Hard­ware Secu­ri­ty Mod­ule — HSM 2018-08-07T21:53:57+00:00

Kryp­to Hard­ware Secu­ri­ty Mod­ule — HSM
PKI — Ver­schlüs­selung — Sig­natur — eIDAS“

Mod­erne kryp­tographis­che Hard­ware Secu­ri­ty Mod­ule (HSM) wer­den als USB-Geräte, als PCI/P­CI-Express oder Net­zw­erk-Serv­er ange­boten und unter­schei­den sich je nach Her­steller und Bau­form in der Anzahl der spe­icherbaren Schlüs­sel und der Anzahl der kryp­tographis­chen Transak­tio­nen pro Sekunde.

Die wichtig­sten Funk­tio­nen im Überblick:

  • Sichere Schlüs­selver­ar­beitung und Schlüs­sel­spe­icherung
  • Umfassendes zen­trales Schlüs­sel­man­age­ment
  • Schlüs­sel­spe­icherung inner­halb des Hard­ware-Secu­ri­ty-Mod­ul oder außer­halb in sicheren Schlüs­sel­con­tain­ern
  • Rol­len­mod­ell für die Ver­wal­tung und Sicher­heit­sop­er­a­tio­nen
  • Sicherung der kryp­tographis­chen Hard­ware vor Manip­u­la­tion
  • Mehrere sichere Authen­tisierung­meth­o­d­en sowie Mehrfachau­then­tisierung (4 / 6 / 8 Augen-Prinzip)
  • Option­al: Remote Man­age­ment (bei den Net­zw­erk-Hard­ware-Secu­ri­ty-Mod­ulen)
  • Betrieb­ssys­te­mu­nab­hängig für Windows/Linux/Unix ein­set­zbar
  • Vielfältige Inte­gra­tions­möglichkeit­en: PKI-Anwen­dun­gen, Ver­schlüs­selung, Sig­natur, Sichere Transak­tio­nen, IoT Secu­ri­ty, PIN-Erzeu­gung, etc.

Typ­is­che HSM Bau­for­men

USB HSMs

Sym­bol­bilder: USB HSMs, Thales eSe­cu­ri­ty, Yubi­co, SafeNet/Gemalto

Opti­mal für kleine Anforderun­gen auf einem Serv­er oder Client. Das USB-Cryp­to-Gerät wird physikalisch am Serv­er betrieben oder per Net­zw­erk-USB-Geräte­serv­er an virtuelle Serv­er ver­bun­den. Anwen­dun­gen kön­nen dann über die vom Anbi­eter geliefer­ten Soft­ware-Schnittstellen wie Microsoft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­tog­ra­phy Exten­sion (JCE) die kryp­tographis­chen Funk­tiones des USB-Gerätes nutzen. Für spezielle Anwen­dun­gen kann die vom Her­steller ange­botene API genutzt wer­den, um direkt auf die Funk­tio­nen der Cryp­to-Hard­ware zuzu­greifen.

Die USB-HSM-Sys­teme kön­nen direkt an einem Serv­er betrieben wer­den oder über Net­zw­erk-USB-Serv­er per USB-Redi­rect von einem Serv­er genutzt wer­den. Im Gegen­satz zu den Net­zw­erk-HSM Sys­te­men kann man beim USB-HSM immer nur einen Serv­er mit dem HSM verbinden. Eine gle­ichzeit­ige Nutzung der kryp­tographis­chen HSM-Funk­tio­nen von mehreren Servern aus ist somit nicht möglich.

Die Geschwindigkeit von USB-HSMs ist oft mit weni­gen Transak­tio­nen pro Sekunde lim­i­tiert, für typ­is­che PKI Anwen­dun­gen aber oft­mals völ­lig aus­re­ichend.

Mit der kryp­tographis­chen Ein­steck­karte für Serv­er und Appli­ances kön­nen diese Geräte um schnelle und sichere Schüs­sel­op­er­a­tio­nen oder Sig­natur­op­er­a­tio­nen erweit­ert wer­den. Die Ein­steck­karte ste­ht nur dem Serv­er bzw. der Appli­ance zur Ver­fü­gung. Das bedeutet, dass bei redun­dan­ten Sys­te­men oder Clus­tern mehrere HSM-Ein­steck­karten gekauft wer­den müssen. Der Trend zu virtuellen Sys­te­men bevorzugt daher Net­zw­erk-HSMs. Anwen­dun­gen des Servers kön­nen jed­erzeit in hoher Geschwindigkeit und ohne Net­zw­erkverbindung über die ver­füg­baren HSM Soft­ware-Schnittstellen wie Microsoft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­tog­ra­phy Exten­sion (JCE) die kryp­tographis­chen Funk­tiones nutzen. Auch hier kön­nen speziell entwick­elte Anwen­dun­gen die vom Her­steller ange­botene API nutzen, um direkt auf die Funk­tio­nen der Cryp­to-Ein­steck­karte zuzu­greifen.

Die hohe Geschwindigkeit von PCI/P­CIe-HSMs sind für Transak­tion­sserv­er und Ver­schlüs­selung­sop­er­a­tio­nen gut geeignet. Oft wer­den PCI/P­CIe-HSM auch für PKI Anwen­dun­gen genutzt, die kein kosten­in­ten­sives Net­zw­erk-Hard­ware-Secu­ri­ty-Mod­ul erfordern.

