Průvodce PKI Ochrana pomocí hardwarových bezpečnostních modulů (HSM) 

PKI (Infrastructure Public Key Infrastructure) využívá k šifrování dat veřejné a soukromé klíče. Hardwarové bezpečnostní moduly (HSM) chrání tyto klíče v krabicích odolných proti neoprávněné manipulaci. HSM ukládají a spravují klíče, čímž zabraňují krádeži nebo zneužití. Jsou životně důležité PKI zabezpečení umožňující důvěryhodné online transakce a komunikaci. Tento článek vysvětluje, proč jsou HSM tak důležité PKI a online bezpečnost.

Role infrastruktury veřejného klíče v šifrování, správě certifikátů a zabezpečené komunikaci

PKI plní různé důležité funkce. Poskytuje silný základ pro budování důvěry, zachování důvěrnosti a usnadnění bezpečných transakcí. Následují rozšiřující použití PKI v digitální komunikaci:

  • Šifrování: PKI usnadňuje šifrování a dešifrování, což umožňuje bezpečnou komunikaci. Když chce Alice poslat zašifrovanou zprávu Bobovi, zašifruje zprávu Bobovým veřejným klíčem. Pouze Bob, který má odpovídající soukromý klíč, může zprávu dešifrovat a přečíst. To zajišťuje, že zprávy zůstanou soukromé, i když je zachytí nepřátelé.

  • Správa certifikátů: PKI zahrnuje výrobu, správu, distribuci, používání, ukládání a zneplatnění digitálních certifikátů. Po ověření identity entity vydávají certifikační autority certifikáty. Tyto certifikáty vytvářejí důvěryhodné identity, ověřují integritu digitálního obsahu a umožňují bezpečnou komunikaci.

  • Digitální podpisy: PKI umožňuje vytvářet a ověřovat digitální podpisy, které nabízejí nepopiratelnost a integritu digitálního obsahu. Když Alice digitálně podepíše dokument pomocí svého soukromého klíče, kdokoli s jejím veřejným klíčem může potvrdit, že dokument podepsala a že s ním nebylo od použití podpisu manipulováno. Podrobnější informace o certifikátech pro podepisování záznamů a digitálních podpisech naleznete v naší komplexní příručce na adrese Certifikáty pro podepisování dokumentů – SSL.com.

  • Bezpečné prohlížení internetu: PKI je základem pro bezpečné procházení webu pomocí technologií, jako je Transport Layer Security (TLS) a jeho předchůdce, Secure Sockets Layer (SSL). Tyto protokoly poskytují zabezpečené spojení mezi webovými prohlížeči a servery a zajišťují, že citlivá data odesílaná přes internet jsou šifrovaná a bezpečná.

  • Zabezpečený email: Pomocí digitálních certifikátů, PKI zajišťuje bezpečný přenos e-mailů. PKI zachovává autenticitu a utajení obsahu e-mailu tím, že jej digitálně podepisuje a šifruje, čímž zabraňuje neoprávněnému přístupu nebo manipulaci. Pro podrobnější informace o odesílání zabezpečeného e-mailu pomocí S/MIME (Secure/Multipurpose Internet Mail Extensions), můžete navštívit našeho komplexního průvodce na adrese Průvodce bezpečným e-mailem s S/MIME.

  • Zabezpečení IoT (Internet of Things): S rozvojem IoT zařízení, PKI hraje důležitou roli při zabezpečení připojení zařízení a zachování integrity odesílaných dat. Pomocí digitálních certifikátů, PKI umožňuje ověřování zařízení, zabezpečené aktualizace firmwaru a šifrování dat v ekosystémech internetu věcí. Podrobnější informace o zabezpečení internetu věcí (IoT) pomocí SSL/TLS (Secure Sockets Layer/Transport Layer Security), můžete navštívit našeho komplexního průvodce na adrese Zabezpečení internetu věcí (IoT) pomocí SSL /TLS.

Porozumění PKIRozsáhlé využití a integrace do mnoha aspektů digitální komunikace a kybernetické bezpečnosti je rozhodující pro pochopení důležitosti HSM při zlepšování PKI bezpečnostní.

Role hardwarových bezpečnostních modulů v infrastruktuře veřejného klíče

Hardwarové bezpečnostní moduly (HSM) hrají důležitou roli při zvyšování bezpečnosti infrastruktury veřejného klíče (PKI) poskytováním bezpečného prostředí pro údržbu a ochranu kryptografických klíčů. HSM jsou specializovaná hardwarová zařízení, která používají silné fyzické a logické bezpečnostní techniky k ochraně důležitých klíčů před nelegálním přístupem a změnami.

Zlepšení zabezpečení klíčů

Hlavní funkcí HSM je chránit kryptografické klíče používané v PKI. Systémy správy klíčů (HSM) poskytují bezpečné prostředí pro produkci klíčů, ukládání a řízení přístupu. HSM zlepšují zabezpečení klíčů následujícími způsoby:

Generování bezpečných klíčů: HSM vytvářejí kryptografické klíče v rámci svého bezpečného hardwaru a poskytují spolehlivý zdroj náhodných čísel. To chrání integritu a sílu klíčů tím, že chrání proces generování před vnější manipulací nebo kompromisem.

