Uskuna xavfsizlik moduli: Versiyalar orasidagi farq

Kontent oʻchirildi Kontent qoʻshildi

Inline

17-Sentyabr 2023, 10:16 dagi koʻrinishi

Uskuna xavfsizlik moduli (HSM) bu sirlarni (eng muhimi raqamli kalitlarni) himoya qiluvchi va boshqaradigan, raqamli imzolar uchun shifrlash va shifrni ochish funksiyalarini, kuchli autentifikatsiya va boshqa kriptografik funksiyalarni bajaradigan jismoniy hisoblash qurilmasi hisoblanadi.^[1] Ushbu modullar an'anaviy ravishda plagin kartasi yoki to'g'ridan-to'g'ri kompyuter yoki tarmoq serveriga ulanadigan tashqi qurilma shaklida keladi. Uskuna xavfsizlik moduli bir yoki bir nechta xavfsiz kriptoprotsessor chiplarini o'z ichiga oladi.^[2]^[3]

Dizayn

HSMlar o'zgartirishning ko'zga ko'rinadigan belgilari, masalan, o'zgartirish yoki jurnalga yozish va ogohlantirish yoki HSMni ishlamay qolmasdan buzishni qiyinlashtiradigan o'zgartirishga qarshilik yoki o'zgartirishlar aniqlanganda kalitlarni o'chirish kabi o'zgartirishga javob beradigan xususiyatlarga ega bo'lishi mumkin.^[4] Har bir modul o'zgartirish va avtobusni tekshirishning oldini olish uchun bir yoki bir nechta xavfsiz kriptoprotsessor chiplarini yoki moduldagi chiplar kombinatsiyasini o'z ichiga oladi, ular soxtalashtirish, buzishga chidamli yoki sezgir o'rash bilan himoyalangan.

Fayl:Atalla HSM.jpg

Tarmoqqa ulangan HSM

Mavjud HSMlarning ko'p qismi asosan maxfiy kalitlarni boshqarish uchun mo'ljallangan. Ko'pgina HSM tizimlarida HSM dan tashqarida ishlaydigan kalitlarni xavfsiz zaxiralash uchun vositalar mavjud. Kalitlar o'ralgan holda zaxiralanishi va kompyuter diskida yoki boshqa muhitda saqlanishi yoki aqlli-karta yoki boshqa xavfsizlik tokeni kabi xavfsiz portativ qurilma yordamida tashqarida saqlanishi mumkin.^[5]

HSMlar real vaqt rejimida avtorizatsiya qilish va muhim infratuzilmada autentifikatsiya qilish uchun ishlatiladi, shuning uchun odatda to'plash , avtomatlashtirilgan uzilish va maydonda almashtiriladigan ortiqcha qismlarni o'z ichiga olgan standart yuqori mavjudlik modellarini qo'llab-quvvatlash uchun ishlab chiqilgan.

Bozorda mavjud bo'lgan ba'zi HSMlar HSM ning xavfsiz muhofazasi ichida maxsus ishlab chiqilgan modullarni bajarish imkoniyatiga ega. Bunday qobiliyat, masalan, maxsus algoritmlar yoki biznes mantig'i xavfsiz va boshqariladigan sharoitda bajarilishi kerak bo'lgan vaziyatlarda foydalidir. Modullar ona C tilida ishlab chiqilishi mumkin. NET, Java yoki boshqa dasturlash tillari. Bundan tashqari, kelgusi avlod HSM'lari^[6] moslashtirish va qayta dasturlashni talab qilmasdan to'liq operatsion tizimlar va COTS dasturiy ta'minotini yuklash va ishga tushirish kabi murakkabroq vazifalarni bajarishi mumkin. Bunday noan'anaviy dizaynlar an'anaviy HSM-larning mavjud dizayn va ishlash cheklovlarini yengib o'tadi va shu bilan birga dasturga xos kodni himoya qilish foydasini ta'minlaydi. Ushbu ijro mexanizmlari HSM ning FIPS yoki Common Criteria tekshiruvi holatini himoya qiladi.^[7]

