се користе хардверски сигурносни модули?
Примарна сврха ХСМ-а је да обезбеде криптографске кључеве и обезбеде основне услуге за заштиту идентитета, апликација и трансакција. ХСМ-ови подржавају више опција повезивања, укључујући повезивање са мрежним сервером или коришћење ван мреже као самостални уређаји.
ХСМ-ови могу бити упаковани као паметне картице, ПЦИ картице, дискретни уређаји или услуга у облаку под називом ХСМ као услуга (ХСМааС). У банкарству, ХСМ-ови се користе у банкоматима, ЕФТ-овима и ПоС системима, да споменемо само неке.
ХСМ-ови штите многе свакодневне услуге, укључујући податке о кредитним картицама и ПИН-ове, медицинске уређаје, националне личне карте и пасоше, паметне бројила и криптовалуте.
Врсте хардверских сигурносних модула
ХСМ-ови долазе у две главне категорије, од којих свака нуди различите заштитне способности прилагођене одређеним индустријама. Ево доступних различитих типова ХСМ-а.
1. ХСМ опште намене
ХСМ-ови опште намене имају више функција алгоритми за шифровање, укључујући симетричне, асиметричне, и хеш функције. Ови најпопуларнији ХСМ-ови су најпознатији по својим изузетним перформансама у заштити осетљивих типова података, као што су крипто новчаници и инфраструктура јавних кључева.
ХСМ-ови управљају бројним криптографским операцијама и обично се користе у ПКИ, ССЛ/ТЛС и генеричкој заштити осетљивих података. Због тога се ХСМ-ови опште намене обично користе да помогну у испуњавању општих индустријских стандарда као што су ХИПАА безбедносни захтеви и усаглашеност са ФИПС.
ХСМ-ови опште намене такође подржавају АПИ повезивање користећи Јава криптографску архитектуру (ЈЦА), Јава проширење криптографије (ЈЦЕ), криптографски АПИ следеће генерације (ЦНГ), јавни кључ Стандард криптографије (ПКЦС) #11 и Мицрософтов интерфејс за програмирање криптографских апликација (ЦАПИ), омогућавајући корисницима да изаберу оквир који најбоље одговара њиховој криптографији операције.
2. ХСМ за плаћање и трансакције
ХСМ-ови плаћања и трансакција су посебно дизајнирани за финансијску индустрију да заштите осетљиве информације о плаћању, као што су бројеви кредитних картица. Ови ХСМ-ови подржавају протоколе плаћања, као што је АПАЦС, док подржавају више индустријских стандарда, као што су ЕМВ и ПЦИ ХСМ, ради усаглашености.
ХСМ додају додатни слој заштите платним системима обезбеђујући осетљиве податке током преноса и складиштења. Ово је навело финансијске институције, укључујући банке и процесоре плаћања, да га усвоје као интегрално решење за обезбеђивање безбедног руковања плаћањима и трансакцијама.
Кључне карактеристике хардверских сигурносних модула
ХСМ-ови служе као критичне компоненте за обезбеђивање усклађености са прописима о сајбер безбедности, побољшање безбедности података и одржавање оптималног нивоа услуге. Ево кључних карактеристика ХСМ-а које им помажу да то постигну.
1. Отпорност на неовлашћено коришћење
Примарни циљ стварања ХСМ-ова отпорних на неовлашћено коришћење је заштита ваших криптографских кључева у случају физичког напада на ХСМ.
Према ФИПС 140-2, ХСМ мора да садржи печате за заштиту од неовлашћења да би се квалификовао за сертификацију као уређај нивоа 2 (или вишег). Сваки покушај да се манипулише ХСМ-ом, као што је уклањање ПротецтСервер ПЦИе 2 из његове ПЦИе магистрале, покренуће догађај неовлашћеног приступа који брише сав криптографски материјал, подешавања конфигурације и корисничке податке.
2. Сецуре Десигн
ХСМ-ови су опремљени јединственим хардвером који испуњава захтеве које поставља ПЦИ ДСС и који је у складу са различитим државним стандардима, укључујући Заједничке критеријуме и ФИПС 140-2.
Већина ХСМ-ова је сертификована на различитим нивоима ФИПС 140-2, углавном на нивоу 3 сертификата. Одабрани ХСМ-ови сертификовани на нивоу 4, највишем нивоу, одлично су решење за организације које траже заштиту на врхунском нивоу.
3. Аутентификација и контрола приступа
ХСМ служе као чувари врата, контролу приступа уређајима и подацима штите. Ово је очигледно кроз њихову способност да активно надгледају ХСМ-ове за неовлашћене радње и ефикасно реагују.
Ако се открије манипулисање, одређени ХСМ-ови ће или престати да раде или ће обрисати криптографске кључеве да би спречили неовлашћени приступ. Да би додатно побољшали безбедност, ХСМ-ови користе снажне праксе аутентификације као што су вишефакторска аутентификација и строге политике контроле приступа, ограничавајући приступ овлашћеним појединцима.
4. Усклађеност и ревизија
Да би одржали усклађеност, ХСМ-ови морају да се придржавају различитих стандарда и прописа. Главне укључују Општа уредба Европске уније о заштити података (ГДПР), Проширења безбедности система имена домена (ДНССЕЦ), ПЦИ стандард безбедности података, заједнички критеријуми и ФИПС 140-2.
Усклађеност са стандардима и прописима осигурава заштиту података и приватности, сигурност ДНС инфраструктуре, безбедну трансакције платним картицама, међународно признате безбедносне критеријуме и поштовање државног шифровања стандарди.
ХСМ-ови такође укључују функције евидентирања и ревизије, омогућавајући праћење и праћење криптографских операција у сврху усклађености.
5. Интеграција и АПИ-ји
ХСМ-ови подржавају популарне АПИ-је, као што су ЦНГ и ПКЦС #11, омогућавајући програмерима да неприметно интегришу ХСМ функционалност у своје апликације. Такође су компатибилни са неколико других АПИ-ја, укључујући ЈЦА, ЈЦЕ и Мицрософт ЦАПИ.
Заштитите своје криптографске кључеве
ХСМ-ови пружају неке од највиших нивоа безбедности међу физичким уређајима. Њихова способност да генеришу криптографске кључеве, безбедно их чувају и заштите обраду података позиционира их као идеално решење за свакога ко тражи побољшану безбедност података.
ХСМ-ови укључују карактеристике као што су сигуран дизајн, отпорност на неовлашћено коришћење и детаљне евиденције приступа, што их чини вредном инвестицијом за јачање безбедности кључних криптографских података.