Mensen en bedrijven moeten hun activa beschermen met behulp van cryptografische sleutels. Maar ze moeten die sleutels ook beschermen. HSM's kunnen het antwoord zijn.
Cybercriminelen zijn overal te vinden en richten zich op en vallen elk vatbaar apparaat, stuk software of systeem dat ze tegenkomen aan. Hierdoor zijn individuen en bedrijven genoodzaakt beveiligingsmaatregelen van het volgende niveau te nemen, zoals het gebruik van cryptografische sleutels, om hun IT-activa te beschermen.
Het beheer van cryptografische sleutels, inclusief het genereren, opslaan en controleren ervan, vormt echter vaak een groot obstakel bij het beveiligen van systemen. Het goede nieuws is dat u cryptografische sleutels veilig kunt beheren met behulp van een Hardware Security Module (HSM).
Wat is een hardwarebeveiligingsmodule (HSM)?
Een HSM is een fysiek computerapparaat dat cryptografische sleutels beschermt en beheert. Het heeft doorgaans ten minste één beveiligde cryptoprocessor en is algemeen verkrijgbaar als plug-inkaart (SAM/SIM-kaart) of extern apparaat dat rechtstreeks op een computer of netwerkserver kan worden aangesloten.
HSM's zijn speciaal gebouwd om de levenscyclus van cryptografische sleutels te beschermen met behulp van fraudebestendige, fraudebestendige hardwaremodules en gegevens te beschermen via meerdere technieken, waaronder encryptie en decryptie. Ze dienen ook als veilige opslagplaatsen voor cryptografische sleutels die worden gebruikt voor taken zoals gegevenscodering, Digital Rights Management (DRM) en documentondertekening.
Hoe werken hardwarebeveiligingsmodules?
HSM's zorgen voor gegevensveiligheid door het genereren, beveiligen, implementeren, beheren, archiveren en verwijderen van cryptografische sleutels.
Tijdens het inrichten worden unieke sleutels gegenereerd, geback-upt en gecodeerd voor opslag. De sleutels worden vervolgens ingezet door geautoriseerd personeel dat ze in de HSM installeert, waardoor gecontroleerde toegang mogelijk is.
HSM's bieden beheerfuncties voor bewaking, controle en rotatie van cryptografische sleutels volgens de industriestandaarden en het organisatiebeleid. De nieuwste HSM's zorgen bijvoorbeeld voor naleving door de NIST-aanbeveling af te dwingen om RSA-sleutels van minimaal 2048 bits te gebruiken.
Zodra cryptografische sleutels niet langer actief worden gebruikt, wordt het archiveringsproces geactiveerd en als de sleutels niet langer nodig zijn, worden ze veilig en permanent vernietigd.
Archiveren houdt in dat buiten gebruik gestelde sleutels offline worden opgeslagen, zodat gegevens die met die sleutels zijn versleuteld, in de toekomst kunnen worden opgehaald.
Waar worden hardwarebeveiligingsmodules voor gebruikt?
Het primaire doel van HSM's is het beveiligen van cryptografische sleutels en het bieden van essentiële services voor het beschermen van identiteiten, toepassingen en transacties. HSM's ondersteunen meerdere connectiviteitsopties, waaronder verbinding met een netwerkserver of offline gebruik als zelfstandige apparaten.
HSM's kunnen worden verpakt als smartcards, PCI-kaarten, discrete apparaten of een cloudservice genaamd HSM as a Service (HSMaaS). In het bankwezen worden HSM's gebruikt in geldautomaten, EFT's en PoS-systemen, om er maar een paar te noemen.
HSM's beschermen veel dagelijkse diensten, waaronder creditcardgegevens en pincodes, medische apparaten, nationale identiteitskaarten en paspoorten, slimme meters en cryptocurrencies.
Soorten hardwarebeveiligingsmodules
HSM's zijn er in twee hoofdcategorieën, die elk verschillende beschermende mogelijkheden bieden die zijn toegesneden op specifieke industrieën. Hier zijn de verschillende soorten beschikbare HSM's.
1. HSM's voor algemeen gebruik
HSM's voor algemeen gebruik hebben meerdere versleutelingsalgoritmen, inclusief symmetrisch, asymmetrisch, en hash-functies. Deze meest populaire HSM's staan vooral bekend om hun uitzonderlijke prestaties bij het beschermen van gevoelige gegevenstypen, zoals crypto-wallets en infrastructuur met openbare sleutels.
De HSM's beheren tal van cryptografische bewerkingen en worden vaak gebruikt in PKI, SSL/TLS en generieke gevoelige gegevensbescherming. Daarom worden HSM's voor algemeen gebruik meestal gebruikt om te helpen voldoen aan algemene industriestandaarden zoals HIPAA-beveiligingsvereisten en FIPS-compliance.
