Przewodnik po PKI Ochrona za pomocą sprzętowych modułów zabezpieczających (HSM) 

Related Content

Chcesz dalej się uczyć?

Zapisz się do newslettera SSL.com, bądź na bieżąco i bezpiecznie.

PKI (Infrastruktura klucza publicznego) wykorzystuje klucze publiczne i prywatne do szyfrowania danych. Sprzętowe moduły zabezpieczające (HSM) chronią te klucze w skrzynkach zabezpieczonych przed manipulacją. Moduły HSM przechowują klucze i zarządzają nimi, zapobiegając kradzieży lub niewłaściwemu użyciu. Są niezbędne dla PKI bezpieczeństwo, umożliwiając zaufane transakcje i komunikację online. W tym artykule wyjaśniono, dlaczego moduły HSM są tak istotne PKI i bezpieczeństwo w Internecie.

Rola infrastruktury klucza publicznego w szyfrowaniu, zarządzaniu certyfikatami i bezpiecznej komunikacji

PKI spełnia różne ważne funkcje. Zapewnia solidną podstawę do budowania zaufania, utrzymywania poufności i ułatwiania bezpiecznych transakcji. Poniżej przedstawiono rozszerzające się zastosowania PKI w komunikacji cyfrowej:

  • Szyfrowanie: PKI ułatwia szyfrowanie i deszyfrowanie, pozwalając na bezpieczną komunikację. Kiedy Alicja chce wysłać zaszyfrowaną wiadomość do Boba, szyfruje ją kluczem publicznym Boba. Tylko Bob, który posiada odpowiedni klucz prywatny, może odszyfrować i przeczytać wiadomość. Dzięki temu wiadomości pozostaną prywatne, nawet jeśli przechwycą je wrogowie.

  • Zarządzanie certyfikatami: PKI obejmuje produkcję, administrację, dystrybucję, użytkowanie, przechowywanie i unieważnianie certyfikatów cyfrowych. Po uwierzytelnieniu tożsamości podmiotu Urzędy Certyfikacji wystawiają certyfikaty. Certyfikaty te ustanawiają zaufane tożsamości, potwierdzają integralność treści cyfrowych i umożliwiają bezpieczną komunikację.

  • Podpisy cyfrowe: PKI umożliwia tworzenie i sprawdzanie poprawności podpisów cyfrowych, które zapewniają niezaprzeczalność i integralność treści cyfrowych. Kiedy Alicja podpisuje cyfrowo dokument przy użyciu swojego klucza prywatnego, każda osoba posiadająca jej klucz publiczny może potwierdzić, że podpisała dokument i nie był manipulowany od czasu złożenia podpisu. Bardziej szczegółowe informacje na temat certyfikatów podpisywania rekordów i podpisów cyfrowych można znaleźć w naszym obszernym przewodniku pod adresem Certyfikaty do podpisywania dokumentów – SSL.com.

  • Bezpieczne przeglądanie Internetu: PKI to podstawa bezpiecznego przeglądania sieci dzięki technologiom takim jak Transport Layer Security (TLS) i jego prekursor, Secure Sockets Layer (SSL). Protokoły te zapewniają bezpieczne połączenia między przeglądarkami internetowymi a serwerami, zapewniając, że wrażliwe dane przesyłane przez Internet są szyfrowane i bezpieczne.

  • Bezpieczny e-mail: Korzystanie z certyfikatów cyfrowych, PKI zapewnia bezpieczną transmisję poczty elektronicznej. PKI utrzymuje autentyczność i tajemnicę treści wiadomości e-mail poprzez ich cyfrowe podpisywanie i szyfrowanie, zapobiegając nieautoryzowanemu dostępowi lub manipulacji. Aby uzyskać bardziej szczegółowe informacje na temat wysyłania bezpiecznej wiadomości e-mail za pomocą S/MIME (Bezpieczne/uniwersalne rozszerzenia poczty internetowej) możesz zapoznać się z naszym obszernym przewodnikiem pod adresem Przewodnik dotyczący bezpiecznej poczty e-mail z S/MIME.

