Hard­ware Secu­ri­ty Mod­ule — HSM 2018-03-23T21:40:43+00:00

Kryp­to Hard­ware Secu­ri­ty Mod­ule — HSM
PKI — Ver­schlüs­selung — Sig­natur — eIDAS“

Mod­erne kryp­tographis­che Hard­ware Secu­ri­ty Mod­ule (HSM) wer­den als USB-Geräte, als PCI/P­CI-Express oder Net­zw­erk-Serv­er ange­boten und unter­schei­den sich je nach Her­steller und Bau­form in der Anzahl der spe­icherbaren Schlüs­sel und der Anzahl der kryp­tographis­chen Transak­tio­nen pro Sekunde.

Die wichtig­sten Funk­tio­nen im Überblick:

  • Sichere Schlüs­selver­ar­beitung und Schlüs­sel­spe­icherung
  • Umfassendes zen­trales Schlüs­sel­man­age­ment
  • Schlüs­sel­spe­icherung inner­halb des Hard­ware-Secu­ri­ty-Mod­ul oder außer­halb in sicheren Schlüs­sel­con­tain­ern
  • Rol­len­mod­ell für die Ver­wal­tung und Sicher­heit­sop­er­a­tio­nen
  • Sicherung der kryp­tographis­chen Hard­ware vor Manip­u­la­tion
  • Mehrere sichere Authen­tisierung­meth­o­d­en sowie Mehrfachau­then­tisierung (4 / 6 / 8 Augen-Prinzip)
  • Option­al: Remote Man­age­ment (bei den Net­zw­erk-Hard­ware-Secu­ri­ty-Mod­ulen)
  • Betrieb­ssys­te­mu­nab­hängig für Windows/Linux/Unix ein­set­zbar
  • Vielfältige Inte­gra­tions­möglichkeit­en: PKI-Anwen­dun­gen, Ver­schlüs­selung, Sig­natur, Sichere Transak­tio­nen, IoT Secu­ri­ty, PIN-Erzeu­gung, etc.

Typ­is­che HSM Bau­for­men

Opti­mal für kleine Anforderun­gen auf einem Serv­er oder Client. Das USB-Cryp­to-Gerät wird physikalisch am Serv­er betrieben oder per Net­zw­erk-USB-Geräte­serv­er an virtuelle Serv­er ver­bun­den. Anwen­dun­gen kön­nen dann über die vom Anbi­eter geliefer­ten Soft­ware-Schnittstellen wie Microsoft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­tog­ra­phy Exten­sion (JCE) die kryp­tographis­chen Funk­tiones des USB-Gerätes nutzen. Für spezielle Anwen­dun­gen kann die vom Her­steller ange­botene API genutzt wer­den, um direkt auf die Funk­tio­nen der Cryp­to-Hard­ware zuzu­greifen.

Die Geschwindigkeit von USB-HSMs ist oft mit weni­gen Transak­tio­nen pro Sekunde lim­i­tiert, für typ­is­che PKI Anwen­dun­gen aber oft­mals völ­lig aus­re­ichend.

Mit der kryp­tographis­chen Ein­steck­karte für Serv­er und Appli­ances kön­nen diese Geräte um schnelle und sichere Schüs­sel­op­er­a­tio­nen oder Sig­natur­op­er­a­tio­nen erweit­ert wer­den. Die Ein­steck­karte ste­ht nur dem Serv­er bzw. der Appli­ance zur Ver­fü­gung. Das bedeutet, dass bei redun­dan­ten Sys­te­men oder Clus­tern mehrere HSM-Ein­steck­karten gekauft wer­den müssen. Der Trend zu virtuellen Sys­te­men bevorzugt daher Net­zw­erk-HSMs. Anwen­dun­gen des Servers kön­nen jed­erzeit in hoher Geschwindigkeit und ohne Net­zw­erkverbindung über die ver­füg­baren HSM Soft­ware-Schnittstellen wie Microsoft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­tog­ra­phy Exten­sion (JCE) die kryp­tographis­chen Funk­tiones nutzen. Auch hier kön­nen speziell entwick­elte Anwen­dun­gen die vom Her­steller ange­botene API nutzen, um direkt auf die Funk­tio­nen der Cryp­to-Ein­steck­karte zuzu­greifen.

Die hohe Geschwindigkeit von PCI/P­CIe-HSMs sind für Transak­tion­sserv­er und Ver­schlüs­selung­sop­er­a­tio­nen gut geeignet. Oft wer­den PCI/P­CIe-HSM auch für PKI Anwen­dun­gen genutzt, die kein kosten­in­ten­sives Net­zw­erk-Hard­ware-Secu­ri­ty-Mod­ul erfordern.

Als Net­zw­erk-Serv­er mit ein oder mehreren Giga­bit-Net­zw­erkan­schlüssen bietet ein Net­zw­erk-Hard­ware-Secu­ri­ty-Mod­ul zen­trale Schlüs­sel­sicherung und Schlüs­sel­op­er­a­tio­nen für eine Vielzahl an kryp­tographis­chen Anforderun­gen in einem Enter­prise Net­zw­erk. Das Net­zw­erk-HSM hat logisch getren­nte Schlüs­sel­spe­ich­er, wodurch autorisierte Anwen­dun­gen nur die zugewiese­nen Schlüs­sel und Oper­a­tio­nen nutzen kön­nen. Der Par­al­lel­be­trieb von PKI-Anwen­dun­gen, Sig­na­tur­erstel­lung und Ver­schlüs­selungsan­forderun­gen wird oft mit einem zen­tralen Net­zw­erk-HSM oder einem Net­zw­erk-HSM-Clus­ter real­isiert. Auf den zugreifend­en Servern oder Clients wird die Mid­dle­ware oder API instal­liert wom­it physikalis­che und virtuelle Serverin hoher Geschwindigkeit über die bere­it­gestell­ten Soft­ware-Schnittstellen wie Microsoft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­tog­ra­phy Exten­sion (JCE) die kryp­tographis­chen Funk­tiones des zen­tralen Net­zw­erk-HSMs nutzen. Selb­stver­ständlich kön­nen speziell entwick­elte Anwen­dun­gen die vom Her­steller ange­botene API nutzen, um direkt auf die Funk­tio­nen des Net­zw­erk-HSMs zuzu­greifen.

Die hohe Geschwindigkeit von Net­zw­erk-HSMs sind für Transak­tion­sserv­er und PKI bzw. Ver­schlüs­selung­sop­er­a­tio­nen in Enter­prise Net­zw­erken sehr gut geeignet.

Wir berat­en Sie her­stellerneu­tral über die opti­male Plat­tform für Ihre Secu­ri­ty Anforderung und zeigen Lösungswege für einen kryp­tographis­che Umset­zung. Sprechen Sie uns an oder nutzen Sie das Kon­tak­t­for­mu­lar!

Kon­takt:

Ing. Andreas Schus­ter
Nieder­las­sungsleit­er Wien
cpsd it-ser­vices GmbH
andreas.schuster – at – cpsd.at
oder per Xing: Andreas Schus­ter

Typ­is­che Her­steller von Hard­ware-Secu­ri­ty-Mod­ulen

Thales eSe­cu­ri­ty mit nCi­pher / nShield
Uti­ma­co mit Secu­ri­ty Serv­er
Gemalto/SafeNet mit Luna Net­z­work HSM
ARX mit dem ARX Pri­vate­Serv­er