Hard­ware Secu­ri­ty Modu­le — HSM2018-08-07T21:53:57+02:00

Kryp­to Hard­ware Secu­ri­ty Modu­le — HSM
PKI — Ver­schlüs­se­lung — Signa­tur — eIDAS“

Moder­ne kryp­to­gra­phi­sche Hard­ware Secu­ri­ty Modu­le (HSM) wer­den als USB-Gerä­te, als PCI/P­CI-Express oder Netz­werk-Ser­ver ange­bo­ten und unter­schei­den sich je nach Her­stel­ler und Bau­form in der Anzahl der spei­cher­ba­ren Schlüs­sel und der Anzahl der kryp­to­gra­phi­schen Trans­ak­tio­nen pro Sekunde.

Die wich­tigs­ten Funk­tio­nen im Überblick:

  • Siche­re Schlüs­sel­ver­ar­bei­tung und Schlüsselspeicherung
  • Umfas­sen­des zen­tra­les Schlüsselmanagement
  • Schlüs­sel­spei­che­rung inner­halb des Hard­ware-Secu­ri­ty-Modul oder außer­halb in siche­ren Schlüsselcontainern
  • Rol­len­mo­dell für die Ver­wal­tung und Sicherheitsoperationen
  • Siche­rung der kryp­to­gra­phi­schen Hard­ware vor Manipulation
  • Meh­re­re siche­re Authen­ti­sie­rungme­tho­den sowie Mehr­fach­au­then­ti­sie­rung (4 / 6 / 8 Augen-Prinzip)
  • Optio­nal: Remo­te Manage­ment (bei den Netzwerk-Hardware-Security-Modulen)
  • Betriebs­sys­tem­un­ab­hän­gig für Windows/Linux/Unix einsetzbar
  • Viel­fäl­ti­ge Inte­gra­ti­ons­mög­lich­kei­ten: PKI-Anwen­dun­gen, Ver­schlüs­se­lung, Signa­tur, Siche­re Trans­ak­tio­nen, IoT Secu­ri­ty, PIN-Erzeu­gung, etc.

Typi­sche HSM Bauformen

USB HSMs

Sym­bol­bil­der: USB HSMs, Tha­les eSe­cu­ri­ty, Yubico, SafeNet/Gemalto

Opti­mal für klei­ne Anfor­de­run­gen auf einem Ser­ver oder Cli­ent. Das USB-Cryp­to-Gerät wird phy­si­ka­lisch am Ser­ver betrie­ben oder per Netz­werk-USB-Gerä­te­ser­ver an vir­tu­el­le Ser­ver ver­bun­den. Anwen­dun­gen kön­nen dann über die vom Anbie­ter gelie­fer­ten Soft­ware-Schnitt­stel­len wie Micro­soft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­to­gra­phy Exten­si­on (JCE) die kryp­to­gra­phi­schen Funk­tio­nes des USB-Gerä­tes nut­zen. Für spe­zi­el­le Anwen­dun­gen kann die vom Her­stel­ler ange­bo­te­ne API genutzt wer­den, um direkt auf die Funk­tio­nen der Cryp­to-Hard­ware zuzugreifen.

Die USB-HSM-Sys­te­me kön­nen direkt an einem Ser­ver betrie­ben wer­den oder über Netz­werk-USB-Ser­ver per USB-Redi­rect von einem Ser­ver genutzt wer­den. Im Gegen­satz zu den Netz­werk-HSM Sys­te­men kann man beim USB-HSM immer nur einen Ser­ver mit dem HSM ver­bin­den. Eine gleich­zei­ti­ge Nut­zung der kryp­to­gra­phi­schen HSM-Funk­tio­nen von meh­re­ren Ser­vern aus ist somit nicht möglich.

Die Geschwin­dig­keit von USB-HSMs ist oft mit weni­gen Trans­ak­tio­nen pro Sekun­de limi­tiert, für typi­sche PKI Anwen­dun­gen aber oft­mals völ­lig ausreichend.

Mit der kryp­to­gra­phi­schen Ein­steck­kar­te für Ser­ver und App­li­an­ces kön­nen die­se Gerä­te um schnel­le und siche­re Schüs­se­l­ope­ra­tio­nen oder Signa­tur­ope­ra­tio­nen erwei­tert wer­den. Die Ein­steck­kar­te steht nur dem Ser­ver bzw. der App­li­an­ce zur Ver­fü­gung. Das bedeu­tet, dass bei red­un­dan­ten Sys­te­men oder Clus­tern meh­re­re HSM-Ein­steck­kar­ten gekauft wer­den müs­sen. Der Trend zu vir­tu­el­len Sys­te­men bevor­zugt daher Netz­werk-HSMs. Anwen­dun­gen des Ser­vers kön­nen jeder­zeit in hoher Geschwin­dig­keit und ohne Netz­werk­ver­bin­dung über die ver­füg­ba­ren HSM Soft­ware-Schnitt­stel­len wie Micro­soft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­to­gra­phy Exten­si­on (JCE) die kryp­to­gra­phi­schen Funk­tio­nes nut­zen. Auch hier kön­nen spe­zi­ell ent­wi­ckel­te Anwen­dun­gen die vom Her­stel­ler ange­bo­te­ne API nut­zen, um direkt auf die Funk­tio­nen der Cryp­to-Ein­steck­kar­te zuzugreifen.

