HSM — различия между версиями
(Новая страница: «'''Hardware security module (HSM)''' — аппаратное вычислительное устройство, предназначенное для безоп…») |
|||
| Строка 9: | Строка 9: | ||
Существуют различные форм-факторы модулей HSM: от PCIx карты до выполненного в 19-дюймовом корпусе устройства, предназначенного для установки в серверном шкафу. | Существуют различные форм-факторы модулей HSM: от PCIx карты до выполненного в 19-дюймовом корпусе устройства, предназначенного для установки в серверном шкафу. | ||
Существуют HSM, подключаемые по сети. В таком случае, они могут быть доступны нескольким серверам одновременно. | Существуют HSM, подключаемые по сети. В таком случае, они могут быть доступны нескольким серверам одновременно. | ||
| + | |||
| + | ==Виртуализация HSM== | ||
| + | Подход "криптография как сервис" был воплощен в решениях виртуализации HSM. Примером таких решений является [http://powersecurity.ru/ru/solutions/power-security-hsm-factory/ Power Security HSM Factory]. Будучи надстройкой над кластером HSM виртуальные HSM могут быть использованы разными сервисами, как будто они работают с выделенным HSM. Помимо сокращения расходов на содержание парка HSM, этот подход позволяет реальзовать централизованое управление аппаратными модулями безопасности и быстрые запуск или изменения в решениях, использующих его. | ||
==Применение== | ==Применение== | ||
Наибольшее распространение HSM получили в системах требующих повышенной безопасности и высокой скорости работы, как инфраструктура открытых ключей ([[PKI]]) или системы дистанционного банковского обслуживания. Генерация и хранение закрытого ключа Удостоверяющего Центра (в инфраструктуре [[PKI]]) позволяет гарантировать секретность этого ключа, так как он никогда не покидает защищённую область памяти HSM. | Наибольшее распространение HSM получили в системах требующих повышенной безопасности и высокой скорости работы, как инфраструктура открытых ключей ([[PKI]]) или системы дистанционного банковского обслуживания. Генерация и хранение закрытого ключа Удостоверяющего Центра (в инфраструктуре [[PKI]]) позволяет гарантировать секретность этого ключа, так как он никогда не покидает защищённую область памяти HSM. | ||
При работе с базой данных критически важная информация, например, пароли, хранятся в зашифрованном виде. Шифрование этих данных ключом, хранящемся на HSM, позволяет избежать оперирования ими в открытом виде вне HSM. Также одной из задач модуля HSM является «ускорение» SSL/TLS за счёт генерации на нем сессионного ключа. | При работе с базой данных критически важная информация, например, пароли, хранятся в зашифрованном виде. Шифрование этих данных ключом, хранящемся на HSM, позволяет избежать оперирования ими в открытом виде вне HSM. Также одной из задач модуля HSM является «ускорение» SSL/TLS за счёт генерации на нем сессионного ключа. | ||
Текущая версия на 15:31, 9 августа 2016
Hardware security module (HSM) — аппаратное вычислительное устройство, предназначенное для безопасного осуществления криптографических операций. HSM содержит специальный криптопроцессор, предназначенный для высокоскоросного выполнения криптографических процедур. Крупнейшие производители HSM на мировом рынке: Thales, SafeNet, Utimaco.
Преимущества использования
- генерация криптографических ключей;
- защищённое хранение секретных ключей;
- высокая скорость криптографических операций таких как шифрование, вычисление хэша, создание и проверка электронной подписи (ЭП);
Особенности
Существуют различные форм-факторы модулей HSM: от PCIx карты до выполненного в 19-дюймовом корпусе устройства, предназначенного для установки в серверном шкафу. Существуют HSM, подключаемые по сети. В таком случае, они могут быть доступны нескольким серверам одновременно.
Виртуализация HSM
Подход "криптография как сервис" был воплощен в решениях виртуализации HSM. Примером таких решений является Power Security HSM Factory. Будучи надстройкой над кластером HSM виртуальные HSM могут быть использованы разными сервисами, как будто они работают с выделенным HSM. Помимо сокращения расходов на содержание парка HSM, этот подход позволяет реальзовать централизованое управление аппаратными модулями безопасности и быстрые запуск или изменения в решениях, использующих его.
Применение
Наибольшее распространение HSM получили в системах требующих повышенной безопасности и высокой скорости работы, как инфраструктура открытых ключей (PKI) или системы дистанционного банковского обслуживания. Генерация и хранение закрытого ключа Удостоверяющего Центра (в инфраструктуре PKI) позволяет гарантировать секретность этого ключа, так как он никогда не покидает защищённую область памяти HSM. При работе с базой данных критически важная информация, например, пароли, хранятся в зашифрованном виде. Шифрование этих данных ключом, хранящемся на HSM, позволяет избежать оперирования ими в открытом виде вне HSM. Также одной из задач модуля HSM является «ускорение» SSL/TLS за счёт генерации на нем сессионного ключа.
