Wat is een Hardware Security Module (HSM)?
A hardwarebeveiligingsmodule (HSM) Een fysiek computerapparaat dat beschermt en sterke authenticatie en cryptografische verwerking mogelijk maakt rond het gebruik van digitale sleutels. In een geïsoleerde, fraudebestendige omgeving zijn deze apparaten gebouwd om cryptografische sleutels te creëren en te beveiligen, kritieke cryptografische bewerkingen te beschermen en ten slotte geïmplementeerd beleid af te dwingen met betrekking tot het gebruik van deze sleutels. HSM's kunnen verschillende vormen aannemen: PCI e-cards, USB-tokens en netwerkapparaten zijn allemaal gangbaar.
De opkomst van hardwarebeveiligingsmodules
Organisaties beginnen het belang van HSM's te beseffen. De wereldwijde implementatiegraad van deze apparaten is gestegen van 26% in 2012 tot 41% in 2017, volgens de Global 2018-studie. Encryptie Onderzoeksrapport van Trends Ponemon Institute. Met de voortdurend veranderende technologie moeten organisaties bijblijven om succesvol te zijn. Deze veranderingen kunnen een organisatie twee kanten op sturen. De ene kan leiden tot groei en welvaart, de andere tot vernietiging en wanhoop.
Groeiende zorgen:
- Cyber oorlog
- Reglement gegevensprivacy
- Mobiele betalingen
- internet van dingen
Organisaties uit alle sectoren worden beïnvloed door hun gegevensbeheer via encryptie of sleutelbeheerHSM's kunnen organisaties de ultieme beveiliging bieden.
Gegevens beveiligen met hardwarebeveiligingsmodules
Hardware Security Modules biedt vele indrukwekkende functies en beheerfuncties.
HSM's:
- Encryptiesleutels genereren
- Sleutels opslaan
- Verwerking van cryptobewerkingen
- Beperk de toegang alleen voor geautoriseerde personen
- Federale informatieverwerkingsnorm 140-2 niveaus 3 of 4
Voor sleutelgeneratie gebruikt een HSM een echte entropiegestuurde, hardwarematige Random Number Generator (RNG), die doorgaans is gebouwd conform niveau PTG.2 van de BSI-specificaties AIS20 en AIS31, en met betrekking tot Hash_DRBG van NIST SP 800-90A. Veilige privé- en geheime sleutels kunnen alleen worden gegenereerd met behulp van gegevens die door dergelijke DRBG's (Deterministic Random Bit Generator) worden geretourneerd.
Of het nu gaat om de fasen van de levenscyclus (van creatie, import, gebruik, rotatie, vernietiging en audit), de HSM biedt bescherming via encryptiesleutels om ervoor te zorgen dat gegevens nooit worden blootgesteld. Nadat de sleutels zijn aangemaakt en opgeslagen in de HSM, is autorisatie alleen mogelijk via een reeks sleutelkaarten en wachtwoordzinnen om toegang te verkrijgen, aangezien de meeste HSM's zowel multi-factor authenticatie ondersteunen als toegang vereisen via het "4-ogen"-principe.
Risico's van software-only cryptografie
Voor degenen die ervoor kiezen om HSM's te omzeilen, is er alleen software beschikbaar geheimschrift is de volgende optie. Degenen die kiezen voor software-only cryptografie moeten zich echter bewust zijn van de risico's die deze beslissing met zich meebrengt.
De twee soorten aanvallen op software-only cryptografie:
Logische aanvallen – Het gaat hierbij voornamelijk om een aanval op het hoofdgeheugen of de schijven van servers om de cryptografische sleutels te achterhalen.
- Kwetsbaarheid tijdens fasebewerkingen in het servergeheugen
- Kerngegevens dump
- Toegankelijk via wachtwoordzin
Fysieke aanvallen – het verwijderen en scannen van oude harde schijven of geheugen.
- Technici hebben hardware met geweld verwijderd en bevroren om cryptografische sleutels te vinden
Hoe beschermt een HSM tegen deze twee specifieke bedreigingen? De beschermde geheimen bestaan nooit buiten de HSM, en binnen de HSM bestaan ze alleen 'openbaar' tijdens gebruik en in het beschermde RAM (CPU-cachegeheugen, met code die ook in het cachegeheugen draait). Alle data-at-rest op het apparaat wordt AES256-gecodeerd. HSM's van FIPS 140-2 Level 3 en hoger reageren op omgevingsveranderingen zoals temperatuur (hoger of lager dan normaal), veranderingen in de elektrische voeding (over- of onderspanning), en HSM's van Level 4 breiden deze bescherming uit naar de fysieke omgeving en wissen zichzelf als de HSM-hardware beschadigd raakt.
Beveiligingsnaleving en -regelgeving
Hoewel organisaties met veel verschillende drijfveren te maken hebben om gegevens te versleutelen, geeft 55 procent van de organisaties aan dat naleving van privacy- en gegevensbeveiligingsvereisten hun belangrijkste drijfveer is, volgens het Global Encryption Trends Ponemon Institute Research Report uit 2018. Wereldwijd beginnen landen een standaard voor privacy te stellen voor organisaties die gevoelige informatie verwerken. Wie deze regelgeving en wetten wil negeren, zal te maken krijgen met forse boetes.
Belangrijkste wereldwijde regelgeving:
- Algemene Gegevensbeschermingsverordening (GDPR)
- Het Betaalkaartindustrie Data Security Standard (PCI-DSS)
Belangrijkste regelgevingen in de Verenigde Staten:
- Zorgverzekeringsportabiliteit en verantwoordingsplicht (HIPAA)
- Gezondheidsinformatietechnologie voor economische en klinische gezondheid (HITECH)
- De Payment Card Industry Data Security Standard (PCI-DSS)
De toekomst van hardwarebeveiligingsmodules
In de huidige omgeving moeten organisaties zich aanpassen aan de nieuwe digitale wereld. Door HSM's te implementeren, leggen organisaties de basis voor encryptie en sleutelbeheer binnen ondernemingen. Uw cryptografische sleutels en digitale identiteit zijn maximaal beveiligd. Of u nu te maken hebt met Publieke Sleutel Infrastructuur (PKI), Documentondertekening, Code ondertekening, Key Injection of Database Encryption, HSM's bieden nu en in de toekomst de hoogste beveiliging met betrekking tot cryptografische sleutels.
