คู่มือการ PKI การป้องกันโดยใช้โมดูลความปลอดภัยของฮาร์ดแวร์ (HSM) 

PKI (โครงสร้างพื้นฐานคีย์สาธารณะ) อาศัยคีย์สาธารณะและคีย์ส่วนตัวในการเข้ารหัสข้อมูล Hardware Security Modules (HSM) ปกป้องคีย์เหล่านี้ในกล่องป้องกันการงัดแงะ HSM จัดเก็บและจัดการกุญแจ ป้องกันการโจรกรรมหรือใช้ในทางที่ผิด พวกเขามีความสำคัญสำหรับ PKI ความปลอดภัย ช่วยให้การทำธุรกรรมและการสื่อสารออนไลน์เชื่อถือได้ บทความนี้จะอธิบายว่าทำไม HSM จึงมีความสำคัญอย่างยิ่ง PKI และความปลอดภัยออนไลน์

บทบาทของโครงสร้างพื้นฐานคีย์สาธารณะในการเข้ารหัส การจัดการใบรับรอง และการสื่อสารที่ปลอดภัย

PKI เติมเต็มหน้าที่สำคัญต่างๆ เป็นรากฐานที่แข็งแกร่งสำหรับการสร้างความไว้วางใจ การรักษาความลับ และอำนวยความสะดวกในการทำธุรกรรมที่ปลอดภัย ต่อไปนี้เป็นการขยายการใช้งานของ PKI ในการสื่อสารแบบดิจิทัล:

  • การเข้ารหัสลับ: PKI อำนวยความสะดวกในการเข้ารหัสและถอดรหัส ทำให้สามารถสื่อสารได้อย่างปลอดภัย เมื่ออลิซต้องการส่งข้อความที่เข้ารหัสถึง Bob เธอจะเข้ารหัสข้อความด้วยกุญแจสาธารณะของ Bob มีเพียง Bob เท่านั้นที่มีคีย์ส่วนตัวที่เกี่ยวข้องเท่านั้นที่สามารถถอดรหัสและอ่านข้อความได้ เพื่อให้แน่ใจว่าข่าวจะถูกเก็บไว้เป็นส่วนตัวแม้ว่าศัตรูจะสกัดกั้นก็ตาม

  • การจัดการใบรับรอง: PKI เกี่ยวข้องกับการผลิตใบรับรองดิจิทัล การดูแลระบบ การแจกจ่าย การใช้ การจัดเก็บ และการเพิกถอน หลังจากตรวจสอบตัวตนของเอนทิตีแล้ว ผู้ออกใบรับรองจะออกใบรับรอง ใบรับรองเหล่านี้สร้างข้อมูลประจำตัวที่เชื่อถือได้ ตรวจสอบความสมบูรณ์ของเนื้อหาดิจิทัล และเปิดใช้งานการสื่อสารที่ปลอดภัย

  • ลายเซ็นดิจิทัล: PKI อนุญาตให้สร้างและตรวจสอบความถูกต้องของลายเซ็นดิจิทัล ซึ่งนำเสนอการไม่ปฏิเสธและความสมบูรณ์สำหรับเนื้อหาดิจิทัล เมื่ออลิซลงนามในเอกสารแบบดิจิทัลโดยใช้คีย์ส่วนตัวของเธอ ใครก็ตามที่มีคีย์สาธารณะของเธออาจยืนยันว่าเธอลงนามในเอกสารและไม่ถูกดัดแปลงใดๆ นับตั้งแต่มีการใช้ลายเซ็น สำหรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับใบรับรองการลงนามบันทึกและลายเซ็นดิจิทัล คุณสามารถเข้าไปดูคำแนะนำที่ครอบคลุมของเราได้ที่ ใบรับรองการลงนามเอกสาร – SSL.com.

