Krypto Hardware Security Module — HSM
„PKI — Verschlüsselung — Signatur — eIDAS“
Moderne kryptographische Hardware Security Module (HSM) werden als USB-Geräte, als PCI/PCI-Express oder Netzwerk-Server angeboten und unterscheiden sich je nach Hersteller und Bauform in der Anzahl der speicherbaren Schlüssel und der Anzahl der kryptographischen Transaktionen pro Sekunde.
Die wichtigsten Funktionen im Überblick:
- Sichere Schlüsselverarbeitung und Schlüsselspeicherung
- Umfassendes zentrales Schlüsselmanagement
- Schlüsselspeicherung innerhalb des Hardware-Security-Modul oder außerhalb in sicheren Schlüsselcontainern
- Rollenmodell für die Verwaltung und Sicherheitsoperationen
- Sicherung der kryptographischen Hardware vor Manipulation
- Mehrere sichere Authentisierungmethoden sowie Mehrfachauthentisierung (4 / 6 / 8 Augen-Prinzip)
- Optional: Remote Management (bei den Netzwerk-Hardware-Security-Modulen)
- Betriebssystemunabhängig für Windows/Linux/Unix einsetzbar
- Vielfältige Integrationsmöglichkeiten: PKI-Anwendungen, Verschlüsselung, Signatur, Sichere Transaktionen, IoT Security, PIN-Erzeugung, etc.
Typische Hardware Security Module (HSM) Bauformen
3 Varianten:
Symbolbilder: USB HSMs, Thales eSecurity, Yubico, SafeNet/Gemalto
Optimal für kleine Anforderungen auf einem Server oder Client. Das USB-Crypto-Gerät wird physikalisch am Server betrieben oder per Netzwerk-USB-Geräteserver an virtuelle Server verbunden. Anwendungen können dann über die vom Anbieter gelieferten Software-Schnittstellen wie Microsoft Crypto API (CSP, KSP), PKCS#11 oder Java Cryptography Extension (JCE) die kryptographischen Funktiones des USB-Gerätes nutzen. Für spezielle Anwendungen kann die vom Hersteller angebotene API genutzt werden, um direkt auf die Funktionen der Crypto-Hardware zuzugreifen.
Die USB-HSM-Systeme können direkt an einem Server betrieben werden oder über Netzwerk-USB-Server per USB-Redirect von einem Server genutzt werden. Im Gegensatz zu den Netzwerk-HSM Systemen kann man beim USB-HSM immer nur einen Server mit dem HSM verbinden. Eine gleichzeitige Nutzung der kryptographischen HSM-Funktionen von mehreren Servern aus ist somit nicht möglich.
Die Geschwindigkeit von USB-HSMs ist oft mit wenigen Transaktionen pro Sekunde limitiert, für typische PKI Anwendungen aber oftmals völlig ausreichend.
Mit der kryptographischen Einsteckkarte für Server und Appliances können diese Geräte um schnelle und sichere Schüsseloperationen oder Signaturoperationen erweitert werden. Die Einsteckkarte steht nur dem Server bzw. der Appliance zur Verfügung. Das bedeutet, dass bei redundanten Systemen oder Clustern mehrere HSM-Einsteckkarten gekauft werden müssen. Der Trend zu virtuellen Systemen bevorzugt daher Netzwerk-HSMs. Anwendungen des Servers können jederzeit in hoher Geschwindigkeit und ohne Netzwerkverbindung über die verfügbaren HSM Software-Schnittstellen wie Microsoft Crypto API (CSP, KSP), PKCS#11 oder Java Cryptography Extension (JCE) die kryptographischen Funktiones nutzen. Auch hier können speziell entwickelte Anwendungen die vom Hersteller angebotene API nutzen, um direkt auf die Funktionen der Crypto-Einsteckkarte zuzugreifen.
Die hohe Geschwindigkeit von PCI/PCIe-HSMs sind für Transaktionsserver und Verschlüsselungsoperationen gut geeignet. Oft werden PCI/PCIe-HSM auch für PKI Anwendungen genutzt, die kein kostenintensives Netzwerk-Hardware-Security-Modul erfordern.
