HSM je nova zvezda digitalne stvarnosti
V zadnjem času se je verjetno že vsakdo srečal s preverjanjem pogoja PCT. V ta namen vam odčitajo QR-kodo, ki pove ali pogoj izpolnjujete ali ne. Kakšna bistra glava morda pomisli, da bi QR-kodo kreirala sama, vendar ni tako enostavno. Podatki o vašem stanju PCT se namreč pred izdelavo QR-kode zašifrirajo. Če preberete QR-kodo s poljubnim bralnikom kod, boste prebrali le niz nerazumljivih črk in številk. Brez poznavanja šifrirnega ključa podatkov ne morete prebrati, kaj šele ponarediti. In pozabite, da bi lahko do njega sploh prišli. Ključi, ki omogočajo takšno “nezlomljivo” šifriranje, se v varnih sistemih običajno nahajajo na posebnih napravah – strojnih varnostnih modulih HSM (Hardware Security Modules).
Čemu v služijo strojni varnostni moduli
Današnje poslovanje je že skoraj povsem digitalizirano in poteka praktično brez izjem z uporabo različnih informacijskih rešitev, ne glede na to ali gre za majhno trgovino, mednarodno korporacijo, banko, zdravstveni sistem ali notranje ministrstvo. Varnostne potrebe so še posebej visoke, ko gre za zaščito podatkov, ne glede na to ali se prenašajo prek medmrežja, obdelujejo ali so samo shranjeni in čakajo na uporabo – morda nekje in nekoč. Vse te podatke je potrebno ščititi in za to se vse pogosteje uporablja tehnologija šifriranja. Seveda je smiselno in pričakovano, da se tudi samo šifriranje dogaja v zaupanja vrednih okoljih. Vsi ti procesi se izvajajo z varnostnimi strojnimi moduli, ki pravzaprav edini zagotavljajo res zaupanja vredno uporabo in hrambo šifrirnih ali kriptografskih ključev, s katerimi se izvaja zaščita podatkov in transakcij. Danes se naprave HSM uporablja za šifriranje na ravni aplikacij in zbirk podatkov, za varno medmrežno komunikacijo po protokolih TLS/SSL, za šifriranje z javno-zasebnimi ključi PKI, digitalno podpisovanje dokumentov in transakcij ter za šifriranje v oblaku, na primer pri izvajanju storitev BYOK.
Kljub temu, da gre za tehnologije, ki so bile še do nedavnega v domeni finančnih organizacij, ponudnikov telekomunikacijskih ter informacijskih storitev ter državnih uprav, danes strojni varnostni moduli tudi na račun razširjanja računalništva v oblaku predstavljajo temeljno tehnologijo za zagotavljanje skladnosti in varnosti poslovanja za praktično vse organizacije. Z ustvarjanjem, uporabo, nadzorom in obnavljanjem kriptografskih ključev izpolnjujejo zahteve notranjih varnostnih politik, zunanjih standardov in zakonskih zahtev glede kibernetske varnosti, kar vključuje tudi uredbe GDPR, eIDAS, PCI DSS in HIPAA. Po drugi strani uporabniki z njimi dosegajo višjo stopnjo varnost podatkov in zaupanja ter istočasno zagotavljajo večjo kakovost storitev in poslovno agilnost. Gre torej za zahteve, ki so ključne za uspešnost vedno bolj digitaliziranega poslovanja.
Kaj sploh je HSM?
Naprave HSM so zgrajene s ciljem oblikovanja zaščitenega neprebojnega okolja, kjer se izvajajo kriptografski procesi, kot sta šifriranje in digitalno podpisovanje, ter upravljanje s ključi, ki se uporabljajo v teh procesih.
Varnostni strojni moduli uživajo visoko stopnjo zaupanja, saj so oblikovani posebej za izvajanje procesov z uporabo najzahtevnejših digitalnih varnostnih mehanizmov:
- Delujejo na osnovi specialne strojne opreme, ki je preizkušena in overjena s strani posebnih laboratorijev.
- Uporabljajo operacijski sistem, ki je osredotočen na varnost.