Design odolný proti neoprávněné manipulaci a viditelný proti neoprávněné manipulaci: Metody fyzického zabezpečení jsou zabudovány do HSM, díky čemuž jsou evidentní a odolné proti neoprávněné manipulaci. Mají zesílená pouzdra, senzory detekce neoprávněné manipulace a samodestrukční mechanismy, které se aktivují v případě nechtěného přístupu nebo úpravy zařízení. Tato zabezpečení chrání před fyzickými útoky, jako je manipulace nebo vyjmutí důležitých klíčů.

Zabezpečení úložiště klíčů: HSM bezpečně ukládají kryptografické klíče ve svém hardwaru, čímž zabraňují nelegálnímu přístupu. Klíče jsou zašifrovány a uchovávány v zabezpečené paměti, kterou nelze zfalšovat ani extrahovat. Klíče zůstávají v bezpečí, i když útočník fyzicky získá přístup k HSM.

Snižování zátěže operací náročných na zdroje

HSM zvyšují efektivitu outsourcingem výpočetně náročných kryptografických procesů od softwarové vrstvy po vyhrazený hardware. Toto vykládání je výhodné v několika ohledech:

Vylepšené kryptografické operace: HSM jsou účelová zařízení, která vynikají efektivním prováděním kryptografických operací. Organizace mohou výrazně zvýšit rychlost a výkon kryptografických činností, jako je vytváření klíčů, podepisování a dešifrování, využitím specializovaného hardwaru v rámci HSM.

Nižší zatížení zpracování: Přenesením kryptografických aktivit na HSM se uvolní výpočetní výkon na serverech nebo jiných zařízeních, což jim umožní soustředit se na důležitější úkoly. Toto vylepšení zvyšuje celkový výkon systému a škálovatelnost, zejména v kontextech s velkým objemem kryptografických operací.

Obrana proti útokům z postranního kanálu: Útoky postranním kanálem, které využívají informace uniklé během kryptografických operací, jsou navrženy do HSM. Dedikovaný hardware HSM pomáhá zmírňovat tyto útoky tím, že chrání důvěrnost důležitých klíčů.

Autorizace a kontrola přístupu

HSM obsahují silné funkce řízení přístupu, které zajistí, že pouze oprávněné osoby nebo procesy mohou přistupovat a používat kryptografické klíče. Mezi opatření kontroly přístupu patří:

Ověření: Pro přístup k uloženým klíčům vyžadují HSM techniky ověřování, jako jsou hesla, kryptografické klíče nebo biometrické prvky. To brání neoprávněným uživatelům v přístupu nebo extrahování klíčů.

Zásady pro autorizaci: Organizace mohou používat HSM k nastavení podrobných autorizačních zásad popisujících, které entity nebo procesy mohou přistupovat ke konkrétním klíčům a provádět kryptografické akce. To pomáhá implementovat koncept nejmenšího privilegia tím, že zabraňuje zneužití klíče nebo neoprávněnému použití.

Audit a dokumentace: HSM uchovávají podrobné protokoly auditu činností správy klíčů, jako je použití klíčů, pokusy o přístup a úpravy konfigurace. Organizace mohou tyto protokoly používat k monitorování a kontrole klíčových operací, zjišťování abnormalit a zaručení souladu s bezpečnostními předpisy.

Role HSM v PKI je zásadní pro ochranu kryptografických klíčů, snižování zátěže procesů náročných na zdroje a implementaci přísných mechanismů kontroly přístupu. Organizace se mohou zlepšit PKI zabezpečení, škálovatelnost a výkon instalací pomocí HSM.

Cloudové HSM pro podepisování dokumentů a kódu

S tím, jak stále více firem využívá cloud computing, je stále více potřeba bezpečných řešení správy klíčů v cloudu. Hardwarové bezpečnostní moduly (HSM) jsou nyní k dispozici jako služba (HSMaaS) od poskytovatelů cloudu a dodavatelů HSM, což umožňuje bezpečné nastavení pro vytváření a ukládání klíčů. Tato část se podívá na cloudové HSM podporované pro podepisování dokumentů. Certifikáty pro podepisování kódu EV a OV, jejich možnosti a důležité postupy spojené s jejich používáním.

Přehled podporovaných cloudových HSM

SSL.com v současnosti podporuje několik cloudových služeb HSM pro vydávání certifikátů pro podepisování dokumentů a certifikátů pro podepisování kódu důvěryhodných Adobe. Podívejme se na tři oblíbené cloudové HSM nabídky podrobněji:

 

AWS CloudHSM: Amazon Web Services (AWS) je platforma cloud computingu. CloudHSM je služba, která poskytuje HSM schválené podle FIPS 140-2 úrovně 3 v cloudu. AWS CloudHSM nabízí vyhrazené instance HSM fyzicky umístěné v datových centrech AWS. Podporuje bezpečné ukládání klíčů a kryptografické operace a zahrnuje zálohování klíčů a vysokou dostupnost.