Sertifikatlash

Ilovalar va infratuzilmani himoya qilishda muhim rol o'ynaganligi sababli, umumiy maqsadli HSM'lar va/yoki kriptografik modullar odatda Umumiy mezonlar (masalan, Himoya profili EN 419 221-5, "Ishonch uchun kriptografik modul") kabi xalqaro tan olingan standartlarga muvofiq sertifikatlanadi. Xizmatlar") yoki FIPS 140 (hozirgi 3-versiya, odatda FIPS 140-3 deb ataladi). FIPS 140 xavfsizlik sertifikatining eng yuqori darajasiga erishish mumkin bo'lgan Xavfsizlik darajasi 4 bo'lsa-da, HSMlarning aksariyati 3-darajali sertifikatga ega. Common Criteria tizimida eng yuqori EAL (Evaluation Assurance Level) EAL7 hisoblanadi, HSMlarning aksariyati EAL4+ sertifikatiga ega. Moliyaviy toʻlov ilovalarida foydalanilganda, HSM xavfsizligi koʻpincha Toʻlov kartalari sanoati xavfsizligi standartlari kengashi tomonidan belgilangan HSM talablariga muvofiq tasdiqlanadi.^[8]

Foydalanadi

Uskuna xavfsizlik moduli raqamli kalitlardan foydalanadigan har qanday dasturda ishlatilishi mumkin. Odatda, kalitlar yuqori qiymatga ega bo'ladi - agar kalit buzilgan bo'lsa, uning egasiga sezilarli darajada salbiy ta'sir ko'rsatadi.

HSM funksiyalari quyidagilardan iborat:

bortda xavfsiz kriptografik kalitlarni yaratish
bortda xavfsiz kriptografik kalitlarni saqlash, hech bo'lmaganda yuqori darajadagi va eng sezgir kalitlar uchun, odatda asosiy kalitlar deb ataladi.
kalit boshqaruvi
kriptografik va maxfiy ma'lumotlar materiallaridan foydalanish, masalan, parolni hal qilish yoki raqamli imzo funktsiyalarini bajarish
to'liq bir xil bo'lmagan (assimetrik) va simmetrik kriptografiya uchun dastur serverlarini tushirish.

HSM'lar, shuningdek, ma'lumotlar bazalari uchun shaffof ma'lumotlarni shifrlash kalitlarini va disk yoki lenta kabi saqlash qurilmalari uchun kalitlarni boshqarish uchun joylashtirilgan.

HSMlar ushbu materiallarni, shu jumladan kriptografik kalitlarni oshkor qilish, ruxsatsiz foydalanish va potensial raqiblardan mantiqiy va jismoniy himoya qiladi.^[9]

HSM simmetrik^[10] va bir xil bo'lmagan (ochiq kalitli) kriptografiyani qo'llab-quvvatlaydi. Sertifikat organlari va raqamli imzolash kabi ba'zi ilovalar uchun kriptografik material ochiq kalitli kriptografiyada ishlatiladigan assimetrik kalit juftlari (va sertifikatlar) hisoblanadi.^[11] Ma'lumotlarni shifrlash yoki moliyaviy to'lov tizimlari kabi boshqa ilovalar bilan kriptografik material asosan simmetrik kalitlardan iborat.^[12]

Ba'zi HSM tizimlari, shuningdek, qurilma kriptografik tezlatgichlardir. Ular, odatda, nosimmetrik kalit operatsiyalari uchun faqat apparat yechimlarining ishlashini yengib bo'lmaydi. Biroq, sekundiga 1 dan 10 000 tagacha 1024-bitli RSA belgilarining ishlashi bilan HSMlar assimetrik kalit operatsiyalari uchun muhim protsessor yukini ta'minlay oladi. Milliy Standartlar va Texnologiyalar Instituti (NIST) 2010-yildan boshlab 2048 bitli RSA kalitlaridan foydalanishni tavsiya qilganligi sababli^[13] uzoqroq kalit oʻlchamlarida ishlash muhimroq boʻldi. Ushbu muammoni hal qilish uchun ko'pchilik HSMlar endi elliptik egri kriptografiyani (ECC) qo'llab-quvvatlaydi, bu esa qisqaroq kalit uzunliklari bilan kuchliroq shifrlashni ta'minlaydi.

