PKI (公钥基础设施)依靠公钥和私钥来加密数据。 硬件安全模块 (HSM) 在防篡改盒中保护这些密钥。 HSM 存储和管理密钥,防止盗窃或滥用。 它们对于 PKI 安全性,实现可信的在线交易和通信。 本文解释了为什么 HSM 如此重要 PKI 和在线安全。
公钥基础设施在加密、证书管理和安全通信中的作用
PKI 履行各种重要职能。 它为建立信任、维护机密性和促进安全交易提供了坚实的基础。 以下是其扩展用途 PKI 在数字通信中:
-
加密: PKI 方便加密和解密,从而实现安全通信。 当爱丽丝想要向鲍勃发送加密消息时,她使用鲍勃的公钥对该消息进行加密。 只有拥有相应私钥的 Bob 才能解密并读取该消息。 这确保了即使敌人拦截该消息也能保密。
-
证书管理: PKI 包括数字证书的制作、管理、分发、使用、存储和撤销。 验证实体的身份后,证书颁发机构颁发证书。 这些证书建立可信身份、验证数字内容的完整性并实现安全通信。
-
数字签名: PKI 允许创建和验证数字签名,从而为数字内容提供不可否认性和完整性。 当 Alice 使用她的私钥对文档进行数字签名时,拥有她的公钥的任何人都可以确认她签署了该文档,并且自应用签名以来没有被篡改。 有关记录签名证书和数字签名的更多详细信息,您可以访问我们的综合指南: 文档签名证书 – SSL.com.
-
安全的互联网浏览: PKI 是通过传输层安全(TLS)及其前身安全套接字层(SSL)。 这些协议在 Web 浏览器和服务器之间提供安全连接,确保通过互联网发送的敏感数据经过加密且安全。
-
安全电子邮件: 使用数字证书, PKI 提供安全的电子邮件传输。 PKI 通过数字签名和加密来维护电子邮件内容的真实性和保密性,防止未经授权的访问或篡改。 有关使用发送安全电子邮件的更多详细信息 S/MIME (安全/多用途互联网邮件扩展),您可以访问我们的综合指南: 安全电子邮件指南 S/MIME.
-
IoT(物联网)安全: 随着物联网设备的发展, PKI 在保护设备连接和维护发送数据的完整性方面发挥着重要作用。 使用数字证书, PKI 允许物联网生态系统中的设备身份验证、安全固件更新和数据加密。 有关使用 SSL 保护物联网 (IoT) 的更多详细信息/TLS (安全套接字层/传输层安全),您可以访问我们的综合指南: 使用SSL /保护物联网(IoT)的安全TLS.
理解 PKI广泛使用并集成到数字通信和网络安全的众多方面对于理解 HSM 在增强安全性方面的重要性至关重要 PKI 安全。
硬件安全模块在公钥基础设施中的作用
硬件安全模块(HSM)在提高公钥基础设施(PKI)通过提供一个安全的环境来维护和保护加密密钥。 HSM 是专用硬件设备,使用强大的物理和逻辑安全技术来保护重要密钥免遭非法访问和更改。
提高密钥安全性
HSM 的主要功能是保护以下应用中使用的加密密钥: PKI。 密钥管理系统 (HSM) 为密钥生产、存储和访问控制提供安全的环境。 HSM 通过以下方式提高密钥安全性:
安全密钥的生成: HSM 在其安全硬件内创建加密密钥并提供可靠的随机数来源。 这可以通过保护生成过程免受外部操纵或损害来保护密钥的完整性和强度。
防篡改和防篡改设计: HSM 中内置了物理安全方法,使其具有防篡改和防篡改功能。 它们具有加固外壳、篡改检测传感器和自毁机制,可在设备遭到意外访问或修改时激活。 这些保护措施可防止物理攻击,例如篡改或提取重要密钥。
密钥存储安全: HSM 将加密密钥安全地存储在其硬件中,防止非法访问。 密钥经过加密并保存在安全存储器中,无法篡改或提取。 即使攻击者物理上获得了 HSM 的访问权限,密钥仍然安全。
资源密集型操作卸载
HSM 通过将计算密集型加密流程从软件层外包到专用硬件来提高效率。 这种卸载有几个好处:
改进的加密操作: HSM 是专门构建的设备,擅长高效执行加密操作。 通过利用 HSM 中的专用硬件,组织可以显着提高加密活动(例如密钥创建、签名和解密)的速度和性能。
降低处理负载: 将加密活动卸载到 HSM 可以释放服务器或其他设备上的处理能力,使它们能够专注于更重要的职责。 此增强功能增强了整体系统性能和可扩展性,特别是在具有大量加密操作的环境中。
防御侧通道攻击: HSM 中设计了侧通道攻击,利用加密操作期间泄露的信息。 HSM 的专用硬件通过保护重要密钥的机密性来帮助减轻这些攻击。
授权和访问控制
