Uskuna xavfsizlik moduli (HSM) bu sirlarni (eng muhimi raqamli kalitlarni) himoya qiluvchi va boshqaradigan, raqamli imzolar uchun shifrlash va shifrni ochish funksiyalarini, kuchli autentifikatsiya va boshqa kriptografik funksiyalarni bajaradigan jismoniy hisoblash qurilmasi hisoblanadi.[1] Ushbu modullar anʼanaviy ravishda plagin kartasi yoki toʻgʻridan-toʻgʻri kompyuter yoki tarmoq serveriga ulanadigan tashqi qurilma shaklida keladi. Uskuna xavfsizlik moduli bir yoki bir nechta xavfsiz kriptoprotsessor chiplarini oʻz ichiga oladi.[2][3]

PCIe formatidagi HSM

Dizayni

tahrir

HSMlar oʻzgartirishning koʻzga koʻrinadigan belgilari, masalan, oʻzgartirish yoki jurnalga yozish va ogohlantirish yoki HSMni ishlamay qolmasdan buzishni qiyinlashtiradigan oʻzgartirishga qarshilik yoki oʻzgartirishlar aniqlanganda kalitlarni oʻchirish kabi oʻzgartirishga javob beradigan xususiyatlarga ega boʻlishi mumkin.[4] Har bir modul oʻzgartirish va avtobusni tekshirishning oldini olish uchun bir yoki bir nechta xavfsiz kriptoprotsessor chiplarini yoki moduldagi chiplar kombinatsiyasini oʻz ichiga oladi, ular soxtalashtirish, buzishga chidamli yoki sezgir oʻrash bilan himoyalangan. Mavjud HSMlarning koʻp qismi asosan maxfiy kalitlarni boshqarish uchun moʻljallangan. Koʻpgina HSM tizimlarida HSM dan tashqarida ishlaydigan kalitlarni xavfsiz zaxiralash uchun vositalar mavjud. Kalitlar oʻralgan holda zaxiralanishi va kompyuter diskida yoki boshqa muhitda saqlanishi yoki aqlli-karta yoki boshqa xavfsizlik tokeni kabi xavfsiz portativ qurilma yordamida tashqarida saqlanishi mumkin.[5]

HSMlar real vaqt rejimida avtorizatsiya qilish va muhim infratuzilmada autentifikatsiya qilish uchun ishlatiladi, shuning uchun odatda toʻplash, avtomatlashtirilgan uzilish va maydonda almashtiriladigan ortiqcha qismlarni oʻz ichiga olgan standart yuqori mavjudlik modellarini qoʻllab-quvvatlash uchun ishlab chiqilgan.

Bozorda mavjud boʻlgan baʼzi HSMlar HSM ning xavfsiz muhofazasi ichida maxsus ishlab chiqilgan modullarni bajarish imkoniyatiga ega. Bunday qobiliyat, masalan, maxsus algoritmlar yoki biznes mantigʻi xavfsiz va boshqariladigan sharoitda bajarilishi kerak boʻlgan vaziyatlarda foydalidir. Modullar ona C tilida ishlab chiqilishi mumkin. NET, Java yoki boshqa dasturlash tillari. Bundan tashqari, kelgusi avlod HSM’lari[6] moslashtirish va qayta dasturlashni talab qilmasdan toʻliq operatsion tizimlar va COTS dasturiy taʼminotini yuklash va ishga tushirish kabi murakkabroq vazifalarni bajarishi mumkin. Bunday noanʼanaviy dizaynlar anʼanaviy HSM-larning mavjud dizayn va ishlash cheklovlarini yengib oʻtadi va shu bilan birga dasturga xos kodni himoya qilish foydasini taʼminlaydi. Ushbu ijro mexanizmlari HSM ning FIPS yoki Common Criteria tekshiruvi holatini himoya qiladi.[7]

Sertifikatlash

tahrir

Ilovalar va infratuzilmani himoya qilishda muhim rol oʻynaganligi sababli, umumiy maqsadli HSM’lar va/yoki kriptografik modullar odatda Umumiy mezonlar (masalan, Himoya profili EN 419 221-5, „Ishonch uchun kriptografik modul“) kabi xalqaro tan olingan standartlarga muvofiq sertifikatlanadi. Xizmatlar") yoki FIPS 140 (hozirgi 3-versiya, odatda FIPS 140-3 deb ataladi). FIPS 140 xavfsizlik sertifikatining eng yuqori darajasiga erishish mumkin boʻlgan Xavfsizlik darajasi 4 boʻlsa-da, HSMlarning aksariyati 3-darajali sertifikatga ega. Common Criteria tizimida eng yuqori EAL (Evaluation Assurance Level) EAL7 hisoblanadi, HSMlarning aksariyati EAL4+ sertifikatiga ega. Moliyaviy toʻlov ilovalarida foydalanilganda, HSM xavfsizligi koʻpincha Toʻlov kartalari sanoati xavfsizligi standartlari kengashi tomonidan belgilangan HSM talablariga muvofiq tasdiqlanadi.[8]