HSM's voor algemeen gebruik ondersteunen ook API-connectiviteit met behulp van Java Cryptography Architecture (JCA), Java Cryptography Extension (JCE), Cryptography API Next Generation (CNG), Public-Key Cryptography Standard (PKCS) #11 en Microsoft Cryptographic Application Programming Interface (CAPI), waardoor gebruikers het framework kunnen kiezen dat het beste bij hun cryptografie past activiteiten.
2. Betalings- en transactie-HSM's
Betalings- en transactie-HSM's zijn speciaal ontworpen voor de financiële sector om gevoelige betalingsinformatie, zoals creditcardnummers, te beschermen. Deze HSM's ondersteunen betalingsprotocollen, zoals APACS, terwijl ze voldoen aan meerdere branchespecifieke standaarden, zoals EMV en PCI HSM, voor naleving.
De HSM's voegen een extra beveiligingslaag toe aan betalingssystemen door gevoelige gegevens te beveiligen tijdens verzending en opslag. Dit heeft ertoe geleid dat financiële instellingen, waaronder banken en betalingsverwerkers, het hebben overgenomen als een integrale oplossing voor het waarborgen van een veilige afhandeling van betalingen en transacties.
Belangrijkste kenmerken van hardwarebeveiligingsmodules
HSM's dienen als kritieke componenten om naleving van cyberbeveiligingsvoorschriften te waarborgen, gegevensbeveiliging te verbeteren en optimale serviceniveaus te behouden. Hier zijn de belangrijkste kenmerken van HSM's die hen helpen dit te bereiken.
1. Weerstand tegen sabotage
Het primaire doel van het sabotagebestendig maken van HSM's is het beschermen van uw cryptografische sleutels in geval van een fysieke aanval op de HSM.
Volgens FIPS 140-2 moet een HSM verzegelde zegels bevatten om in aanmerking te komen voor certificering als een apparaat van niveau 2 (of hoger). Elke poging om met de HSM te knoeien, zoals het verwijderen van een ProtectServer PCIe 2 van de PCIe-bus, zal een sabotagegebeurtenis activeren die al het cryptografische materiaal, configuratie-instellingen en gebruikersgegevens verwijdert.
2. Veilig ontwerp
HSM's zijn uitgerust met unieke hardware die voldoet aan de vereisten van de PCI DSS en voldoet aan verschillende overheidsnormen, waaronder Common Criteria en FIPS 140-2.
De meeste HSM's zijn gecertificeerd op verschillende FIPS 140-2-niveaus, meestal op niveau 3-certificering. De geselecteerde HSM's die zijn gecertificeerd op niveau 4, het hoogste niveau, zijn een geweldige oplossing voor organisaties die bescherming op topniveau zoeken.
3. Authenticatie en toegangscontrole
HSM's dienen als poortwachters, controle van de toegang tot de apparaten en gegevens ze beschermen. Dit blijkt uit hun vermogen om HSM's actief te controleren op sabotage en effectief te reageren.
Als sabotage wordt gedetecteerd, werken bepaalde HSM's niet meer of wissen ze cryptografische sleutels om ongeoorloofde toegang te voorkomen. Om de beveiliging verder te verbeteren, gebruiken HSM's sterke authenticatiepraktijken zoals meervoudige authenticatie en een strikt toegangscontrolebeleid, waarbij de toegang wordt beperkt tot geautoriseerde personen.
4. Naleving en controle
Om naleving te behouden, moeten HSM's zich houden aan verschillende normen en voorschriften. De belangrijkste omvatten de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie, Domain Name System Security Extensions (DNSSEC), PCI Data Security Standard, Common Criteria en FIPS 140-2.
Naleving van de normen en voorschriften zorgt voor gegevens- en privacybescherming, beveiliging van de DNS-infrastructuur, veilig betaalkaarttransacties, internationaal erkende beveiligingscriteria en naleving van overheidsversleuteling normen.
HSM's bevatten ook functies voor logboekregistratie en auditing, waardoor cryptografische bewerkingen kunnen worden gecontroleerd en gevolgd voor nalevingsdoeleinden.
5. Integratie en API's
HSM's ondersteunen populaire API's, zoals CNG en PKCS #11, waardoor ontwikkelaars HSM-functionaliteit naadloos in hun applicaties kunnen integreren. Ze zijn ook compatibel met verschillende andere API's, waaronder JCA, JCE en Microsoft CAPI.
Bescherm uw cryptografische sleutels
HSM's bieden enkele van de hoogste beveiligingsniveaus van fysieke apparaten. Hun vermogen om cryptografische sleutels te genereren, veilig op te slaan en gegevensverwerking te beschermen, positioneert ze als een ideale oplossing voor iedereen die op zoek is naar verbeterde gegevensbeveiliging.
HSM's bevatten functies zoals een veilig ontwerp, sabotagebestendigheid en gedetailleerde toegangslogboeken, waardoor ze een waardevolle investering zijn voor het versterken van de beveiliging van cruciale cryptografische gegevens.
