Blog

Zakaj izbrati HSM

HSM (ang. Hardware Security Module) je naprava, ki je posebej oblikovana za varno hrambo ključev.

Varnost podatkov je obširna tematika, ki je z napovedjo in približevanjem uredbe GDPR (eng. General Dana Protection Regulation) vedno bolj popularna med podjetji, ne glede na velikost in usmerjenost poslovanja. Ni čarobne paličice, s katero bi podjetja lahko ugodila uredbi, vendar se po priporočilih samih snovalcev GDPR enkripcija zdi najbolj enostaven način za spoštovanje velikega dela zahtev in za realno varnost podatkov.

Smernice uredbe GDPR nekajkrat omenjajo enkripcijo kot primer dobre prakse ter skupaj s psevdoanonimizacijo in strogo avtentifikacijo gre za edine tehnologije, ki se omenjajo v sami uredbi. Enkripcija se sicer ne omenja kot obvezna, ampak kot smernica, vendar je v primeru kakršne koli kraje podatkov s strani pristojnih služb realno pričakovati vprašanje: „Ali so bili podatki kriptirani?“. Zakaj je pomembno kriptirati podatke? Kljub kraji podatkov, ti niso čitljivi in se ne morejo uporabljati.

Enkripcija je sama po sebi kompleksna tematika, posebno glede na podatke, ki jih kriptiramo (v mirovanju ali migriranju, strukturirane ali ne, itd.). Nekaterih tem smo se že dotaknili na našem blogu (in tukaj), vendar je pomembno poudariti, da enkripcija sama po sebi ni pretirano kompleksna naloga, saj gre pogosto le za majhno kljukico v meniju. Bolj je potrebno biti pozoren, kako pravilno upravljati s procesom enkripcije oziroma s ključi, s katerimi jo uresničujemo

Eden izmed predpogojev je varna hramba samih ključev, pri tem pa nam v veliki meri pomaga HSM na način, da vse kripto-operacije s ključi, ki jih hrani, izvaja v samem HSM in ključi nikoli ne zapuščajo HSM. Strojna oprema je posebej oblikovana za zaščito ključev oziroma spomina pred kakršnim koli načinom kraje in v najslabšem primeru pride do uničenja občutljivega kripto materiala.

Zanimivo je opaziti, da v luči napak, ki so v zadnjem času priplavale na površje (Spectre in Meltdown), vidimo dodatno raven nevarnosti za ključe, ki se hranijo v programski opremi oziroma v raznih „splošnih“ strežnikih. Poleg tega, da je površina za napad takšnih računalnikov neprimerljivo večja od metod, s katerimi se lahko poskusi napasti HSM, so nekatere ranljivosti brez odkritja prisotne že veliko let in vprašljivo je, če se jih je kdo zavedal in jih poskušal izkoristiti že pred samo objavo. Kot podoben primer bi lahko omenili tudi Heartbleed izpred nekaj let, ko je bila priporočena različica Open SSL ranljiva za krajo privatnih ključev iz spomina strežnika. V primeru zasebnih ključev v HSM smo drastično zmanjšali možnost, da napadalec dekriptira vse SSL seje.

Poleg ohranitve ključev za enkripcijo kripto operacij in ugoditev uredbe, nam HSM lahko pomaga pri ubranitvi pred nekaterimi do sedaj neznanih ranljivostmi (kot je to navedeno v zgornjih primerih), pri tem pa zmanjšati administrativna dela, forenziko in kritičnost nadgradenj v primeru odkrivanja slednjih.

Za podrobnejše informacije nas kontaktirajte.

Share on LinkedInShare on FacebookShare on Google+Tweet about this on Twitter
Potrebujete ponudbo ali pomoč pri konfiguraciji rešitve? Iščete partnerja za implementacijo?
Kontaktirajte nas!