Qoʻllanilishi

tahrir

Uskuna xavfsizlik moduli raqamli kalitlardan foydalanadigan har qanday dasturda ishlatilishi mumkin. Odatda, kalitlar yuqori qiymatga ega boʻladi – agar kalit buzilgan boʻlsa, uning egasiga sezilarli darajada salbiy taʼsir koʻrsatadi.

HSM funksiyalari quyidagilardan iborat:

  • bortda xavfsiz kriptografik kalitlarni yaratish
  • bortda xavfsiz kriptografik kalitlarni saqlash, hech boʻlmaganda yuqori darajadagi va eng sezgir kalitlar uchun, odatda asosiy kalitlar deb ataladi.
  • kalit boshqaruvi
  • kriptografik va maxfiy maʼlumotlar materiallaridan foydalanish, masalan, parolni hal qilish yoki raqamli imzo funktsiyalarini bajarish
  • toʻliq bir xil boʻlmagan (assimetrik) va simmetrik kriptografiya uchun dastur serverlarini tushirish.

HSM’lar, shuningdek, maʼlumotlar bazalari uchun shaffof maʼlumotlarni shifrlash kalitlarini va disk yoki lenta kabi saqlash qurilmalari uchun kalitlarni boshqarish uchun joylashtirilgan.

HSMlar ushbu materiallarni, shu jumladan kriptografik kalitlarni oshkor qilish, ruxsatsiz foydalanish va potensial raqiblardan mantiqiy va jismoniy himoya qiladi.[9]

HSM simmetrik[10] va bir xil boʻlmagan (ochiq kalitli) kriptografiyani qoʻllab-quvvatlaydi. Sertifikat organlari va raqamli imzolash kabi baʼzi ilovalar uchun kriptografik material ochiq kalitli kriptografiyada ishlatiladigan assimetrik kalit juftlari (va sertifikatlar) hisoblanadi.[11] Maʼlumotlarni shifrlash yoki moliyaviy toʻlov tizimlari kabi boshqa ilovalar bilan kriptografik material asosan simmetrik kalitlardan iborat.[12]

Baʼzi HSM tizimlari, shuningdek, qurilma kriptografik tezlatgichlardir. Ular, odatda, nosimmetrik kalit operatsiyalari uchun faqat apparat yechimlarining ishlashini yengib boʻlmaydi. Biroq, sekundiga 1 dan 10 000 tagacha 1024-bitli RSA belgilarining ishlashi bilan HSMlar assimetrik kalit operatsiyalari uchun muhim protsessor yukini taʼminlay oladi. Milliy Standartlar va Texnologiyalar Instituti (NIST) 2010-yildan boshlab 2048 bitli RSA kalitlaridan foydalanishni tavsiya qilganligi sababli[13] uzoqroq kalit oʻlchamlarida ishlash muhimroq boʻldi. Ushbu muammoni hal qilish uchun koʻpchilik HSMlar endi elliptik egri kriptografiyani (ECC) qoʻllab-quvvatlaydi, bu esa qisqaroq kalit uzunliklari bilan kuchliroq shifrlashni taʼminlaydi.

PKI muhiti (CA HSMs)

tahrir

PKI muhitlarida HSMlar assimetrik kalit juftlarini yaratish, saqlash va qayta ishlash uchun sertifikatlashtirish organlari (CA) va roʻyxatga olish organlari (RA) tomonidan ishlatilishi mumkin. Bunday holda, qurilmaning baʼzi asosiy xususiyatlari boʻlishi kerak, xususan:

  • Mantiqiy va jismoniy yuqori darajadagi himoya
  • Koʻp qismli foydalanuvchi avtorizatsiya sxemasi (maxfiy almashishga qarang)
  • Toʻliq audit va jurnal izlari
  • Xavfsiz kalit zaxira nusxasi

Boshqa tomondan, PKI muhitida qurilmaning ishlashi ham onlayn, ham oflayn operatsiyalarda unchalik ahamiyatga ega emas, chunki Roʻyxatdan oʻtish organining tartiblari infratuzilmaning ishlashidagi qiyinchiliklarni anglatadi.

