Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Hårdvarusäkerhetsmodul

HSM:er – Nyckelhantering

Postat avDivyansh Dwivedi 4 minuter
HSM-nyckelhantering
Innehållsförteckning

Vad är en hårdvarusäkerhetsmodul (HSM)?

A hårdvarusäkerhetsmodul (HSM) är en fysisk datorenhet som skyddar och uppnår stark autentisering och kryptografisk bearbetning kring användningen av digitala nycklar. Genom en isolerad, manipulationssäker miljö är dessa enheter byggda för att skapa och säkra kryptografiska nycklar, skydda kritiska kryptografiska operationer och slutligen upprätthålla implementerade policyer för användningen av dessa nycklar. HSM:er kan förekomma i olika former: PCI-e-kort, USB-tokens och nätverksanslutna enheter är alla vanliga.

Uppkomsten av hårdvarusäkerhetsmoduler

Organisationer har börjat inse vikten av HSM:er. Den globala utbyggnadsgraden av dessa enheter har ökat från 26 % år 2012 till 41 % år 2017 enligt 2018 års globala rapport. kryptering Trender Ponemon Institute Research Report. Med teknikens ständigt föränderliga miljö måste organisationer hålla jämna steg för att bli framgångsrika. Dessa förändringar kan leda en organisation nerför två vägar. Den ena kan leda till tillväxt och välstånd, men den andra kan leda till förstörelse och förtvivlan.

Växande oro:

  • Cyberkrigföring
  • Datasekretessbestämmelser
  • Mobila betalningar
  • Sakernas Internet

Organisationer från alla branscher påverkas av sin datahantering genom kryptering eller nyckelhanteringHSM:er kan erbjuda organisationer den ultimata säkerheten.

Säkra data med hjälp av hårdvarusäkerhetsmoduler

Hårdvarusäkerhetsmoduler har många imponerande funktioner och administrativa funktioner.

HSM:er:

  • Generera krypteringsnycklar
  • Butiksnycklar
  • Bearbetning av kryptooperationer
  • Begränsa åtkomst endast för de som är behöriga
  • Federal informationsbehandlingsstandard 140-2 Nivå 3 eller 4

För nyckelgenerering använder en HSM en verkligt entropidriven, hårdvarubaserad slumptalsgenerator, vanligtvis byggd för att uppfylla nivå PTG.2 i BSI-specifikationerna AIS20 och AIS31, och enligt Hash_DRBG från NIST SP 800-90A. Säkra privata och hemliga nycklar kan endast genereras av data som returneras av sådana DRBG:er (Deterministic Random Bit Generator).

Oavsett om det gäller livscykelns olika steg från skapande, import, användning, rotation, förstörelse och granskning, upprätthåller HSM skydd över krypteringsnycklar för att säkerställa att data aldrig exponeras. När nycklarna har skapats och lagrats i HSM tillåts auktorisering endast via en serie nyckelkort och lösenfraser för att få åtkomst, eftersom de flesta HSM:er stöder både flerfaktorsautentisering och kan kräva åtkomst via "4-ögon"-principen.

HSM

Risker med kryptografi endast med programvara

För de som väljer att kringgå HSM:er, endast programvara kryptografi är nästa alternativ. De som väljer kryptografi enbart med mjukvara måste dock förstå riskerna som följer med detta beslut.

De två typerna av attacker mot programvarubaserad kryptografi:

Logiska attacker – huvudsakligen involverande en attack mot huvudminne eller skivor i servrar för att lokalisera kryptonycklarna.

  • Sårbarhet under scenoperationer i serverminne
  • Kärndatadump
  • Tillgänglig via lösenordsfras

Fysiska attacker – borttagning och skanning av gamla hårddiskar eller minne.

  • Tekniker har med våld tagit bort och fryst hårdvara för att hitta kryptografiska nycklar

Hur skyddar en HSM mot dessa två specifika hotvektorer? De skyddade hemligheterna existerar aldrig utanför HSM, och inuti HSM existerar de bara "i det fria" under användning, och medan de är inuti skyddat RAM (CPU-cacheminne, med kod som även körs i cacheminnet). All data som vilar på enheten kommer att krypteras med AES256. Och FIPS 140-2 nivå 3 och högre HSM:er kommer att reagera på miljöförändringar som temperatur (högre eller lägre än normalt), förändringar i den elektriska matningen (över- eller underspänning), och nivå 4 HSM:er utökar detta skydd till det fysiska och kommer att radera sig själva om HSM-hårdvaran skadas.

Säkerhetsefterlevnad och föreskrifter

Medan organisationer står inför många olika drivkrafter för att kryptera data, har femtiofem procent av organisationerna sagt att efterlevnad av integritets- och datasäkerhetskrav är deras främsta drivkraft enligt Ponemon Institute Research Report från 2018. Universellt börjar länder sätta en standard för integritet för de organisationer som hanterar känslig information. De som vill ignorera dessa regler och lagar kommer att vara utsatta för höga böter.

Viktiga globala regleringar:

Viktiga amerikanska föreskrifter:

  • HIPAA-lagen om bärbarhet och ansvarsskyldighet för sjukförsäkring
  • Hälsoinformationsteknik för ekonomisk och klinisk hälsa (HITECH)
  • Payment Card Industry Data Security Standard (PCI-DSS)

Framtiden för hårdvarusäkerhetsmoduler

I dagens miljö måste organisationer anpassa sig till den nya digitala världen. Genom att driftsätta HSM:er lägger organisationer grunden för företagskryptering och nyckelhantering. Era kryptografiska nycklar och digitala identiteter kommer att ha maximal säkerhet. Oavsett om det gäller Public Key Infrastructure (PKI), Dokumentsignering, Kodsignering, nyckelinjektion eller databaskryptering, kommer HSM:er att ge största möjliga säkerhet med avseende på kryptografiska nycklar nu och i framtiden.

Upptäck vår

Relaterade bloggar

Varför post-kvantförtroende börjar inuti hårdvaran

Varför post-kvantförtroende börjar inuti hårdvaran

September 30, 2025

De 5 vanligaste misstag att undvika vid signering av root-CA-nycklar

De 5 vanligaste misstag att undvika vid signering av root-CA-nycklar

September 12, 2025

Nyckelceremoni

Inuti nyckelceremonin: PKI, HSM, processen, människorna och varför det är viktigt

August 24, 2025

Utforska

Fler ämnen