  • Bezpieczeństwo IoT (Internetu rzeczy): Wraz z rozwojem urządzeń IoT, PKI odgrywa ważną rolę w zabezpieczeniu połączeń urządzeń i utrzymaniu integralności przesyłanych danych. Korzystanie z certyfikatów cyfrowych, PKI umożliwia uwierzytelnianie urządzeń, bezpieczne aktualizacje oprogramowania sprzętowego i szyfrowanie danych w ekosystemach IoT. Aby uzyskać bardziej szczegółowe informacje na temat zabezpieczania Internetu rzeczy (IoT) za pomocą protokołu SSL/TLS (Secure Sockets Layer/Transport Layer Security), możesz zapoznać się z naszym obszernym przewodnikiem pod adresem Zabezpieczanie Internetu rzeczy (IoT) za pomocą SSL /TLS.

Rozumienie PKIszerokie zastosowanie i integracja z wieloma aspektami komunikacji cyfrowej i cyberbezpieczeństwa ma kluczowe znaczenie dla zrozumienia znaczenia HSM we wzmacnianiu PKI bezpieczeństwo.

Rola sprzętowych modułów zabezpieczeń w infrastrukturze klucza publicznego

Sprzętowe moduły bezpieczeństwa (HSM) odgrywają ważną rolę w zwiększaniu bezpieczeństwa infrastruktury klucza publicznego (PKI), zapewniając bezpieczne środowisko do przechowywania i zabezpieczania kluczy kryptograficznych. Moduły HSM to wyspecjalizowane urządzenia sprzętowe, które wykorzystują silne techniki zabezpieczeń fizycznych i logicznych, aby chronić ważne klucze przed nielegalnym dostępem i modyfikacją.

Poprawa bezpieczeństwa kluczy

Główną funkcją HSM jest ochrona kluczy kryptograficznych używanych w PKI. Systemy zarządzania kluczami (HSM) zapewniają bezpieczne środowisko do produkcji, przechowywania i kontroli dostępu do kluczy. Moduły HSM poprawiają bezpieczeństwo kluczy w następujący sposób:

Generowanie bezpiecznych kluczy: HSM tworzą klucze kryptograficzne w ramach swojego bezpiecznego sprzętu i stanowią niezawodne źródło liczb losowych. Chroni to integralność i wytrzymałość kluczy, chroniąc proces generowania przed zewnętrzną manipulacją lub kompromisem.

Konstrukcja odporna na manipulacje i oczywista: Fizyczne metody zabezpieczeń są wbudowane w moduły HSM, dzięki czemu są one widoczne i odporne na manipulacje. Posiadają wzmocnione obudowy, czujniki wykrywania sabotażu oraz mechanizmy samozniszczenia, które aktywują się w przypadku niepożądanego dostępu lub modyfikacji urządzenia. Zabezpieczenia te chronią przed atakami fizycznymi, takimi jak manipulowanie lub wydobywanie ważnych kluczy.

Bezpieczeństwo przechowywania kluczy: HSM bezpiecznie przechowują klucze kryptograficzne na swoim sprzęcie, zapobiegając nielegalnemu dostępowi. Klucze są szyfrowane i przechowywane w bezpiecznej pamięci, której nie można zmienić ani wydobyć. Klucze pozostają bezpieczne, nawet jeśli osoba atakująca fizycznie uzyska dostęp do modułu HSM.

Odciążanie operacji wymagających dużej ilości zasobów

Moduły HSM poprawiają wydajność poprzez outsourcing intensywnych obliczeniowo procesów kryptograficznych z warstwy oprogramowania na dedykowany sprzęt. To odciążenie jest korzystne z kilku powodów:

Ulepszone operacje kryptograficzne: Moduły HSM to specjalnie zaprojektowane urządzenia, które wyróżniają się wydajnym wykonywaniem operacji kryptograficznych. Organizacje mogą radykalnie zwiększyć szybkość i wydajność działań kryptograficznych, takich jak tworzenie, podpisywanie i deszyfrowanie kluczy, poprzez wykorzystanie specjalistycznego sprzętu w module HSM.

Niższe obciążenie przetwarzania: Przeniesienie działań kryptograficznych na moduły HSM uwalnia moc obliczeniową serwerów lub innych urządzeń, umożliwiając im skoncentrowanie się na ważniejszych obowiązkach. To ulepszenie zwiększa ogólną wydajność i skalowalność systemu, szczególnie w kontekstach o dużej liczbie operacji kryptograficznych.

Obrona przed atakami bocznymi: Ataki typu side-channel, które wykorzystują informacje rozlane podczas operacji kryptograficznych, są projektowane w modułach HSM. Dedykowany sprzęt HSM pomaga w łagodzeniu tych ataków, chroniąc poufność ważnych kluczy.