Als Netzwerk-Server mit ein oder mehreren Gigabit-Netzwerkanschlüssen bietet ein Netzwerk-Hardware-Security-Modul zentrale Schlüsselsicherung und Schlüsseloperationen für eine Vielzahl an kryptographischen Anforderungen in einem Enterprise Netzwerk. Das Netzwerk-HSM hat logisch getrennte Schlüsselspeicher, wodurch autorisierte Anwendungen nur die zugewiesenen Schlüssel und Operationen nutzen können. Der Parallelbetrieb von PKI-Anwendungen, Signaturerstellung und Verschlüsselungsanforderungen wird oft mit einem zentralen Netzwerk-HSM oder einem Netzwerk-HSM-Cluster realisiert. Auf den zugreifenden Servern oder Clients wird die Middleware oder API installiert womit physikalische und virtuelle Serverin hoher Geschwindigkeit über die bereitgestellten Software-Schnittstellen wie Microsoft Crypto API (CSP, KSP), PKCS#11 oder Java Cryptography Extension (JCE) die kryptographischen Funktiones des zentralen Netzwerk-HSMs nutzen. Selbstverständlich können speziell entwickelte Anwendungen die vom Hersteller angebotene API nutzen, um direkt auf die Funktionen des Netzwerk-HSMs zuzugreifen.
Die hohe Geschwindigkeit von Netzwerk-HSMs sind für Transaktionsserver und PKI bzw. Verschlüsselungsoperationen in Enterprise Netzwerken sehr gut geeignet.
Wir beraten Sie herstellerneutral über die optimale Plattform für Ihre Security Anforderung und zeigen Lösungswege für einen kryptographische Umsetzung. Sprechen Sie uns an oder nutzen Sie das Kontaktformular!
Kontakt:
Ing. Andreas Schuster
Niederlassungsleiter Wien
cpsd it-services GmbH
andreas.schuster – at – cpsd.at
oder via LinkedIn bzw. per Xing: Andreas Schuster
Typische Hersteller von Hardware-Security-Modulen
Thales eSecurity mit nCipher / nShield
Utimaco mit Security Server
Gemalto/SafeNet mit Luna Netzwork HSM
ARX mit dem ARX PrivateServer
Weitere Informationen…
Code Signing in Teams — Kostengünstige HSM Lösung
Code Signung Zertifikate sind seit vielen Jahren in Verwendung, um die Authentizität von Software und Treibern zu bestätigen. Die jährlichen Preise für diesen speziellen Zertifikatstyp liegen zwischen rd. 280€ von internationalen Anbietern und rd. 350–360€ bei Anbietern aus dem deutschsprachigen Raum. In der Vergangenheit reichten oft auch Standard Code Signing Zertifikate für die Erstellung von Software aus, jedoch hat Microsoft die Richtlinien verschärft und setzt für einige Services nun Extended Validation (EV) Zertifikate voraus. Zu diesen Diensten zählen Local Security […]
CPSD Certificate Authority Migration Tool für Thales nShield und Gemalto SafeNet Network HSM
HSM Security Initiative aus Österreich: Die CPSD aus Linz veröffentlicht ein HSM Migration Tool, um die CA-Schlüssel bestehender Microsoft Certificate Authorities in hochsichere HSM Schlüsselspeicher zu migrieren. PKI-Systeme (Public Key Authorities) sind in Unternehmen für die Ausstellung von digitalen Identitäten für Benutzer und Geräte (Entity) verantwortlich – kurz Zertifikate. PKI-Systeme sind hierarchisch angeordnet und bestehen aus einer Root-CA (Certificate Authoritiy) und einer oder mehrerer Issuing CAs: . Software Secured Microsoft Certificate Authority PKI Senario Für einige spezielle Anwendungen […]
Cloud Verschlüsselung leicht gemacht
Mit der steigenden Anzahl an reinen Cloud Anwendungen (SaaS) werden vermehrt auch sensibel Daten in Cloud-Anwendungen verarbeitet und gespeichert. Anwendungen die in Europa gehostet sind und ausreichende Garantien, z.B. Sicherheitszertifizierungen, bieten eignen sich für die Verarbeitung von sensiblen als auch personenbezogenen Daten, da die Cloud-Anbieter für die Sicherheit sorgen. Sobald Unternehmen aber selbst Cloud Dienste etablieren (mit PaaS) , oder Server in die Cloud verschieben (IaaS) müssen diese Dienste und Server zuverlässig abgesichert werden. Diese Aufgabe kann ein Key-Management-Server […]
Krypto Workshop HSM2018 — Nutzenorientierte Auswahl eines Hardware Security Moduls (HSM)
Die Besonderheit von Hardware Security Modulen (HSM) ist die sichere Speicherung einer Vielzahl kryptographischer Schlüsseln und hohe Geschwindigkeit bei Crypto-Operationen wie Verschlüsselung, digitale Signatur und Zufallszahlenerzeugung. HSMs werden als zertifizierte Appliance angeboten, neue Ansätze sind Cloud-HSMs und einfache HSMs für einzelne Dienste. In unserem Workshop klären wir in drei Stunden gemeinsam mit dem Auftraggeber wo der Einsatz von HSMs operativ und wirtschaftlich sinnvoll ist und definieren die Kenngrößen für die Herstellerauswahl. In bereitgestellten Vergleichstabellen veranschaulichen wir den technischen Entscheidern die […]