PKI muhiti (CA HSMs)

PKI muhitlarida HSMlar assimetrik kalit juftlarini yaratish, saqlash va qayta ishlash uchun sertifikatlashtirish organlari (CA) va ro'yxatga olish organlari (RA) tomonidan ishlatilishi mumkin. Bunday holda, qurilmaning ba'zi asosiy xususiyatlari bo'lishi kerak, xususan:

Mantiqiy va jismoniy yuqori darajadagi himoya
Ko'p qismli foydalanuvchi avtorizatsiya sxemasi ( maxfiy almashishga qarang)
To'liq audit va jurnal izlari
Xavfsiz kalit zaxira nusxasi

Boshqa tomondan, PKI muhitida qurilmaning ishlashi ham onlayn, ham oflayn operatsiyalarda unchalik ahamiyatga ega emas, chunki Ro'yxatdan o'tish organining tartiblari infratuzilmaning ishlashidagi qiyinchiliklarni anglatadi.

Karta to'lov tizimi HSMs (bank HSMs)

Ixtisoslashgan HSMlar to'lov kartalari sanoatida qo'llaniladi. HSMlar tranzaksiyalarni qayta ishlash va sanoat standartlariga rioya qilish uchun zarur bo'lgan umumiy maqsadli funktsiyalarni ham, maxsus funksiyalarni ham qo'llab-quvvatlaydi. Ular odatda standart API xususiyatiga ega emas.

Odatdagi ilovalar tranzaksiyani avtorizatsiya qilish va toʻlov kartasini shaxsiylashtirish boʻlib, ular quyidagi funksiyalarni talab qiladi:

foydalanuvchi kiritgan PIN-kod karta ma'lum bo'lgan mos yozuvlar PIN-kodiga mos kelishini tekshiring
karta xavfsizlik kodlarini tekshirish yoki ATM kontrolleri yoki POS terminali bilan birgalikda EMV asosidagi tranzaksiyaning xostni qayta ishlash qismlarini amalga oshirish orqali kredit/debit karta tranzaksiyalarini tekshirish
aqlli-karta bilan kripto-API-ni qo'llab-quvvatlash (masalan, EMV )
boshqa avtorizatsiya xostiga yuborish uchun PIN blokni qayta shifrlash
xavfsiz kalit boshqaruvini amalga oshirish
POS ATM tarmog'ini boshqarish protokolini qo'llab-quvvatlaydi
xost-host kalitining de-fakto standartlarini qo'llab-quvvatlash | ma'lumotlar almashinuvi API
“PIN-kod”ni yaratish va chop etish
magnit chiziqli karta uchun ma'lumotlarni yaratish (PVV, CVV )
karta kalitlarini yaratish va smart-kartalarni shaxsiylashtirish jarayonini qo'llab-quvvatlash

Bank bozorida HSM standartlarini ishlab chiqaruvchi va qo'llab-quvvatlovchi asosiy tashkilotlar to'lov kartalari sanoati xavfsizligi standartlari kengashi, ANS X9 va ISO hisoblanadi.

SSL ulanishini o'rnatish

HTTPS ( SSL / TLS ) dan foydalanishi kerak bo'lgan ishlash uchun muhim ilovalar, odatda, bir nechta katta butun sonlarni ko'paytirishni talab qiladigan RSA operatsiyalarini xost protsessoridan HSM qurilmasiga ko'chirish orqali SSL Acceleration HSM dan foydalanishi mumkin. Oddiy HSM qurilmalari soniyasiga 1 dan 10 000 gacha 1024 bitli RSA operatsiyalarini bajarishi mumkin.^[14]^[15] Uzunroq kalit o'lchamlarida ba'zi ishlash tobora muhim ahamiyat kasb etmoqda. Ushbu muammoni hal qilish uchun ba'zi HSMlar^[16] endi ECCni qo'llab-quvvatlaydi. Ixtisoslashgan HSM qurilmalari soniyasiga 20 000 ta operatsiyani bajarishi mumkin.^[17]

DNSSEC

Ro'yxatga olish kitoblarining ortib borayotgan soni katta zona fayllarini imzolash uchun ishlatiladigan asosiy materiallarni saqlash uchun HSM'lardan foydalanadi. OpenDNSSEC DNS zonasi fayllarini imzolashni boshqaradigan ochiq manbali vositadir.

2007 yil 27 yanvarda ICANN va Verisign AQSH Savdo vazirligi koʻmagida DNS ildiz zonalari uchun DNSSEC ni oʻrnatishni boshladi.^[18] Ildiz imzosi tafsilotlarini Root DNSSEC veb-saytida topish mumkin.^[19]

Blokcheyn va HSMlar

Blokcheyn texnologiyasi kriptografik operatsiyalarga bog'liq. Shaxsiy kalitlarni himoya qilish bir xil bo'lmagan (assimetrik) kriptografiyadan foydalanadigan blokcheyn jarayonlari xavfsizligini ta'minlash uchun zarurdir.