Die hohe Geschwin­dig­keit von PCI/P­CIe-HSMs sind für Trans­ak­ti­ons­ser­ver und Ver­schlüs­se­lungs­ope­ra­tio­nen gut geeig­net. Oft wer­den PCI/P­CIe-HSM auch für PKI Anwen­dun­gen genutzt, die kein kos­ten­in­ten­si­ves Netz­werk-Hard­ware-Secu­ri­ty-Modul erfordern.

Als Netz­werk-Ser­ver mit ein oder meh­re­ren Giga­bit-Netz­werk­an­schlüs­sen bie­tet ein Netz­werk-Hard­ware-Secu­ri­ty-Modul zen­tra­le Schlüs­sel­si­che­rung und Schlüs­se­l­ope­ra­tio­nen für eine Viel­zahl an kryp­to­gra­phi­schen Anfor­de­run­gen in einem Enter­pri­se Netz­werk. Das Netz­werk-HSM hat logisch getrenn­te Schlüs­sel­spei­cher, wodurch auto­ri­sier­te Anwen­dun­gen nur die zuge­wie­se­nen Schlüs­sel und Ope­ra­tio­nen nut­zen kön­nen. Der Par­al­lel­be­trieb von PKI-Anwen­dun­gen, Signa­tur­er­stel­lung und Ver­schlüs­se­lungs­an­for­de­run­gen wird oft mit einem zen­tra­len Netz­werk-HSM oder einem Netz­werk-HSM-Clus­ter rea­li­siert. Auf den zugrei­fen­den Ser­vern oder Cli­ents wird die Midd­le­wa­re oder API instal­liert womit phy­si­ka­li­sche und vir­tu­el­le Ser­verin hoher Geschwin­dig­keit über die bereit­ge­stell­ten Soft­ware-Schnitt­stel­len wie Micro­soft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­to­gra­phy Exten­si­on (JCE) die kryp­to­gra­phi­schen Funk­tio­nes des zen­tra­len Netz­werk-HSMs nut­zen. Selbst­ver­ständ­lich kön­nen spe­zi­ell ent­wi­ckel­te Anwen­dun­gen die vom Her­stel­ler ange­bo­te­ne API nut­zen, um direkt auf die Funk­tio­nen des Netz­werk-HSMs zuzugreifen.

Die hohe Geschwin­dig­keit von Netz­werk-HSMs sind für Trans­ak­ti­ons­ser­ver und PKI bzw. Ver­schlüs­se­lungs­ope­ra­tio­nen in Enter­pri­se Netz­wer­ken sehr gut geeignet.

Wir bera­ten Sie her­stel­ler­neu­tral über die opti­ma­le Platt­form für Ihre Secu­ri­ty Anfor­de­rung und zei­gen Lösungs­we­ge für einen kryp­to­gra­phi­sche Umset­zung. Spre­chen Sie uns an oder nut­zen Sie das Kon­takt­for­mu­lar!

Kon­takt:

Ing. Andre­as Schuster
Nie­der­las­sungs­lei­ter Wien
cpsd it-ser­vices GmbH
andreas.schuster – at – cpsd.at
oder per Xing: Andre­as Schuster

Typi­sche Her­stel­ler von Hardware-Security-Modulen

Tha­les eSe­cu­ri­ty mit nCi­pher / nShield
Uti­ma­co mit Secu­ri­ty Server
Gemalto/SafeNet mit Luna Netz­work HSM
ARX mit dem ARX PrivateServer