Autoryzacja i kontrola dostępu

Moduły HSM zawierają silne funkcje kontroli dostępu, które zapewniają, że tylko upoważnione osoby lub procesy mogą uzyskać dostęp do kluczy kryptograficznych i z nich korzystać. Do środków kontroli dostępu należą:

Poświadczenie: Aby uzyskać dostęp do przechowywanych kluczy, moduły HSM wymagają technik uwierzytelniania, takich jak hasła, klucze kryptograficzne lub elementy biometryczne. Uniemożliwia to nieupoważnionym użytkownikom dostęp do kluczy lub ich wydobycie.

Zasady autoryzacji: Organizacje mogą używać modułów HSM do ustalania szczegółowych zasad autoryzacji opisujących, które jednostki lub procesy mogą uzyskać dostęp do określonych kluczy i wykonywać działania kryptograficzne. Pomaga to we wdrażaniu koncepcji najmniejszych uprawnień, zapobiegając niewłaściwemu użyciu kluczy lub nieautoryzowanemu użyciu.

Audyt i dokumentacja: Moduły HSM prowadzą szczegółowe dzienniki audytu kluczowych działań związanych z zarządzaniem, takich jak użycie kluczy, próby dostępu i modyfikacje konfiguracji. Organizacje mogą używać tych dzienników do monitorowania i przeglądania kluczowych operacji, wykrywania nieprawidłowości i gwarantowania zgodności z przepisami bezpieczeństwa.

Rola HSM w PKI ma kluczowe znaczenie dla ochrony kluczy kryptograficznych, odciążania procesów wymagających dużej ilości zasobów i wdrażania mechanizmów ścisłej kontroli dostępu. Organizacje mogą ulepszyć swoje PKI bezpieczeństwo, skalowalność i wydajność instalacji dzięki zastosowaniu modułów HSM.

Moduły HSM w chmurze do podpisywania dokumentów i kodów

W miarę jak coraz więcej firm wdraża przetwarzanie w chmurze, rośnie zapotrzebowanie na bezpieczne rozwiązania do zarządzania kluczami w chmurze. Sprzętowe moduły bezpieczeństwa (HSM) są teraz dostępne jako usługa (HSMaaS) od dostawców usług w chmurze i dostawców HSM, umożliwiając bezpieczne ustawienia tworzenia i przechowywania kluczy. W tej sekcji omówione zostaną moduły HSM w chmurze obsługiwane na potrzeby podpisywania dokumentów. Certyfikaty do podpisywania kodów EV i OV, ich możliwości i ważne procedury związane z ich wykorzystaniem.

Przegląd obsługiwanych modułów HSM w chmurze

SSL.com obsługuje obecnie kilka usług HSM w chmurze służących do wystawiania zaufanych przez firmę Adobe certyfikatów do podpisywania dokumentów i certyfikatów do podpisywania kodu. Przyjrzyjmy się bardziej szczegółowo trzem popularnym ofertom HSM w chmurze:

 

Chmura AWSHSM: Amazon Web Services (AWS) to platforma obliczeniowa w chmurze. CloudHSM to usługa udostępniająca moduły HSM z certyfikatem FIPS 140-2 poziomu 3 w chmurze. AWS CloudHSM oferuje dedykowane instancje HSM fizycznie zlokalizowane w centrach danych AWS. Obsługuje bezpieczne przechowywanie kluczy i operacje kryptograficzne, a także zapewnia kopie zapasowe kluczy i wysoką dostępność.

Dedykowany moduł HSM platformy Azure: Dedykowany moduł HSM platformy Azure jest produktem modułu zabezpieczeń sprzętowych Microsoft Azure. Weryfikuje moduły HSM zgodnie z FIPS 140-2 poziom 3 w celu bezpiecznego przechowywania kluczy i operacji kryptograficznych. Dedykowany moduł HSM platformy Azure oferuje izolację kluczy klienta i obejmuje takie funkcje, jak tworzenie kopii zapasowych i przywracanie kluczy, wysoka dostępność i skalowalność.

HSM w chmurze Google: HSM w chmurze Google to usługa modułu zabezpieczeń sprzętowych świadczona przez Google Cloud. Weryfikuje moduły HSM zgodnie z FIPS 140-2 poziom 3 w celu bezpiecznego zarządzania kluczami. Google Cloud HSM oferuje wyspecjalizowaną usługę zarządzania kluczami, która obejmuje funkcje obejmujące tworzenie kopii zapasowych i przywracanie kluczy, wysoką dostępność oraz scentralizowane zarządzanie kluczami.