HSM va blokcheyn o'rtasidagi sinergiya bir nechta maqolalarda eslatib o'tilgan va ularning shaxsiy kalitlarni himoya qilish va identifikatsiyani tekshirishdagi rolini ta'kidlaydi, masalan, blokcheynga asoslangan mobillik echimlari kabi kontekstlarda.^[20]^[21]

Hyperledger tizimidagi Fabric tugunlari tomonidan amalga oshirilgan kriptografik operatsiyalar qurilma xavfsizligi moduliga delegatsiyani qo‘llab-quvvatlaydi.^[22]

Kriptovalyuta hamyoni

Kriptovalyutaning shaxsiy kalitlari HSM-dagi kriptovalyuta hamyonida saqlanishi mumkin.^[23]

Shuningdek ko'rishingiz mumkin:

Elektron pul o'tkazmalari
FIPS 140
Ochiq kalitlar infratuzilmasi
PKCS 11
Xavfsiz kriptoprotsessor
Xavfsizlik belgisi
Shaffof ma'lumotlarni shifrlash
Xavfsizlik kaliti
Ishonchli platforma moduli

Foydalanilgan adabiyotlar:

↑ Sommerhalder, Maria (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard (muh.), „Hardware Security Module“, Trends in Data Protection and Encryption Technologies (inglizcha), Cham: Springer Nature Switzerland, 83–87-bet, doi:10.1007/978-3-031-33386-6_16, ISBN 978-3-031-33386-6, qaraldi: 2023-09-12
↑ Ramakrishnan, Vignesh. Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF), 2015 — 9 bet. ISBN 9788192974279.
↑ Gregg, Michael. CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002. John Wiley & Sons, 2014 — 246 bet. ISBN 9781118930847.
↑ „Electronic Tamper Detection Smart Meter Reference Design“. freescale. Qaraldi: 2015-yil 26-may.
↑ „Using Smartcard/Security Tokens“. mxc software. Qaraldi: 2015-yil 26-may.
↑ „World's First Tamper-Proof Server and General Purpose Secure HSM“. Private Machines. Qaraldi: 2019-yil 7-mart.
↑ Barker, Elaine; Barker, William C (2019). Recommendation for key management. Gaithersburg, MD. doi:10.6028/nist.sp.800-57pt2r1.
↑ „Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards“ (en). www.pcisecuritystandards.org. Qaraldi: 2018-yil 1-may.
↑ „Support for Hardware Security Modules“. paloalto. 2015-yil 26-mayda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.
↑ „Secure Sensitive Data with the BIG-IP Hardware Security Module“. F5. F5 Networks (2012). Qaraldi: 2023-yil 28-aprel.
↑ „Application and Transaction Security / HSM“. Provision. Qaraldi: 2015-yil 26-may.
↑ „IBM i: Cryptography concepts“ (en-us). www.ibm.com. Qaraldi: 2023-yil 29-mart.
↑ „Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths“. NIST (2011-yil yanvar). Qaraldi: 2011-yil 29-mart.
↑ F. Demaertelaere. „Hardware Security Modules“. Atos Worldline. 2015-yil 6-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.
↑ „Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt“. Let's Encrypt. Qaraldi: 2021-yil 19-may.
↑ „Barco Silex FPGA Design Speeds Transactions In Atos Worldline Hardware Security Module“. Barco-Silex (2013-yil yanvar). Qaraldi: 2013-yil 8-aprel.
↑ „SafeNet Network HSM - Formerly Luna SA Network-Attached HSM“. Gemalto. Qaraldi: 2017-yil 21-sentyabr.
↑ „ICANN Begins Public DNSSEC Test Plan for the Root Zone“. www.circleid.com. Qaraldi: 2015-yil 17-avgust.
↑ Root DNSSEC
↑ Shbair, Wazen M. „HSM-based Key Management Solution for Ethereum Blockchain“,. 2021 IEEE International Conference on Blockchain and Cryptocurrency (ICBC), May 2021 — 1–3 bet. DOI:10.1109/ICBC51069.2021.9461136. ISBN 978-1-6654-3578-9.
↑ Pirker, Dominic „Velink - A Blockchain-based Shared Mobility Platform for Private and Commercial Vehicles utilizing ERC-721 Tokens“,. 2021 IEEE 5th International Conference on Cryptography, Security and Privacy (CSP), January 2021 — 62–67 bet. DOI:10.1109/CSP51677.2021.9357605. ISBN 978-1-7281-8621-4.
↑ „Using a Hardware Security Module (HSM) — hyperledger-fabricdocs main documentation“. hyperledger-fabric.readthedocs.io. Qaraldi: 2023-yil 7-avgust.
↑ „Gemalto and Ledger Join Forces to Provide Security Infrastructure for Cryptocurrency Based Activities“. gemalto.com (2017-yil 4-oktyabr). Qaraldi: 2020-yil 20-aprel.

