하드웨어 보안 모듈

Hardware security module
nCipher nShield F3 하드웨어 보안 모듈

하드웨어 보안 모듈(HSM)은 디지털 의 보호 및 관리, 디지털 서명 암호화 및 복호화 기능, 강력한 인증 및 기타 암호화 기능을 수행하는 물리적 컴퓨팅 장치입니다.이러한 모듈은 일반적으로 플러그인 카드 또는 컴퓨터 또는 네트워크 서버에 직접 연결되는 외부 장치의 형태로 제공됩니다.하드웨어 보안 모듈은 하나 이상의 안전한 암호 프로세서 [1][2][3]칩을 포함한다.

설계.

HSM에는 변조 또는 로깅과 경보의 가시적인 징후, HSM을 작동 불능으로 만들지 않고 변조하기 어렵게 하는 변조 방지, 변조 검출 [4]시 키 삭제 등의 변조 응답성 등의 변조 증거를 제공하는 기능이 있습니다.각 모듈에는 변조 및 버스 프로브를 방지하기 위한 1개 이상의 안전한 크립토프로세서 칩 또는 변조 방지, 변조 방지 또는 변조 응답성 패키징으로 보호되는 모듈 내의 칩 조합이 포함되어 있습니다.

기존 HSM의 대부분은 주로 비밀키를 관리하기 위해 설계되어 있습니다.많은 HSM 시스템에는 HSM 외부에서 취급하는 키를 안전하게 백업하는 수단이 있습니다.키는 랩 형태로 백업하여 컴퓨터 디스크나 다른 미디어에 저장하거나 스마트 카드나 기타 보안 [5]토큰과 같은 보안 휴대용 장치를 사용하여 외부에서 저장할 수 있습니다.

HSM은 중요한 인프라스트럭처에서 실시간 인가 및 인증에 사용됩니다.따라서 일반적으로 클러스터링, 자동 페일오버 및 장황한 필드 교환 가능 컴포넌트 등의 표준 고가용성 모델을 지원하도록 설계되어 있습니다.

시중에서 구할 수 있는 HSM의 일부에는 HSM의 안전한 인클로저 내에서 특별히 개발된 모듈을 실행할 수 있는 기능이 있습니다.이러한 기능은 특별한 알고리즘이나 비즈니스 로직을 안전하고 제어된 환경에서 실행해야 하는 경우에 유용합니다.모듈은 네이티브 C 언어로 개발할 수 있습니다.NET, Java 또는 기타 프로그래밍 언어.게다가 차세대 HSM에서는[6], 커스터마이즈나 재프로그래밍을 필요로 하지 않고, 완전한 operating system이나 COTS 소프트웨어의 로드나 실행 등, 보다 복잡한 태스크를 처리할 수 있습니다.이러한 파격적인 설계는 기존 HSM의 설계 및 성능 한계를 극복합니다.이러한 실행 엔진은 애플리케이션 고유의 코드를 보호하는 이점을 제공함과 동시에 HSM의 FIPS 또는 공통 기준 [7]검증 상태를 보호합니다.

보안.

HSM 및/또는 암호화 모듈은 애플리케이션 및 인프라스트럭처 보안에 중요한 역할을 하기 때문에 일반적으로 제품 및 암호화 알고리즘의 설계 및 구현이 건전하다는 것을 사용자에게 독립적으로 보증하기 위해 Common Criteria 또는 FIPS 140 의 국제적으로 인정된 표준에 따라 인증됩니다.취득 가능한 FIPS 140 보안 인증의 최고 레벨은 보안 레벨 4(전체)입니다.금융결제 어플리케이션에서 사용되는 경우 HSM의 보안은 종종 결제카드산업보안표준위원회[8]의해 정의된HSM 요건에 대해 검증됩니다.

사용하다

하드웨어 보안 모듈은 디지털 키를 사용하는 모든 애플리케이션에 사용할 수 있습니다.일반적으로 키는 높은 가치를 가집니다. 즉, 키가 손상되면 키 소유자에게 상당한 부정적인 영향을 미칩니다.

HSM의 기능은 다음과 같습니다.