  • การท่องอินเทอร์เน็ตที่ปลอดภัย: PKI เป็นรากฐานสำหรับการท่องเว็บอย่างปลอดภัยผ่านเทคโนโลยีเช่น Transport Layer Security (TLS) และสารตั้งต้น Secure Sockets Layer (SSL) โปรโตคอลเหล่านี้ให้การเชื่อมต่อที่ปลอดภัยระหว่างเว็บเบราว์เซอร์และเซิร์ฟเวอร์ ทำให้มั่นใจได้ว่าข้อมูลที่ละเอียดอ่อนที่ส่งผ่านอินเทอร์เน็ตได้รับการเข้ารหัสและปลอดภัย

  • อีเมลที่ปลอดภัย: การใช้ใบรับรองดิจิทัล PKI ให้การส่งอีเมลที่ปลอดภัย PKI รักษาความถูกต้องและความลับของเนื้อหาอีเมลโดยการลงนามและเข้ารหัสแบบดิจิทัล ป้องกันการเข้าถึงหรือการปลอมแปลงโดยไม่ได้รับอนุญาต สำหรับข้อมูลรายละเอียดเพิ่มเติมเกี่ยวกับการส่งอีเมลที่ปลอดภัยโดยใช้ S/MIME (ส่วนขยายจดหมายทางอินเทอร์เน็ตที่ปลอดภัย/อเนกประสงค์) คุณสามารถเยี่ยมชมคำแนะนำที่ครอบคลุมของเราได้ที่ คู่มืออีเมลที่ปลอดภัยด้วย S/MIME.

  • IoT (อินเทอร์เน็ตของสรรพสิ่ง) การรักษาความปลอดภัย: ด้วยการพัฒนาอุปกรณ์ IoT PKI มีบทบาทสำคัญในการรักษาความปลอดภัยการเชื่อมต่ออุปกรณ์และรักษาความสมบูรณ์ของข้อมูลที่ส่ง การใช้ใบรับรองดิจิทัล PKI อนุญาตการตรวจสอบอุปกรณ์ การอัปเดตเฟิร์มแวร์ที่ปลอดภัย และการเข้ารหัสข้อมูลในระบบนิเวศ IoT สำหรับข้อมูลโดยละเอียดเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัย Internet of Things (IoT) ด้วย SSL/TLS (Secure Sockets Layer/Transport Layer Security) คุณสามารถอ่านคำแนะนำที่ครอบคลุมของเราได้ที่ การรักษาความปลอดภัยอินเทอร์เน็ตของสรรพสิ่ง (IoT) ด้วย SSL /TLS.

ความเข้าใจ PKIการใช้งานที่กว้างขวางของและการบูรณาการเข้ากับการสื่อสารดิจิทัลและความปลอดภัยทางไซเบอร์ในหลายแง่มุมเป็นสิ่งสำคัญสำหรับการทำความเข้าใจถึงความสำคัญของ HSM ในการเพิ่มประสิทธิภาพ PKI ความปลอดภัย

บทบาทของโมดูลความปลอดภัยของฮาร์ดแวร์ในโครงสร้างพื้นฐานของคีย์สาธารณะ

Hardware Security Modules (HSM) มีบทบาทสำคัญในการเพิ่มความปลอดภัยของโครงสร้างพื้นฐานคีย์สาธารณะ (PKI) โดยจัดให้มีสภาพแวดล้อมที่ปลอดภัยสำหรับการบำรุงรักษาและปกป้องคีย์การเข้ารหัส HSM เป็นอุปกรณ์ฮาร์ดแวร์เฉพาะทางที่ใช้เทคนิคการรักษาความปลอดภัยทางกายภาพและลอจิคัลที่แข็งแกร่งเพื่อรักษาคีย์สำคัญให้ปลอดภัยจากการเข้าถึงและการเปลี่ยนแปลงที่ผิดกฎหมาย

การปรับปรุงการรักษาความปลอดภัยที่สำคัญ

หน้าที่หลักของ HSM คือการปกป้องคีย์เข้ารหัสที่ใช้ใน PKI. ระบบการจัดการคีย์ (HSM) มอบสภาพแวดล้อมที่ปลอดภัยสำหรับการผลิตที่สำคัญ การจัดเก็บ และการควบคุมการเข้าถึง HSM ปรับปรุงการรักษาความปลอดภัยที่สำคัญด้วยวิธีต่อไปนี้:

การสร้างคีย์ความปลอดภัย: HSM สร้างคีย์เข้ารหัสภายในฮาร์ดแวร์ที่ปลอดภัยและเป็นแหล่งตัวเลขสุ่มที่เชื่อถือได้ สิ่งนี้จะปกป้องความสมบูรณ์และความแข็งแกร่งของคีย์โดยการปกป้องกระบวนการผลิตจากการยักย้ายหรือการประนีประนอมจากภายนอก

การออกแบบป้องกันการงัดแงะและหลักฐานการงัดแงะ: วิธีการรักษาความปลอดภัยทางกายภาพมีอยู่ใน HSM ทำให้สามารถระบุการงัดแงะและป้องกันการงัดแงะได้ มีเคสเสริมแรง เซ็นเซอร์ตรวจจับการงัดแงะ และกลไกทำลายตัวเองซึ่งจะเปิดใช้งานในกรณีที่มีการเข้าถึงหรือดัดแปลงอุปกรณ์โดยไม่พึงประสงค์ การป้องกันเหล่านี้ป้องกันการโจมตีทางกายภาพ เช่น การปลอมแปลงหรือแยกคีย์ที่สำคัญ

ความปลอดภัยของการจัดเก็บคีย์: HSM จัดเก็บคีย์การเข้ารหัสไว้อย่างปลอดภัยภายในฮาร์ดแวร์ เพื่อป้องกันการเข้าถึงที่ผิดกฎหมาย คีย์จะถูกเข้ารหัสและเก็บไว้ในหน่วยความจำที่ปลอดภัยซึ่งไม่สามารถแก้ไขหรือดึงข้อมูลได้ คีย์จะยังคงปลอดภัยแม้ว่าผู้โจมตีจะสามารถเข้าถึง HSM ได้ก็ตาม

การขนถ่ายการดำเนินงานที่ใช้ทรัพยากรเข้มข้น

HSM ปรับปรุงประสิทธิภาพโดยการว่าจ้างกระบวนการเข้ารหัสลับที่เน้นการคำนวณจากภายนอกไปยังฮาร์ดแวร์เฉพาะ การขนถ่ายนี้มีประโยชน์หลายประการ:

การดำเนินการเข้ารหัสที่ได้รับการปรับปรุง: HSM เป็นอุปกรณ์ที่สร้างขึ้นตามวัตถุประสงค์ซึ่งมีความเป็นเลิศในการดำเนินการเข้ารหัสลับอย่างมีประสิทธิภาพ องค์กรอาจเพิ่มความเร็วและประสิทธิภาพของกิจกรรมการเข้ารหัส เช่น การสร้างคีย์ การลงนาม และการถอดรหัสได้อย่างมาก โดยใช้ประโยชน์จากฮาร์ดแวร์พิเศษภายใน HSM

โหลดการประมวลผลที่ต่ำกว่า: การถ่ายโอนกิจกรรมการเข้ารหัสไปยัง HSM ช่วยเพิ่มพลังการประมวลผลบนเซิร์ฟเวอร์หรืออุปกรณ์อื่นๆ ทำให้พวกเขามุ่งความสนใจไปที่หน้าที่ที่สำคัญกว่าได้ การปรับปรุงนี้ช่วยเพิ่มประสิทธิภาพระบบโดยรวมและความสามารถในการปรับขนาด โดยเฉพาะอย่างยิ่งในบริบทที่มีการดำเนินการเข้ารหัสลับในปริมาณมาก

การป้องกันการโจมตีจากช่องทางด้านข้าง: การโจมตีช่องทางด้านข้างซึ่งใช้ประโยชน์จากข้อมูลที่รั่วไหลระหว่างการดำเนินการเข้ารหัสได้รับการออกแบบเป็น HSM ฮาร์ดแวร์เฉพาะของ HSM ช่วยในการบรรเทาการโจมตีเหล่านี้โดยการปกป้องความลับของคีย์ที่สำคัญ

การอนุญาตและการควบคุมการเข้าถึง

HSM มีคุณสมบัติการควบคุมการเข้าถึงที่แข็งแกร่งเพื่อให้แน่ใจว่าเฉพาะบุคคลหรือกระบวนการที่ได้รับอนุญาตเท่านั้นที่สามารถเข้าถึงและใช้คีย์การเข้ารหัส มาตรการควบคุมการเข้าถึงได้แก่:

รับรองความถูกต้อง: ในการเข้าถึงคีย์ที่เก็บไว้ HSM ต้องใช้เทคนิคการตรวจสอบสิทธิ์ เช่น รหัสผ่าน คีย์เข้ารหัส หรือองค์ประกอบชีวมาตร สิ่งนี้จะห้ามผู้ใช้ที่ไม่ได้รับอนุญาตเข้าถึงหรือแยกคีย์

นโยบายการอนุญาต: องค์กรสามารถใช้ HSM เพื่อกำหนดนโยบายการให้สิทธิ์โดยละเอียดโดยอธิบายว่าเอนทิตีหรือกระบวนการใดที่สามารถเข้าถึงคีย์เฉพาะและดำเนินการเข้ารหัสได้ สิ่งนี้จะช่วยนำแนวคิดเรื่องสิทธิ์ขั้นต่ำไปใช้โดยการป้องกันการใช้คีย์ในทางที่ผิดหรือการใช้งานโดยไม่ได้รับอนุญาต

การตรวจสอบและเอกสารประกอบ: HSM เก็บบันทึกการตรวจสอบโดยละเอียดของกิจกรรมการจัดการคีย์ เช่น การใช้คีย์ ความพยายามในการเข้าถึง และการแก้ไขการกำหนดค่า องค์กรสามารถใช้บันทึกเหล่านี้เพื่อติดตามและตรวจสอบการดำเนินงานหลัก ตรวจพบความผิดปกติ และรับประกันการปฏิบัติตามกฎระเบียบด้านความปลอดภัย

บทบาทของ HSM ใน PKI เป็นสิ่งสำคัญสำหรับการป้องกันคีย์เข้ารหัส ลดการโหลดกระบวนการที่ใช้ทรัพยากรจำนวนมาก และการใช้กลไกควบคุมการเข้าถึงที่เข้มงวด องค์กรอาจปรับปรุงตนได้ PKI ความปลอดภัย ความสามารถในการปรับขนาด และประสิทธิภาพของการติดตั้งโดยการใช้ HSM

Cloud HSM สำหรับการลงนามเอกสารและโค้ด

เนื่องจากธุรกิจต่างๆ หันมาใช้การประมวลผลแบบคลาวด์มากขึ้น จึงมีความต้องการโซลูชั่นการจัดการคีย์ที่ปลอดภัยในระบบคลาวด์มากขึ้น ขณะนี้ Hardware Security Modules (HSM) มีให้บริการในรูปแบบบริการ (HSMaaS) จากผู้ให้บริการคลาวด์และผู้จำหน่าย HSM ซึ่งช่วยให้การตั้งค่าที่ปลอดภัยสำหรับการสร้างและการจัดเก็บคีย์ ในส่วนนี้จะกล่าวถึง Cloud HSM ที่รองรับการเซ็นเอกสาร ใบรับรองการลงนามโค้ด EV และ OV ความสามารถ และขั้นตอนสำคัญที่เกี่ยวข้องกับการใช้งาน

ภาพรวมของ Cloud HSM ที่รองรับ

ปัจจุบัน SSL.com รองรับบริการ Cloud HSM หลายอย่างสำหรับการออกใบรับรองการลงนามเอกสารที่ Adobe เชื่อถือและใบรับรองการลงนามโค้ด ดูรายละเอียดเพิ่มเติมเกี่ยวกับข้อเสนอ Cloud HSM ยอดนิยมสามข้อเสนอ:

 

AWS CloudHSM: Amazon Web Services (AWS) เป็นแพลตฟอร์มการประมวลผลแบบคลาวด์ CloudHSM เป็นบริการที่ให้บริการ HSM ที่ได้รับอนุมัติ FIPS 140-2 ระดับ 3 ในระบบคลาวด์ AWS CloudHSM นำเสนออินสแตนซ์ HSM เฉพาะที่ตั้งอยู่ภายในศูนย์ข้อมูล AWS รองรับการจัดเก็บคีย์ที่ปลอดภัยและการดำเนินการเข้ารหัส รวมถึงการสำรองข้อมูลคีย์และความพร้อมใช้งานสูง

