Blog

Zašto odabrati HSM

HSM (eng. Hardware Security Module) je uređaj specijalno dizajniran za sigurno čuvanje ključeva.

Sigurnost podataka je opširna tema, a s najavom i približavanjem primjene regulative GDPR (eng. General Dana Protection Regulation), sve je popularnija među tvrtkama, neovisno o veličini i fokusu poslovanja. Nema čarobnog štapića kojim će tvrtke zadovoljiti regulativu, no prema preporukama samih tvoraca GDPR-a, enkripcija se čini kao najjednostavniji način za poštivanje velikog dijela regulatornih zahtjeva i realne sigurnosti podataka.

Smjernice za GDPR regulativu nekoliko puta spominju enkripciju kao primjer dobre prakse, te uz pseudoanonimizaciju i snažnu autentifikaciju su jedine tehnologije koje se spominju u samoj regulativi. Enkripcija se doduše ne spominje kao obaveza, već kao smjernica, no realno je očekivati da ukoliko dođe do bilo kakve krađe podataka, prvo pitanje nadležnih službi bi moglo biti: „Jesu li podaci bili kriptirani?“. Zašto je bitno kriptirati podatke? Iako su podaci u tom slučaju ukradeni, oni nisu čitljivi i ne mogu se iskoristiti.

Enkripcija je sama po sebi složena tema s obzirom na podatke koje kriptiramo (u mirovanju ili tranzitu, strukturirane ili ne, itd.). Nekih tema smo se već dotakli na našem blogu (i ovdje), no bitno je naglasiti da enkripcija sama po sebi nije pretjerano kompleksan zahtjev jer se često svodi na jednu kvačicu u nekom izborniku. Ono na što treba obratiti veću pažnju je kako pravilno upravljati procesom enkripcije, odnosno ključevima kojima se ona postiže.

Jedan od preduvjeta je sigurno čuvanje samih ključeva, a tu nam uvelike pomaže HSM koji to postiže na način da sve kripto operacije, sa ključevima koje čuva, izvršava u samom HSM-u te ključevi nikada ne napuštaju HSM.  Hardware je posebno dizajniran kako bi štitio ključeve odnosno memoriju od bilo kakve metode krađe, te u najgorem slučaju doveo do uništenja osjetljivog kripto materijala.

Zanimljivo je primijetiti da u svjetlu bugova koji su isplivali na površinu u posljednje vrijeme (Spectre i Meltdown), vidimo dodatnu razinu opasnosti za ključeve čuvane u softwareu odnosno raznim „generalnim“ poslužiteljima. Osim što je površina za napad takvih računala neusporedivo veća od  metoda kojima se može pokušati napasti HSM, neke ranjivosti su prisutne već dugi niz godina bez otkrivanja, te je upitno da li ih je netko bio svjestan i pokušao iskoristiti prije same objave. Sličan slučaj mogli bismo nazvati i Heartbleed od prije par godina, kada je preporučena verzija OpenSSL-a bila ranjiva na krađu privatnih ključeva iz memorije poslužitelja. U slučaju privatnih ključeva u HSM-u, drastično smo smanjili mogućnost da napadač dekriptira sve SSL sesije.

Osim očuvanja ključeva za enkripciju, kripto operacija i zadovoljavanja regulative, HSM nam može pomoći i u obrani od nekih zasad nepoznatih ranjivosti (kao što su primjeri gore), a samim time smanjiti administrativne poslove, forenziku i kritičnost nadogradnji u slučaju otkrivanja istih.

Za detaljnije informacije, kontaktirajte nas.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!