[1] Sommerhalder, Maria (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard (muh.), „Hardware Security Module“, Trends in Data Protection and Encryption Technologies (inglizcha), Cham: Springer Nature Switzerland, 83–87-bet, doi:10.1007/978-3-031-33386-6_16, ISBN 978-3-031-33386-6, qaraldi: 2023-09-12

[2] Ramakrishnan, Vignesh. Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF), 2015 — 9 bet. ISBN 9788192974279.

[3] Gregg, Michael. CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002. John Wiley & Sons, 2014 — 246 bet. ISBN 9781118930847.

[4] „Electronic Tamper Detection Smart Meter Reference Design“. freescale. Qaraldi: 2015-yil 26-may.

[5] „Using Smartcard/Security Tokens“. mxc software. Qaraldi: 2015-yil 26-may.

[ENFORCER-6] „World's First Tamper-Proof Server and General Purpose Secure HSM“. Private Machines. Qaraldi: 2019-yil 7-mart.

[7] Barker, Elaine; Barker, William C (2019). Recommendation for key management. Gaithersburg, MD. doi:10.6028/nist.sp.800-57pt2r1.

[8] „Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards“ (en). www.pcisecuritystandards.org. Qaraldi: 2018-yil 1-may.

[9] „Support for Hardware Security Modules“. paloalto. 2015-yil 26-mayda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.

[10] „Secure Sensitive Data with the BIG-IP Hardware Security Module“. F5. F5 Networks (2012). Qaraldi: 2023-yil 28-aprel.

[11] „Application and Transaction Security / HSM“. Provision. Qaraldi: 2015-yil 26-may.

[12] „IBM i: Cryptography concepts“ (en-us). www.ibm.com. Qaraldi: 2023-yil 29-mart.

[13] „Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths“. NIST (2011-yil yanvar). Qaraldi: 2011-yil 29-mart.

[14] F. Demaertelaere. „Hardware Security Modules“. Atos Worldline. 2015-yil 6-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.

[15] „Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt“. Let's Encrypt. Qaraldi: 2021-yil 19-may.

[16] „Barco Silex FPGA Design Speeds Transactions In Atos Worldline Hardware Security Module“. Barco-Silex (2013-yil yanvar). Qaraldi: 2013-yil 8-aprel.

[17] „SafeNet Network HSM - Formerly Luna SA Network-Attached HSM“. Gemalto. Qaraldi: 2017-yil 21-sentyabr.

[18] „ICANN Begins Public DNSSEC Test Plan for the Root Zone“. www.circleid.com. Qaraldi: 2015-yil 17-avgust.

[root_dnssec-19] Root DNSSEC

[20] Shbair, Wazen M. „HSM-based Key Management Solution for Ethereum Blockchain“,. 2021 IEEE International Conference on Blockchain and Cryptocurrency (ICBC), May 2021 — 1–3 bet. DOI:10.1109/ICBC51069.2021.9461136. ISBN 978-1-6654-3578-9.

[21] Pirker, Dominic „Velink - A Blockchain-based Shared Mobility Platform for Private and Commercial Vehicles utilizing ERC-721 Tokens“,. 2021 IEEE 5th International Conference on Cryptography, Security and Privacy (CSP), January 2021 — 62–67 bet. DOI:10.1109/CSP51677.2021.9357605. ISBN 978-1-7281-8621-4.

[22] „Using a Hardware Security Module (HSM) — hyperledger-fabricdocs main documentation“. hyperledger-fabric.readthedocs.io. Qaraldi: 2023-yil 7-avgust.

[23] „Gemalto and Ledger Join Forces to Provide Security Infrastructure for Cryptocurrency Based Activities“. gemalto.com (2017-yil 4-oktyabr). Qaraldi: 2020-yil 20-aprel.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]