HSM เฉพาะของ Azure: HSM เฉพาะของ Azure เป็นผลิตภัณฑ์ของโมดูลความปลอดภัยฮาร์ดแวร์ของ Microsoft Azure ตรวจสอบความถูกต้องของ HSM กับ FIPS 140-2 ระดับ 3 สำหรับการจัดเก็บคีย์ที่ปลอดภัยและการดำเนินการเข้ารหัส Azure Dedicated HSM นำเสนอการแยกคีย์ของลูกค้าและมีความสามารถต่างๆ เช่น การสำรองข้อมูลและการกู้คืนคีย์ ความพร้อมใช้งานสูง และความสามารถในการปรับขนาด

Google Cloud HSM: Google Cloud HSM เป็นบริการโมดูลความปลอดภัยของฮาร์ดแวร์ที่ให้บริการโดย Google Cloud ตรวจสอบ HSM ตามมาตรฐาน FIPS 140-2 ระดับ 3 เพื่อการจัดการคีย์ที่ปลอดภัย Google Cloud HSM นำเสนอบริการการจัดการคีย์เฉพาะทางที่มีความสามารถต่างๆ รวมถึงการสำรองและกู้คืนคีย์ ความพร้อมใช้งานสูง และการจัดการคีย์แบบรวมศูนย์

ตามข้อกำหนดของ Adobe และ Microsoft คีย์การเข้ารหัสลับที่ใช้ในการลงนามจะต้องจัดเก็บไว้ในอุปกรณ์ที่รองรับ ไม่สามารถส่งออกจากอุปกรณ์ได้ และไม่ได้นำเข้าไปยังอุปกรณ์ ข้อกำหนดเหล่านี้ทำให้การใช้ HSM ไม่ว่าจะเป็น HSM ที่จัดการโดยลูกค้า บริการ HSM บนคลาวด์ หรือบริการลงนามบนคลาวด์ เช่น ผู้ลงนามอิเล็กทรอนิกส์, ความต้องการ

หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับวิธีที่เราให้การสนับสนุน Cloud HSM โปรด vอยู่ที่หน้าเฉพาะของเรา

เรียนรู้เพิ่มเติมเกี่ยวกับ Cloud HSM ที่รองรับ SSL.com

การสั่งซื้อหนังสือรับรองและใบรับรอง

เนื่องจาก HSM ระบบคลาวด์ไม่ได้ดำเนินการและจัดการโดยผู้ออกใบรับรอง จึงต้องปฏิบัติตามโปรโตคอลที่แม่นยำเพื่อให้แน่ใจว่าการสร้างและการจัดเก็บคีย์ส่วนตัวมีความปลอดภัย แม้ว่าข้อเสนอ Cloud HSM บางอย่างสามารถจัดเตรียมขั้นตอนที่พร้อมใช้งานทันทีสำหรับการสร้างหลักฐานรับรองคีย์สำหรับคู่คีย์ของคำสั่งซื้อใบรับรอง แต่ก็มีข้อเสนอ Cloud HSM ที่ไม่มีความสามารถดังกล่าว อย่างไรก็ตาม ยังคงสามารถยืนยันการสร้างคีย์และการจัดเก็บคีย์ที่เหมาะสมได้ผ่านขั้นตอนการรับรองและการตรวจสอบด้วยตนเอง มาดูขั้นตอนสำคัญกันดีกว่า:

 

เกณฑ์การรับรอง: เพื่อให้มั่นใจถึงการสร้างและการจัดเก็บคีย์ส่วนตัวภายใน HSM อย่างปลอดภัย ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่มีคุณสมบัติเพียงพอจะต้องทำหน้าที่เป็นผู้ตรวจสอบกระบวนการสร้างคีย์และรับรอง (ด้วยเหตุนี้คำว่า "การรับรอง") ว่าคู่คีย์ถูกสร้างขึ้นและถูกจัดเก็บ ในลักษณะที่สอดคล้องในอุปกรณ์ HSM ที่รองรับ ในกรณีของ SSL.com สามารถให้บริการรับรองสำหรับบริการ Cloud HSM ที่กล่าวถึงข้างต้นได้ โดยทั่วไปกระบวนการรับรองจะสิ้นสุดด้วยการสร้างคำขอลงนามใบรับรอง (CSR) และส่งไปที่ SSL.com เพื่อตรวจสอบ หลังจากนั้น CSR ใช้เพื่อสร้างใบรับรองที่สั่ง

