Modulo di sicurezza hardware

Un HSM in formato PCIe

Un modulo di sicurezza hardware (in inglese Hardware Security Module, HSM) è un dispositivo informatico fisico che salvaguarda e gestisce i segreti (soprattutto le chiavi digitali), esegue funzioni di crittografia per le firme digitali e altre funzioni crittografiche.[1] Questi moduli si presentano solitamente sotto forma di scheda plug-in o di dispositivo esterno che si collega direttamente a un computer o simili dispositivi. Un modulo di sicurezza hardware contiene uno o più chip cryptoprocessor.[2][3]

Usi

Un modulo di sicurezza hardware può essere impiegato in qualsiasi applicazione che utilizzi chiavi digitali. Solitamente gli HSM vengono utilizzati quando le chiavi sono di importanza elevata.

Le funzioni di un HSM sono solitamente:

  • generazione di chiavi crittografiche sicure
  • archiviazione sicura delle chiavi crittografiche, almeno per le chiavi di livello superiore e più sensibili, spesso chiamate chiavi master
  • gestione delle chiavi
  • utilizzo di materiale crittografico e di dati sensibili, ad esempio l'esecuzione di funzioni di decrittografia o firma digitale
  • alleggerimento dei server dalle applicazioni crittografiche asimmetriche e simmetriche.

Ambiente PKI (HSM per Certificate Authority)

Negli ambienti basati su infrastruttura a chiave pubblica, gli HSM possono essere utilizzati dalle autorità di certificazione (CA) e dalle autorità di registrazione (RA) per generare, archiviare e gestire coppie di chiavi asimmetriche.

In questi casi ci sono alcune caratteristiche fondamentali che un tale dispositivo deve avere e cioè:

  • Protezione logica e fisica di alto livello
  • Schema di autorizzazione utente in più parti (vedi divisione segreti)
  • Revisione completa e registro chiamate
  • Backup sicuro delle chiavi

D'altro canto, le prestazioni dei dispositivi in un ambiente PKI sono solitamente meno importanti, sia nelle operazioni online che offline, in quanto le procedure delle autorità di registrazione rappresentano il collo di bottiglia prestazionale dell’infrastruttura.

HSM per sistemi di pagamento con carta (HSM bancari)

Gli HSM specializzati vengono inoltre utilizzati nel settore delle carte di pagamento. Gli HSM supportano sia funzioni generiche che funzioni specializzate necessarie per firmare le transazioni ed ottemperare agli standard di settore. Normalmente non dispongono di un'API standard.

Tipiche applicazioni sono l'autorizzazione delle transazioni e la verifica delle carte di pagamento, che richiedono funzioni quali:

  • verificare che il PIN immesso dall'utente corrisponda al PIN di riferimento noto all'emittente della carta
  • verificare le transazioni con carta di credito/debito controllando i codici di sicurezza della carta o eseguendo componenti di elaborazione host di una transazione basata su EMV insieme a un controller ATM o un terminale POS
  • supportare una cripto-API con una smart card (come un EMV )
  • crittografare nuovamente un blocco PIN per inviarlo a un altro host di autorizzazione
  • eseguire una gestione sicura delle chiavi
  • supportare un protocollo di gestione della rete POS ATM
  • supportare gli standard de facto della chiave host-host | API di scambio dati
  • generare e stampare un "mailer PIN"
  • generare dati per una carta a banda magnetica (PVV, CVV )
  • generare un set di chiavi per carte e supportare il processo di personalizzazione per le smart card

Creazione della connessione SSL

Le applicazioni critiche per le prestazioni che devono utilizzare HTTPS (SSL/TLS) possono trarre vantaggio dall'uso di un HSM per l'accelerazione SSL spostando le operazioni RSA, che in genere richiedono svariate moltiplicazioni di numeri interi di grandi dimensioni, dalla CPU del server al dispositivo HSM. Un tipico dispositivo HSM può eseguire da 1 a 10.000 operazioni RSA a 1024bit al secondo.[4][5] Alcune prestazioni con dimensioni chiave più lunghe stanno diventando sempre più importanti. Per risolvere questo problema, alcuni HSM[6] ora supportano ECC. I dispositivi HSM specializzati possono raggiungere numeri fino a 20.000 operazioni al secondo.[7]

DNSSEC

Un numero crescente di registrar utilizza gli HSM per archiviare il materiale della chiave utilizzato per firmare zonefile di grandi dimensioni. OpenDNSSEC è uno strumento open source che gestisce la firma degli zonefile DNS.