  • 온보드 보안 암호화 키 생성
  • 온보드 보안 암호화 키 저장소(최소한 최상위 수준 및 가장 중요한 키(종종 마스터 키)용)
  • 키 관리
  • 암호화 및 기밀 데이터 자료 사용(예: 암호화 또는 디지털 서명 기능 수행)
  • 완전한 비대칭대칭 암호화를 위해 애플리케이션 서버를 오프로드합니다.

HSM은 데이터베이스의 투명 데이터 암호화 키 및 디스크나 테이프 등의 스토리지 디바이스의 키를 관리하기 위해 도입되기도 합니다.

HSM은 암호화 키를 포함한 이러한 자료를 공개, 비인가 사용 및 잠재적인 [9]공격자로부터 논리적이고 물리적으로 보호합니다.

HSM은 대칭 암호와 비대칭(공개 키) 암호 모두를 지원합니다.인증국이나 디지털 서명 등 일부 응용 프로그램의 경우 암호 자료는 공개[10]암호화에 사용되는 비대칭 키 쌍(및 인증서)입니다.데이터 암호화 또는 금융 결제 시스템과 같은 다른 애플리케이션의 경우, 암호화 자료는 주로 대칭 로 구성됩니다.

일부 HSM 시스템은 하드웨어 암호화 액셀러레이터이기도 합니다.일반적으로 대칭 키 조작을 위한 하드웨어 전용 솔루션의 성능을 능가할 수 없습니다.그러나 성능 범위는 1 ~1024비트 RSA 신호/초이므로 HSM은 비대칭 키 조작에 대해 상당한 CPU 오프로드를 제공할 수 있습니다.NIST(National Institute of Standards and Technology)가 [11]2010년부터 2,048비트 RSA 키의 사용을 권장하고 있기 때문에 키 크기가 더 길수록 성능이 더욱 중요해졌습니다.이 문제에 대처하기 위해 대부분의 HSM에서는 Elliptic Curve Cryptography(ECC; 타원곡선암호화)가 지원되고 있습니다.이것에 의해, 키의 길이가 짧아져, 보다 강력한 암호화가 실현됩니다.

PKI 환경(CA HSM)

PKI 환경에서는 비대칭 키쌍을 생성, 저장 및 처리하기 위해 Certification Authority(CA; 인증국) 및 Registration Authority(RA; 등록국)가 HSM을 사용할 수 있습니다.이 경우 디바이스에는 다음과 같은 기본적인 기능이 필요합니다.

  • 논리적 및 물리적 고급 보호
  • 멀티파트 사용자 인가 스키마(Blakley-Shamir 비밀 공유 참조)
  • 완전한 감사 및 로그 트레이스
  • 안전한 키 백업

한편, PKI 환경에서의 디바이스 퍼포먼스는 일반적으로 온라인과 오프라인 양쪽의 운용에서 그다지 중요하지 않습니다.이는 등록국 절차가 인프라스트럭처의 퍼포먼스 병목현상을 나타내기 때문입니다.

카드결제시스템HSM(은행HSM)

특수 HSM은 결제 카드 업계에서 사용됩니다.HSM은 거래를 처리하고 업계 표준을 준수하기 위해 필요한 범용 기능과 전문 기능을 모두 지원합니다.일반적으로 표준 API를 지원하지 않습니다.

일반적인 응용 프로그램은 거래 승인 및 결제 카드 개인화이며, 다음과 같은 기능이 필요합니다.

  • 사용자가 입력한 PIN이 카드 발급자가 알고 있는 참조 PIN과 일치하는지 확인합니다.
  • 카드 보안 코드를 확인하거나 ATM 컨트롤러 또는 POS 단말기와 함께 EMV 기반 트랜잭션의 호스트 처리 컴포넌트를 실행하여 신용 카드/직불 카드 트랜잭션을 확인합니다.
  • 스마트 카드(EMV 등)를 사용한 암호화 API 지원
  • PIN 블록을 재암호화하여 다른 인증 호스트에 송신하다
  • 안전한 키 관리를 실행하다
  • POS ATM 네트워크 관리 프로토콜을 지원하다
  • 호스트-호스트 키 데이터 교환 API의 사실상의 표준 지원
  • PIN 메일러 생성 및 인쇄
  • 자기 스트라이프 카드용 데이터 생성(PVV, CVV)
  • 카드 키 세트를 생성하여 스마트 카드의 개인화 프로세스를 지원합니다.

