HSM
HSM (ראשי תיבות באנגלית של: Hardware Security Module, תרגום: מודול אבטחת חומרה) הוא מכשיר מחשוב פיזי השומר ומנהל מפתחות דיגיטליים, ומבצע הצפנה ופענוח לחתימות דיגיטליות, אימות חזק (Strong authentication) ופונקציות הצפנה אחרות. בדרך כלל מודולים אלו מגיעים בצורה של כרטיס פלאגין או התקן חיצוני המתחבר ישירות למחשב או לשרת ברשת. מודול אבטחת חומרה מכיל שבב Crypto-processor מאובטח אחד או יותר.[1][2][3]
בשל התפקיד הקריטי שהם ממלאים באבטחת יישומים ותשתיות, HSMs או המודולים הקריפטוגרפיים מאושרים בדרך כלל בתקנים מוכרים בינלאומיים כגון Common Criteria או FIPS 140 כדי לספק למשתמשים אבטחה בלתי תלויה כי העיצוב והיישום של המוצר וכן אלגוריתמי ההצפנה חזקים. הרמה הגבוהה ביותר של הסמכת אבטחה של FIPS 140 שניתן להשיג היא רמת אבטחה 4 (כללית). כאשר משתמשים בה ביישומים פיננסיים, אבטחת HSM מאומתת לעיתים קרובות על פי דרישות HSM שהוגדרו על ידי מועצת התקנים של תעשיית כרטיסי התשלום (Payment Card Industry Security Standards Council).[4]
שימושים
[עריכת קוד מקור | עריכה]ניתן להשתמש ב-HSM בכל יישום המשתמש במפתחות דיגיטליים. בדרך כלל המפתחות יהיו בעלי "ערך גבוה" – כלומר תהיה השפעה שלילית משמעותית על בעל המפתח אם תהיה פריצה וגניבת המפתח.
הפונקציות המרכזיות של HSM הן:
- ייצור מפתח קריפטוגרפי מאובטח
- אחסון מפתחות קריפטוגרפי מאובטח, לפחות עבור המפתחות ברמה העליונה והמפתחות הרגישים ביותר, המכונים לעיתים קרובות "Master keys"
- ניהול מפתחות
- שימוש בחומר קריפטוגרפי רגיש, למשל, ביצוע הצפנה עבור חתימה דיגיטלית
- הפחתה בעומס שרתי יישומים לקריפטוגרפיה אסימטרית וסימטרית מלאה.
יחידות HSM נפרסות גם לניהול מפתחות "הצפנת נתונים שקופה" עבור מסדי נתונים ומפתחות להתקני אחסון כגון דיסק.
הם מספקים גם הגנה לוגית ופיזית הן על חומרים אלה, כולל מפתחות קריפטוגרפיים, מפני חשיפה, שימוש שאינו מורשה ותוקפים פוטנציאליים.[5]
ארנק מטבעות קריפטוגרפי
[עריכת קוד מקור | עריכה]ניתן לשמור מטבעות קריפטוגרפיים בארנק מטבעות קריפטוגרפי על HSM.[6]
גלריה
[עריכת קוד מקור | עריכה]-
כספת HSM של EngageBlack
-
HSM של NCipher
ראו גם
[עריכת קוד מקור | עריכה]קישורים חיצוניים
[עריכת קוד מקור | עריכה]הערות שוליים
[עריכת קוד מקור | עריכה]- ^ Ramakrishnan, Vignesh; Venugopal, Prasanth; Mukherjee, Tuhin (2015). Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF). p. 9. ISBN 9788192974279.
- ^ "Secure Sensitive Data with the BIG-IP Hardware Security Module" (PDF). F5 Networks. 2012. נבדק ב-30 בספטמבר 2019.
{{cite web}}
: (עזרה) - ^ Gregg, Michael (2014). CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002. John Wiley & Sons. p. 246. ISBN 9781118930847.
- ^ "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org (באנגלית). נבדק ב-2018-05-01.
- ^ "Support for Hardware Security Modules". paloalto. אורכב מ-המקור ב-26 במאי 2015. נבדק ב-26 במאי 2015.
{{cite web}}
: (עזרה) - ^ "Gemalto and Ledger Join Forces to Provide Security Infrastructure for Cryptocurrency Based Activities". gemalto.com. נבדק ב-2020-04-20.