Il 27 gennaio 2007, ICANN e Verisign, con il supporto del Dipartimento del Commercio degli Stati Uniti, hanno iniziato a implementare DNSSEC per le zone root DNS.[8] I dettagli della firma root possono essere trovati sul sito web di root-dnssec.[9]

Portafoglio per criptovalute

Le chiavi private di criptovalute possono essere archiviate in un portafoglio per criptovalute su un HSM.[10]

Note

  1. ^ (EN) DOI:10.1007/978-3-031-33386-6_16, ISBN 978-3-031-33386-6, https://doi.org/10.1007/978-3-031-33386-6_16.
  2. ^ Vignesh Ramakrishnan, Prasanth Venugopal e Tuhin Mukherjee, Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015, Association of Scientists, Developers and Faculties (ASDF), 2015, p. 9, ISBN 9788192974279.
  3. ^ Michael Gregg, CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002, John Wiley & Sons, 2014, p. 246, ISBN 9781118930847.
  4. ^ F. Demaertelaere, Copia archiviata (PDF), su secappdev.org. URL consultato il 26 May 2015 (archiviato dall'url originale il 19 marzo 2022).
  5. ^ Let's Encrypt, https://letsencrypt.org/2021/02/10/200m-certs-24hrs.html. URL consultato il 19 maggio 2021.
  6. ^ electronicspecifier.com, http://www.electronicspecifier.com/design-automation/adyton-barco-silex-ip-atos-worldline-fpga-design-speeds-transactions-hardware-security-module. URL consultato il April 8, 2013.
  7. ^ Gemalto, https://safenet.gemalto.com/data-encryption/hardware-security-modules-hsms/safenet-network-hsm/. URL consultato il 21 settembre 2017.
  8. ^ www.circleid.com, http://www.circleid.com/posts/20100127_icann_begins_public_dnssec_test_plan_for_the_root_zone/. URL consultato il 17 agosto 2015.
  9. ^ Root DNSSEC
  10. ^ gemalto.com, https://www.gemalto.com/press/Pages/Gemalto-and-Ledger-Join-Forces-to-Provide--Security-Infrastructure-for-Cryptocurrency-Based-Activities-.aspx. URL consultato il 20 aprile 2020.

Voci correlate

Altri progetti
Index: pl ar de en es fr it arz nl ja pt ceb sv uk vi war zh ru af ast az bg zh-min-nan bn be ca cs cy da et el eo eu fa gl ko hi hr id he ka la lv lt hu mk ms min no nn ce uz kk ro simple sk sl sr sh fi ta tt th tg azb tr ur zh-yue hy my ace als am an hyw ban bjn map-bms ba be-tarask bcl bpy bar bs br cv nv eml hif fo fy ga gd gu hak ha hsb io ig ilo ia ie os is jv kn ht ku ckb ky mrj lb lij li lmo mai mg ml zh-classical mr xmf mzn cdo mn nap new ne frr oc mhr or as pa pnb ps pms nds crh qu sa sah sco sq scn si sd szl su sw tl shn te bug vec vo wa wuu yi yo diq bat-smg zu lad kbd ang smn ab roa-rup frp arc gn av ay bh bi bo bxr cbk-zam co za dag ary se pdc dv dsb myv ext fur gv gag inh ki glk gan guw xal haw rw kbp pam csb kw km kv koi kg gom ks gcr lo lbe ltg lez nia ln jbo lg mt mi tw mwl mdf mnw nqo fj nah na nds-nl nrm nov om pi pag pap pfl pcd krc kaa ksh rm rue sm sat sc trv stq nso sn cu so srn kab roa-tara tet tpi to chr tum tk tyv udm ug vep fiu-vro vls wo xh zea ty ak bm ch ny ee ff got iu ik kl mad cr pih ami pwn pnt dz rmy rn sg st tn ss ti din chy ts kcg ve
Prefix: a b c d e f g h i j k l m n o p q r s t u v w x y z 0 1 2 3 4 5 6 7 8 9

Portal di Ensiklopedia Dunia

Portal : Agama
Agama
Portal : Bahasa
Bahasa
Portal : Biografi
Biografi
Portal : Budaya
Budaya
Portal : Ekonomi
Ekonomi
Portal : Elektronika
Elektronika
Portal : Film
Film
Portal : Filsafat
Filsafat
Portal : Geografi
Geografi
Portal : Indonesia
Indonesia
Portal : Ilmu
Ilmu
Portal : Lingkungan
Lingkungan
Portal : Masyarakat
Masyarakat
Portal : Matematika
Matematika
Portal : Militer
Militer
Portal : Mitologi
Mitologi
Portal : Musik
Musik
Portal : Olahraga
Olahraga
Portal : Pendidikan
Pendidikan
Portal : Politik
Politik
Portal : Sastra
Sastra
Portal : Sejarah
Sejarah
Portal : Seni
Seni
Portal : Teknologi
Teknologi

Kembali kehalaman sebelumnya