HSM 包括强大的访问控制功能,以确保只有授权的个人或进程才能访问和使用加密密钥。 访问控制措施包括:
验证: 为了访问存储的密钥,HSM 需要密码、加密密钥或生物识别元素等身份验证技术。 这可以防止未经授权的用户访问或提取密钥。
授权政策: 组织可以使用 HSM 设置精细的授权策略,描述哪些实体或进程可以访问特定密钥并执行加密操作。 这有助于通过防止密钥滥用或未经授权的使用来实现最小权限的概念。
审核和文件记录: HSM 保留密钥管理活动的详细审核日志,例如密钥使用情况、访问尝试和配置修改。 组织可以使用这些日志来监视和审查关键操作、发现异常并保证遵守安全法规。
HSM 的作用 PKI 对于加密密钥保护、卸载资源密集型流程以及实施严格的访问控制机制至关重要。 组织可以改进他们的 PKI 通过使用 HSM 来提高安装的安全性、可扩展性和性能。
用于文档和代码签名的云 HSM
随着越来越多的企业采用云计算,对云中安全密钥管理解决方案的需求也越来越大。 硬件安全模块 (HSM) 现在可作为云提供商和 HSM 供应商的服务 (HSMaaS) 提供,从而实现密钥创建和存储的安全设置。 本节将介绍支持文档签名的云 HSM。 EV 和 OV 代码签名证书、其功能以及与其使用相关的重要过程。
支持的云 HSM 概述
SSL.com 目前支持多种云 HSM 服务,用于颁发 Adobe 信任的文档签名证书和代码签名证书。 让我们更详细地了解三种流行的云 HSM 产品:
AWS 云HSM: 亚马逊网络服务(AWS) 是一个云计算平台。 CloudHSM 是一项在云中提供 FIPS 140-2 3 级批准的 HSM 的服务。 AWS CloudHSM 提供物理上位于 AWS 数据中心内的专用 HSM 实例。 它支持安全的密钥存储和加密操作,并包括密钥备份和高可用性。
Azure专用HSM: Azure专用HSM 是微软Azure硬件安全模块的产物。 它根据 FIPS 140-2 Level 3 验证 HSM,以实现安全密钥存储和加密操作。 Azure 专用 HSM 提供客户密钥隔离,并包括密钥备份和恢复、高可用性和可扩展性等功能。
谷歌云HSM: 谷歌云HSM 是Google Cloud提供的硬件安全模块服务。 它根据 FIPS 140-2 Level 3 验证 HSM,以实现安全密钥管理。 Google Cloud HSM 提供专门的密钥管理服务,其中包括密钥备份和恢复、高可用性和集中密钥管理等功能。
根据 Adobe 和 Microsoft 的要求,用于签名的加密密钥必须存储在兼容设备中,且不可从设备中导出,也不能导入到设备中。 这些要求使得使用 HSM(客户管理的 HSM、云 HSM 服务或云签名服务) 电子签名者, 要求。
要了解有关我们如何为云 HSM 提供支持的更多信息,请 v请访问我们的专用页面.
订购证明和证书
由于云HSM不由证书颁发机构运营和管理,因此必须遵循精确的协议来确保私钥的安全生成和存储。 虽然某些云 HSM 产品可以提供开箱即用的过程来为证书订单的密钥对生成密钥证明证明,但有些云 HSM 产品不提供该功能。 但是,仍然可以通过手动证明和验证过程来证明正确的密钥生成和密钥存储。 让我们回顾一下基本步骤:
认证标准:为了确保 HSM 内私钥的安全生成和存储,具有足够资格的网络安全专业人员必须充当密钥生成过程的审核员,并证明(因此称为“证明”)密钥对已生成并存储在兼容的 HSM 设备中以兼容的方式。 以SSL.com为例,可以为上述云HSM服务提供证明服务。 证明过程通常以创建证书签名请求结束(CSR)并将其发送到 SSL.com 进行验证,之后 CSR 用于生成订购的证书。
证书订购:一旦私钥生成和存储得到验证,组织就可以开始证书订购程序。 经认证的 CSR 提交给证书颁发机构,由证书颁发机构颁发文档签名、OV 或 EV 代码签名证书。
有关证书订购和探索选项的更多信息,请访问我们的证书订购页面,网址为: SSL.com 证书订购.
Cloud HSM服务申请表
如果您想要订购数字证书并查看在受支持的云 HSM 产品(AWS CloudHSM、Google Cloud Platform Cloud HSM 或 Azure Dedicated HSM)上安装的自定义定价层,请填写并提交下面的表单。 我们收到您的请求后,SSL.com 的工作人员将与您联系,提供有关订购和认证流程的更多详细信息。