은행 시장에서 HSM의 표준을 만들고 유지하는 주요 조직은 Payment Card Industry Security Standards Council, ANS X9ISO입니다.

SSL 접속 확립

HTTPS(SSL/TLS)사용해야 하는 퍼포먼스 크리티컬애플리케이션에서는, 통상, 복수의 큰 정수 곱셈이 필요한 RSA 조작을 호스트 CPU로부터 HSM 디바이스로 이동함으로써, SSL Acceleration HSM 의 사용의 메리트를 얻을 수 있습니다.일반적인 HSM 디바이스는 초당 [12][13]약 1 ~1024비트 RSA 동작을 실행할 수 있습니다.키 사이즈가 긴 일부 퍼포먼스의 중요성이 높아지고 있습니다.이 문제에 대처하기 위해 일부 HSM은 ECC를 지원하고 있습니다.특수 HSM 디바이스는 [15]초당 20,000회의 조작 수에 도달할 수 있습니다.

DNSSEC

점점 더 많은 레지스트리가 HSM을 사용하여 대형 파일 서명에 사용되는 주요 자료를 저장합니다.OpenDNSEC은 서명 DNS 존파일을 관리하는 오픈소스 도구입니다.

2007년 1월 27일 ICANNVerisign은 미국 상무부의 지원을 받아 DNS [16]루트존용 DNSSEC 도입을 시작했습니다.루트 시그니처의 상세한 것에 대하여는, 루트 DNSSEC [17]의 Web 사이트를 참조해 주세요.

암호지갑

HSM의 [18]암호지갑에 암호화폐를 저장할 수 있다.

「 」를 참조해 주세요.

주 및 참고 자료

  1. ^ Ramakrishnan, Vignesh; Venugopal, Prasanth; Mukherjee, Tuhin (2015). Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF). p. 9. ISBN 9788192974279.
  2. ^ "Secure Sensitive Data with the BIG-IP Hardware Security Module" (PDF). F5 Networks. 2012. Retrieved 30 September 2019.
  3. ^ Gregg, Michael (2014). CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002. John Wiley & Sons. p. 246. ISBN 9781118930847.
  4. ^ "Electronic Tamper Detection Smart Meter Reference Design". freescale. Retrieved 26 May 2015.
  5. ^ "Using Smartcard/Security Tokens". mxc software. Retrieved 26 May 2015.
  6. ^ "World's First Tamper-Proof Server and General Purpose Secure HSM". Private Machines. Retrieved 7 March 2019.
  7. ^ Barker, Elaine; Barker, William C (2019). "Recommendation for key management". Gaithersburg, MD. doi:10.6028/nist.sp.800-57pt2r1. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  8. ^ "Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards". www.pcisecuritystandards.org. Retrieved 2018-05-01.
  9. ^ "Support for Hardware Security Modules". paloalto. Archived from the original on 26 May 2015. Retrieved 26 May 2015.
  10. ^ "Application and Transaction Security / HSM". Provision. Retrieved 26 May 2015.
  11. ^ "Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths". NIST. January 2011. Retrieved March 29, 2011.
  12. ^ F. Demaertelaere. "Hardware Security Modules" (PDF). Atos Worldline. Archived from the original (PDF) on 6 September 2015. Retrieved 26 May 2015.
  13. ^ "Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt". Let's Encrypt. Retrieved 2021-05-19.{{cite web}}: CS1 maint :url-status (링크)
  14. ^ "Barco Silex FPGA Design Speeds Transactions In Atos Worldline Hardware Security Module". Barco-Silex. January 2013. Retrieved April 8, 2013.
  15. ^ "SafeNet Network HSM - Formerly Luna SA Network-Attached HSM". Gemalto. Retrieved 2017-09-21.
  16. ^ "ICANN Begins Public DNSSEC Test Plan for the Root Zone". www.circleid.com. Retrieved 2015-08-17.
  17. ^ 루트 DNSSEC
  18. ^ "Gemalto and Ledger Join Forces to Provide Security Infrastructure for Cryptocurrency Based Activities". gemalto.com. Retrieved 2020-04-20.

외부 링크

Wikimedia Commons에는 하드웨어 보안 모듈과 관련된 미디어가 있습니다.