การสั่งซื้อใบรับรอง: องค์กรสามารถเริ่มขั้นตอนการสั่งซื้อใบรับรองได้เมื่อการสร้างและการจัดเก็บคีย์ส่วนตัวได้รับการตรวจสอบแล้ว ที่ได้รับการรับรอง CSR ถูกส่งไปยังผู้ออกใบรับรองซึ่งจะออกใบรับรองการลงนามเอกสาร OV หรือใบรับรองการลงนามรหัส EV

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเรียงลำดับใบรับรองและการสำรวจตัวเลือกต่างๆ โปรดไปที่หน้าการสั่งซื้อใบรับรองของเราที่ URL ต่อไปนี้: การสั่งซื้อใบรับรอง SSL.com.

แบบฟอร์มคำขอบริการ Cloud HSM

หากคุณต้องการสั่งซื้อใบรับรองดิจิทัลและดูระดับราคาที่กำหนดเองสำหรับการติดตั้งบนข้อเสนอ Cloud HSM ที่รองรับ (AWS CloudHSM, Google Cloud Platform Cloud HSM หรือ Azure Dedicated HSM) โปรดกรอกและส่งแบบฟอร์มด้านล่าง หลังจากที่เราได้รับคำขอของคุณ เจ้าหน้าที่ของ SSL.com จะติดต่อคุณเพื่อแจ้งรายละเอียดเพิ่มเติมเกี่ยวกับขั้นตอนการสั่งซื้อและการรับรอง

 

ในที่สุด

การทำให้อินเทอร์เน็ตปลอดภัยยิ่งขึ้นจะต้องใช้การรักษาความปลอดภัยที่หนักหนาเช่น PKI และ HSM PKI คือรหัสดิจิทัลที่ทำให้เนื้อหาออนไลน์ของเราถูกล็อคอย่างแน่นหนา จากนั้น HSM จะเฝ้าดูกุญแจของระบบนั้นเหมือนกับเจ้าหน้าที่รักษาความปลอดภัย เราไม่ได้ขาย HSM ด้วยตัวเอง แต่เราสามารถช่วยตั้งค่าได้ PKI และ HSM สำหรับคุณ เราต้องการทำให้อินเทอร์เน็ตเป็นสถานที่ที่ผู้คนสามารถไว้วางใจได้อีกครั้ง โดยการทำงานเกี่ยวกับการป้องกันใหม่ล่าสุดเช่น PKI และ HSM เรากำลังแสดงให้เห็นว่าเราจริงจังกับการแก้ไขปัญหาด้านความปลอดภัยทางออนไลน์

ทีมสนับสนุน SSL

โพสต์ทั้งหมด

บทความที่เกี่ยวข้อง

ดูบทความทั้งหมด
Facebook Youtube Twitter Github

สมัครสมาชิกจดหมายข่าวของ SSL.com

SSL คืออะไร /TLS?

เล่นวีดีโอ

สมัครสมาชิกจดหมายข่าวของ SSL.com

อย่าพลาดบทความและการปรับปรุงใหม่จาก SSL.com

รับทราบข้อมูลและปลอดภัย

SSL.com เป็นผู้นำระดับโลกในด้านความปลอดภัยทางไซเบอร์ PKI และใบรับรองดิจิทัล ลงทะเบียนเพื่อรับข่าวสารอุตสาหกรรม เคล็ดลับ และประกาศผลิตภัณฑ์ล่าสุดจาก SSL.com.

เราชอบความคิดเห็นของคุณ

ทำแบบสำรวจของเราและแจ้งให้เราทราบความคิดเห็นของคุณเกี่ยวกับการซื้อครั้งล่าสุดของคุณ

ทำการสำรวจ