HSM
Hardware security module (HSM) — аппаратное вычислительное устройство, предназначенное для безопасного осуществления криптографических операций. HSM содержит специальный криптопроцессор, предназначенный для высокоскоросного выполнения криптографических процедур. Крупнейшие производители HSM на мировом рынке: Thales, SafeNet, Utimaco.
Преимущества использования
- генерация криптографических ключей;
- защищённое хранение секретных ключей;
- высокая скорость криптографических операций таких как шифрование, вычисление хэша, создание и проверка электронной подписи (ЭП);
Особенности
Существуют различные форм-факторы модулей HSM: от PCIx карты до выполненного в 19-дюймовом корпусе устройства, предназначенного для установки в серверном шкафу. Существуют HSM, подключаемые по сети. В таком случае, они могут быть доступны нескольким серверам одновременно.
Виртуализация HSM
Подход "криптография как сервис" был воплощен в решениях виртуализации HSM. Примером таких решений является Power Security HSM Factory. Будучи надстройкой над кластером HSM виртуальные HSM могут быть использованы разными сервисами, как будто они работают с выделенным HSM. Помимо сокращения расходов на содержание парка HSM, этот подход позволяет реальзовать централизованое управление аппаратными модулями безопасности и быстрые запуск или изменения в решениях, использующих его.
Применение
Наибольшее распространение HSM получили в системах требующих повышенной безопасности и высокой скорости работы, как инфраструктура открытых ключей (PKI) или системы дистанционного банковского обслуживания. Генерация и хранение закрытого ключа Удостоверяющего Центра (в инфраструктуре PKI) позволяет гарантировать секретность этого ключа, так как он никогда не покидает защищённую область памяти HSM. При работе с базой данных критически важная информация, например, пароли, хранятся в зашифрованном виде. Шифрование этих данных ключом, хранящемся на HSM, позволяет избежать оперирования ими в открытом виде вне HSM. Также одной из задач модуля HSM является «ускорение» SSL/TLS за счёт генерации на нем сессионного ключа.