Azure vyhrazené HSM: Azure vyhrazené HSM je produktem hardwarového bezpečnostního modulu Microsoft Azure. Ověřuje HSM podle FIPS 140-2 Level 3 pro bezpečné ukládání klíčů a kryptografické operace. Azure Dedicated HSM nabízí izolaci zákaznických klíčů a zahrnuje funkce, jako je zálohování a obnovení klíčů, vysoká dostupnost a škálovatelnost.

Google Cloud HSM: Google Cloud HSM je služba hardwarového bezpečnostního modulu poskytovaná službou Google Cloud. Ověřuje HSM podle FIPS 140-2 Level 3 pro bezpečnou správu klíčů. Google Cloud HSM nabízí specializovanou službu správy klíčů, která zahrnuje funkce včetně zálohování a obnovy klíčů, vysoké dostupnosti a centralizované správy klíčů.

Podle požadavků společností Adobe a Microsoft je vyžadováno, aby kryptografické klíče používané k podepisování byly uloženy v kompatibilním zařízení, nebyly ze zařízení exportovatelné a nebyly do zařízení importovány. Tyto požadavky vyžadují použití HSM, buď zákazníkem spravovaného HSM, cloudové HSM služby nebo cloudové podepisovací služby, jako je např. eSigner, Požadavek.

Chcete-li se dozvědět více o tom, jak poskytujeme podporu pro Cloud HSM, vnavštivte naši vyhrazenou stránku

Další informace o cloudových HSM podporovaných SSL.com

Objednání atestů a certifikátů

Protože cloudový HSM není provozován a spravován certifikační autoritou, je nutné dodržovat přesné protokoly, aby bylo zajištěno bezpečné generování a ukládání soukromých klíčů. Zatímco některé nabídky cloudového HSM mohou poskytnout přednastavený postup pro vytvoření atestačního důkazu klíče pro páry klíčů objednávky certifikátu, existují cloudové nabídky HSM, které tuto schopnost neposkytují. Stále je však možné ověřit správné generování a uložení klíčů pomocí ručního ověření a ověření. Pojďme si projít základní kroky:

 

Atestační kritéria: Aby bylo zajištěno bezpečné generování a ukládání soukromých klíčů v rámci HSM, musí odborník na kybernetickou bezpečnost s odpovídající kvalifikací působit jako auditor procesu generování klíčů a osvědčit (odtud termín „atestace“), že pár klíčů byl vygenerován a je uložen. vyhovujícím způsobem ve vyhovujícím zařízení HSM. V případě SSL.com lze poskytovat atestační služby pro výše uvedené cloudové HSM služby. Proces atestace obvykle končí vytvořením žádosti o podpis certifikátu (CSR) a odesláním na SSL.com k ověření CSR slouží k vygenerování objednaného certifikátu.

Objednávka certifikátu: Organizace mohou zahájit proces objednávání certifikátů, jakmile bude ověřeno generování a uložení soukromého klíče. Certifikovaný CSR se předkládá certifikační autoritě, která vydává certifikát pro podepisování dokumentů, OV nebo EV kódů.

Další informace o objednávání certifikátů a prozkoumávání možností naleznete na naší stránce pro objednávání certifikátů na následující adrese URL: Objednávka certifikátu SSL.com.

Formulář žádosti o službu Cloud HSM

Pokud si chcete objednat digitální certifikáty a zobrazit přizpůsobené cenové úrovně pro instalaci v podporované nabídce cloudového HSM (AWS CloudHSM, Google Cloud Platform Cloud HSM nebo Azure Dedicated HSM), vyplňte a odešlete níže uvedený formulář. Poté, co obdržíme vaši žádost, bude vás kontaktovat pracovník SSL.com s dalšími podrobnostmi o procesu objednávky a atestace.

 

Konečně

Zabezpečení internetu si vyžádá nějaké náročné zabezpečení, např PKI a HSM. PKI jsou digitální ID, která udržují naše online věci pevně uzamčené. Potom HSM sledují klíče k tomuto systému jako stráže. Sami HSM neprodáváme, ale můžeme pomoci s nastavením PKI a HSM pro vás. Chceme, aby byl internet opět místo, kde mu lidé mohou důvěřovat. Práce na nejnovějších ochranách jako PKI a HSM, ukazujeme, že to s řešením bezpečnostních problémů online myslíme vážně.

Tým podpory SSL

Všechny příspěvky

Související články

Zobrazit všechny články
facebook Youtube X GitHub

Přihlaste se k odběru zpravodaje SSL.com

Co je SSL /TLS?

Přehrát video

Přihlaste se k odběru zpravodaje SSL.com

Nenechte si ujít nové články a aktualizace z SSL.com

Zůstaňte informováni a zabezpečte se

SSL.com je světovým lídrem v oblasti kybernetické bezpečnosti, PKI a digitální certifikáty. Přihlaste se k odběru nejnovějších zpráv z oboru, tipů a oznámení o produktech SSL.com.

Budeme rádi za vaši zpětnou vazbu

Vyplňte náš průzkum a sdělte nám svůj názor na váš nedávný nákup.

Zúčastněte se průzkumu