- Imajo le omejen dostop prek omrežnega vmesnika, ki je strogo nadzorovan z notranjimi pravili.
- Aktivno skrivajo in ščitijo kriptografski material.
Zaradi majhnega obsega nalog se varnostni strojni moduli ponašajo z izredno visoko zmogljivostjo. Ne samo, da s tem zagotavljajo neprimerljivo hitrejše izvajanje kriptografskih procesov in posledično storitev, ki jih uporabljajo, ampak omogočajo učinkovito delo varnostnim ekipam, ki na tak način še dodatno dvignejo raven varnosti.
Kaj HSM torej počne?
Na kratko lahko rečemo, da HSM skrbi za vse, kar je povezano s šifriranjem in upravljanjem ključev. To vključuje:
- varno shranjevanje simetričnih ključev, asimetričnih zasebnih ključev in digitalnih potrdil;
- šifriranje in dešifriranje podatkov, digitalno podpisovanje in preverjanje digitalnih podpisov;
- ustvarjanje parov ključev, ki nikoli ne zapustijo varnega okolja posamezne naprave HSM;
- zagotavljanje varne zgoščevalne (hash) funkcije;
- zagotavljanje varnih in resnično naključnih števil (True Random Number Generation);
- preprečevanje poskusov vdorov v napravo s takojšnjim brisanjem kriptografskega materiala v primeru varnostnega incidenta;
- preprečevanje dostopa do pomnilnika;
- odpornost na napredne kibernetske napade, na primer po stranskih kanalih ali z iskanjem hroščev;
- varno upravljanje ter uvažanje oziroma izvažanje ključev.
Kriptografskih procesov ne morete zaupati recimo strežnikom Windows ali Linux z nameščeno kriptografsko programsko opremo, ampak potrebujete posebno napravo, ki je oblikovana samo za te namene, to je HSM. Enostavno je na tehtnici preveč, da bi lahko sklepali kompromise.
Zakaj je uporaba HSM zdaj bolj aktualna, kot kdaj koli prej?
Eno je, da v kibernetsko varnost posega vse več zakonodaje. Drug in pravzaprav morda najbolj pereč izziv pa so zlorabe podatkov. Vsak mesec na primer doživi zlorabo programske kode več kot 4.800 spletnih strani. Po drugi strani kar 80% podjetij pričakuje, da jih bo v prihodnjih 12 mesecih doletela zloraba podatkov o kupcih. Samo lani se je skoraj 300 milijonov ljudi soočalo s posledicami kraje identitete ali goljufije. V letošnjem letu je število zlorab poskočilo, pri čemer podjetja vsakomesečno poročajo o novih zlorabah večjih razsežnosti.
Navsezadnje bo na razširjanje uporabe strojnih varnostnih modulov vplivala pospešena digitalna transformacija, ki jo poganjajo nove generacije industrijskih rešitev na osnovi IoT in umetne inteligence, razmah digitalnih storitev na krilih tehnologij 5G in eSIM ter vse večja uporaba e-identitet pri digitalnem poslovanju. Dodaten pospešek ustvarja igralniška industrija, ki ustvarja nove pritiske na plačilne sisteme, ter nove finančne tehnologije vključno z virtualnimi bankami, mobilnim plačevanjem in veriženjem podatkovnih blokov. Tehnologijo HSM tako poleg tradicionalnih uporabnikov osvajajo vse organizacije, ki želijo svojim deležnikom zagotoviti pričakovano in velikokrat že zahtevano zaupanje ter uvesti inovativne tehnološke pristope, na katerih gradi digitalna transformacija njihove dejavnosti.
Za več informacij o strojnih varnostnih modulih HSM stopite v stik s podjetjem CREAplus.
Ne spreglejte!
V četrtek, 23. septembra 2021 bo dr. Nastja Cepak, vodilna slovenska kriptografinja iz podjetja CREAplus, izvedla spletni seminar »Strojni varnostni modul HSM – nepogrešljiv element sodobne infrastrukture«. Več informacij o seminarju je na voljo tukaj.
Prijavi napako v članku