Wei­te­re Informationen…

Code Signing in Teams — Kos­ten­güns­ti­ge HSM Lösung

Code Signung Zer­ti­fi­ka­te sind seit vie­len Jah­ren in Ver­wen­dung, um die Authen­ti­zi­tät von Soft­ware und Trei­bern zu bestä­ti­gen. Die jähr­li­chen Prei­se für die­sen spe­zi­el­len Zer­ti­fi­kats­typ lie­gen zwi­schen rd. 280€ von inter­na­tio­na­len Anbie­tern und rd. 350–360€ bei Anbie­tern aus dem deutsch­spra­chi­gen Raum. In der Ver­gan­gen­heit reich­ten oft auch Stan­dard Code Signing Zer­ti­fi­ka­te für die Erstel­lung von Soft­ware aus, jedoch hat Micro­soft die Richt­li­ni­en ver­schärft und setzt für eini­ge Ser­vices nun Exten­ded Vali­da­ti­on (EV) Zer­ti­fi­ka­te vor­aus. Zu die­sen Diens­ten zäh­len Local Security […]

Von |24.10.2018|Kate­go­rien: All­ge­mein, HSM|2 Kom­men­ta­re

CPSD Cer­ti­fi­ca­te Aut­ho­ri­ty Migra­ti­on Tool für Tha­les nShield und Gemal­to Safe­Net Net­work HSM

HSM Secu­ri­ty Initia­ti­ve aus Öster­reich: Die CPSD aus Linz ver­öf­fent­licht ein HSM Migra­ti­on Tool, um die CA-Schlüs­sel bestehen­der Micro­soft Cer­ti­fi­ca­te Aut­ho­ri­ties in hoch­si­che­re HSM Schlüs­sel­spei­cher zu migrie­ren. PKI-Sys­te­me (Public Key Aut­ho­ri­ties) sind in Unter­neh­men für die Aus­stel­lung von digi­ta­len Iden­ti­tä­ten für Benut­zer und Gerä­te (Enti­ty) ver­ant­wort­lich – kurz Zer­ti­fi­ka­te. PKI-Sys­te­me sind hier­ar­chisch ange­ord­net und bestehen aus einer Root-CA (Cer­ti­fi­ca­te Aut­ho­ri­tiy) und einer oder meh­re­rer Issuing CAs: . Soft­ware Secu­red Micro­soft Cer­ti­fi­ca­te Aut­ho­ri­ty PKI Sena­rio Für eini­ge spe­zi­el­le Anwendungen […]

Von |07.08.2018|Kate­go­rien: HSM|Schlag­wör­ter: , , , , , |0 Kom­men­ta­re

Cloud Ver­schlüs­se­lung leicht gemacht

Mit der stei­gen­den Anzahl an rei­nen Cloud Anwen­dun­gen (SaaS) wer­den ver­mehrt auch sen­si­bel Daten in Cloud-Anwen­dun­gen ver­ar­bei­tet und gespei­chert. Anwen­dun­gen die in Euro­pa gehos­tet sind und aus­rei­chen­de Garan­tien, z.B. Sicher­heits­zer­ti­fi­zie­run­gen, bie­ten eig­nen sich für die Ver­ar­bei­tung von sen­si­blen als auch per­so­nen­be­zo­ge­nen Daten, da die Cloud-Anbie­ter für die Sicher­heit sor­gen. Sobald Unter­neh­men aber selbst Cloud Diens­te eta­blie­ren (mit PaaS) , oder Ser­ver in die Cloud ver­schie­ben (IaaS) müs­sen die­se Diens­te und Ser­ver zuver­läs­sig abge­si­chert wer­den. Die­se Auf­ga­be kann ein Key-Management-Server […]

Von |17.04.2018|Kate­go­rien: All­ge­mein, HSM|0 Kom­men­ta­re

Kryp­to Work­shop HSM2018 — Nut­zen­ori­en­tier­te Aus­wahl eines Hard­ware Secu­ri­ty Moduls (HSM)

Die Beson­der­heit von Hard­ware Secu­ri­ty Modu­len (HSM) ist die siche­re Spei­che­rung einer Viel­zahl kryp­to­gra­phi­scher Schlüs­seln und hohe Geschwin­dig­keit bei Cryp­to-Ope­ra­tio­nen wie Ver­schlüs­se­lung, digi­ta­le Signa­tur und Zufalls­zah­len­er­zeu­gung. HSMs wer­den als zer­ti­fi­zier­te App­li­an­ce ange­bo­ten, neue Ansät­ze sind Cloud-HSMs und ein­fa­che HSMs für ein­zel­ne Diens­te. In unse­rem Work­shop klä­ren wir in drei Stun­den gemein­sam mit dem Auf­trag­ge­ber wo der Ein­satz von HSMs ope­ra­tiv und wirt­schaft­lich sinn­voll ist und defi­nie­ren die Kenn­grö­ßen für die Her­stel­ler­aus­wahl. In bereit­ge­stell­ten Ver­gleichs­ta­bel­len ver­an­schau­li­chen wir den tech­ni­schen Ent­schei­dern die […]

Von |02.02.2018|Kate­go­rien: All­ge­mein, HSM|0 Kom­men­ta­re