Als Net­zw­erk-Serv­er mit ein oder mehreren Giga­bit-Net­zw­erkan­schlüssen bietet ein Net­zw­erk-Hard­ware-Secu­ri­ty-Mod­ul zen­trale Schlüs­sel­sicherung und Schlüs­sel­op­er­a­tio­nen für eine Vielzahl an kryp­tographis­chen Anforderun­gen in einem Enter­prise Net­zw­erk. Das Net­zw­erk-HSM hat logisch getren­nte Schlüs­sel­spe­ich­er, wodurch autorisierte Anwen­dun­gen nur die zugewiese­nen Schlüs­sel und Oper­a­tio­nen nutzen kön­nen. Der Par­al­lel­be­trieb von PKI-Anwen­dun­gen, Sig­na­tur­erstel­lung und Ver­schlüs­selungsan­forderun­gen wird oft mit einem zen­tralen Net­zw­erk-HSM oder einem Net­zw­erk-HSM-Clus­ter real­isiert. Auf den zugreifend­en Servern oder Clients wird die Mid­dle­ware oder API instal­liert wom­it physikalis­che und virtuelle Serverin hoher Geschwindigkeit über die bere­it­gestell­ten Soft­ware-Schnittstellen wie Microsoft Cryp­to API (CSP, KSP), PKCS#11 oder Java Cryp­tog­ra­phy Exten­sion (JCE) die kryp­tographis­chen Funk­tiones des zen­tralen Net­zw­erk-HSMs nutzen. Selb­stver­ständlich kön­nen speziell entwick­elte Anwen­dun­gen die vom Her­steller ange­botene API nutzen, um direkt auf die Funk­tio­nen des Net­zw­erk-HSMs zuzu­greifen.

Die hohe Geschwindigkeit von Net­zw­erk-HSMs sind für Transak­tion­sserv­er und PKI bzw. Ver­schlüs­selung­sop­er­a­tio­nen in Enter­prise Net­zw­erken sehr gut geeignet.

Wir berat­en Sie her­stellerneu­tral über die opti­male Plat­tform für Ihre Secu­ri­ty Anforderung und zeigen Lösungswege für einen kryp­tographis­che Umset­zung. Sprechen Sie uns an oder nutzen Sie das Kon­tak­t­for­mu­lar!

Kon­takt:

Ing. Andreas Schus­ter
Nieder­las­sungsleit­er Wien
cpsd it-ser­vices GmbH
andreas.schuster – at – cpsd.at
oder per Xing: Andreas Schus­ter

Typ­is­che Her­steller von Hard­ware-Secu­ri­ty-Mod­ulen

Thales eSe­cu­ri­ty mit nCi­pher / nShield
Uti­ma­co mit Secu­ri­ty Serv­er
Gemalto/SafeNet mit Luna Net­z­work HSM
ARX mit dem ARX Pri­vate­Serv­er

Weit­ere Infor­ma­tio­nen…

CPSD Cer­tifi­cate Author­i­ty Migra­tion Tool für Thales nShield und Gemal­to SafeNet Net­work HSM

HSM Secu­ri­ty Ini­tia­tive aus Öster­re­ich: Die CPSD aus Linz veröf­fentlicht ein HSM Migra­tion Tool, um die CA-Schlüs­sel beste­hen­der Microsoft Cer­tifi­cate Author­i­ties in hochsichere HSM Schlüs­sel­spe­ich­er zu migri­eren. PKI-Sys­teme (Pub­lic Key Author­i­ties) sind in Unternehmen für die Ausstel­lung von dig­i­tal­en Iden­titäten für Benutzer und Geräte (Enti­ty) ver­ant­wortlich – kurz Zer­ti­fikate. PKI-Sys­teme sind hier­ar­chisch ange­ord­net und beste­hen aus ein­er Root-CA (Cer­tifi­cate Author­i­tiy) und ein­er oder mehrerer Issu­ing CAs: . Soft­ware Secured Microsoft Cer­tifi­cate Author­i­ty PKI Senario Für einige spezielle Anwen­dun­gen […]

Kryp­to Work­shop HSM2018 — Nutzenori­en­tierte Auswahl eines Hard­ware Secu­ri­ty Moduls (HSM)

Die Beson­der­heit von Hard­ware Secu­ri­ty Mod­ulen (HSM) ist die sichere Spe­icherung ein­er Vielzahl kryp­tographis­ch­er Schlüs­seln und hohe Geschwindigkeit bei Cryp­to-Oper­a­tio­nen wie Ver­schlüs­selung, dig­i­tale Sig­natur und Zufall­szahlen­erzeu­gung. HSMs wer­den als zer­ti­fizierte Appli­ance ange­boten, neue Ansätze sind Cloud-HSMs und ein­fache HSMs für einzelne Dien­ste. In unserem Work­shop klären wir in drei Stun­den gemein­sam mit dem Auf­tragge­ber wo der Ein­satz von HSMs oper­a­tiv und wirtschaftlich sin­nvoll ist und definieren die Ken­ngrößen für die Her­steller­auswahl. In bere­it­gestell­ten Ver­gle­ich­sta­bellen ver­an­schaulichen wir den tech­nis­chen Entschei­dern die […]

By | 02.02.2018|Cat­e­gories: All­ge­mein, HSM|0 Com­ments