Zgodnie z wymaganiami firm Adobe i Microsoft wymagane jest, aby klucze kryptograficzne używane do podpisywania były przechowywane na zgodnym urządzeniu, nie można było ich eksportować z urządzenia ani nie zostały zaimportowane do urządzenia. Wymagania te sprawiają, że korzystanie z modułów HSM — zarządzanych przez klienta, usług HSM w chmurze lub usług podpisywania w chmurze, np. e-podpisarz, wymóg.

Aby dowiedzieć się więcej o tym, jak zapewniamy wsparcie dla Cloud HSM, prosimy o zapoznanie się z vodwiedź naszą dedykowaną stronę

Dowiedz się więcej o modułach Cloud HSM obsługiwanych przez SSL.com

Zamawianie atestów i certyfikatów

Ponieważ moduł HSM w chmurze nie jest obsługiwany i zarządzany przez urząd certyfikacji, należy przestrzegać precyzyjnych protokołów, aby zapewnić bezpieczne generowanie i przechowywanie kluczy prywatnych. Chociaż niektóre oferty HSM w chmurze mogą zapewniać gotową procedurę tworzenia dowodu zaświadczenia klucza dla par kluczy zamówienia certyfikatu, istnieją oferty HSM w chmurze, które nie zapewniają takiej możliwości. Jednakże nadal możliwe jest poświadczenie prawidłowego wygenerowania i przechowywania kluczy poprzez ręczną procedurę poświadczania i weryfikacji. Omówmy najważniejsze kroki:

 

Kryteria atestacji: Aby zapewnić bezpieczne generowanie i przechowywanie kluczy prywatnych w HSM, specjalista ds. cyberbezpieczeństwa posiadający odpowiednie kwalifikacje musi pełnić rolę audytora procesu generowania kluczy i poświadczyć (stąd termin „zaświadczenie”), że para kluczy została wygenerowana i jest przechowywana w zgodny sposób w zgodnym urządzeniu HSM. W przypadku SSL.com możliwe jest świadczenie usług atestacyjnych dla wspomnianych powyżej usług HSM w chmurze. Proces atestacji zazwyczaj kończy się utworzeniem żądania podpisania certyfikatu (CSR) i wysłanie go do SSL.com w celu weryfikacji, po czym plik CSR służy do wygenerowania zamówionego certyfikatu.

Zamawianie certyfikatów: Organizacje mogą rozpocząć procedurę zamawiania certyfikatu po zatwierdzeniu generowania i przechowywania klucza prywatnego. Certyfikowany CSR przesyłany jest do urzędu certyfikacji, który wystawia certyfikat podpisania dokumentu, certyfikat podpisania kodu OV lub EV.

Aby uzyskać więcej informacji na temat zamawiania certyfikatów i przeglądania opcji, odwiedź naszą stronę zamawiania certyfikatów pod następującym adresem URL: Zamawianie certyfikatu SSL.com.

Formularz zgłoszenia usługi Cloud HSM

Jeśli chcesz zamówić certyfikaty cyfrowe i wyświetlić dostosowane poziomy cenowe instalacji w obsługiwanej ofercie HSM w chmurze (AWS CloudHSM, Google Cloud Platform Cloud HSM lub Azure Dedicated HSM), wypełnij i prześlij poniższy formularz. Po otrzymaniu Twojej prośby pracownik SSL.com skontaktuje się z Tobą i przekaże więcej szczegółów na temat procesu składania zamówienia i atestacji.

 

W końcu

Zwiększenie bezpieczeństwa Internetu będzie wymagało stosowania solidnych zabezpieczeń, np PKI i HSM. PKI to te cyfrowe identyfikatory, dzięki którym nasze rzeczy online są szczelnie zamknięte. Następnie HSM pilnują kluczy do tego systemu jak strażnicy. Nie sprzedajemy samych modułów HSM, ale możemy pomóc w ich skonfigurowaniu PKI i HSM dla Ciebie. Chcemy, aby Internet stał się miejscem, w którym ludzie znów będą mogli zaufać. Pracując nad najnowszymi zabezpieczeniami, takimi jak PKI i HSM pokazujemy, że poważnie podchodzimy do rozwiązywania problemów związanych z bezpieczeństwem w Internecie.

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.