Karta toʻlov tizimi HSMs (bank HSMs)

tahrir

Ixtisoslashgan HSMlar toʻlov kartalari sanoatida qoʻllanadi. HSMlar tranzaksiyalarni qayta ishlash va sanoat standartlariga rioya qilish uchun zarur boʻlgan umumiy maqsadli funktsiyalarni ham, maxsus funksiyalarni ham qoʻllab-quvvatlaydi. Ular odatda standart API xususiyatiga ega emas.

Odatdagi ilovalar tranzaksiyani avtorizatsiya qilish va toʻlov kartasini shaxsiylashtirish boʻlib, ular quyidagi funksiyalarni talab qiladi:

  • foydalanuvchi kiritgan PIN-kod karta maʼlum boʻlgan mos yozuvlar PIN-kodiga mos kelishini tekshiring
  • karta xavfsizlik kodlarini tekshirish yoki ATM kontrolleri yoki POS terminali bilan birgalikda EMV asosidagi tranzaksiyaning xostni qayta ishlash qismlarini amalga oshirish orqali kredit/debit karta tranzaksiyalarini tekshirish
  • aqlli-karta bilan kripto-API-ni qoʻllab-quvvatlash (masalan, EMV)
  • boshqa avtorizatsiya xostiga yuborish uchun PIN blokni qayta shifrlash
  • xavfsiz kalit boshqaruvini amalga oshirish
  • POS ATM tarmogʻini boshqarish protokolini qoʻllab-quvvatlaydi
  • xost-host kalitining de-fakto standartlarini qoʻllab-quvvatlash | maʼlumotlar almashinuvi API
  • „PIN-kod“ni yaratish va chop etish
  • magnit chiziqli karta uchun maʼlumotlarni yaratish (PVV, CVV)
  • karta kalitlarini yaratish va smart-kartalarni shaxsiylashtirish jarayonini qoʻllab-quvvatlash

Bank bozorida HSM standartlarini ishlab chiqaruvchi va qoʻllab-quvvatlovchi asosiy tashkilotlar toʻlov kartalari sanoati xavfsizligi standartlari kengashi, ANS X9 va ISO hisoblanadi.

SSL ulanishini oʻrnatish

tahrir

HTTPS (SSL / TLS) dan foydalanishi kerak boʻlgan ishlash uchun muhim ilovalar, odatda, bir nechta katta butun sonlarni koʻpaytirishni talab qiladigan RSA operatsiyalarini xost protsessoridan HSM qurilmasiga koʻchirish orqali SSL Acceleration HSM dan foydalanishi mumkin. Oddiy HSM qurilmalari soniyasiga 1 dan 10 000 gacha 1024 bitli RSA operatsiyalarini bajarishi mumkin.[14][15] Uzunroq kalit oʻlchamlarida baʼzi ishlash tobora muhim ahamiyat kasb etmoqda. Ushbu muammoni hal qilish uchun baʼzi HSMlar[16] endi ECCni qoʻllab-quvvatlaydi. Ixtisoslashgan HSM qurilmalari soniyasiga 20 000 ta operatsiyani bajarishi mumkin.[17]

DNSSEC

tahrir

Roʻyxatga olish kitoblarining ortib borayotgan soni katta zona fayllarini imzolash uchun ishlatiladigan asosiy materiallarni saqlash uchun HSM’lardan foydalanadi. OpenDNSSEC DNS zonasi fayllarini imzolashni boshqaradigan ochiq manbali vositadir.

2007 yil 27 yanvarda ICANN va Verisign AQSH Savdo vazirligi koʻmagida DNS ildiz zonalari uchun DNSSEC ni oʻrnatishni boshladi.[18] Ildiz imzosi tafsilotlarini Root DNSSEC veb-saytida topish mumkin.[19]

Blokcheyn va HSMlar

tahrir

Blokcheyn texnologiyasi kriptografik operatsiyalarga bogʻliq. Shaxsiy kalitlarni himoya qilish bir xil boʻlmagan (assimetrik) kriptografiyadan foydalanadigan blokcheyn jarayonlari xavfsizligini taʼminlash uchun zarurdir.

HSM va blokcheyn oʻrtasidagi sinergiya bir nechta maqolalarda eslatib oʻtilgan va ularning shaxsiy kalitlarni himoya qilish va identifikatsiyani tekshirishdagi rolini taʼkidlaydi, masalan, blokcheynga asoslangan mobillik echimlari kabi kontekstlarda.[20][21]

Hyperledger tizimidagi Fabric tugunlari tomonidan amalga oshirilgan kriptografik operatsiyalar qurilma xavfsizligi moduliga delegatsiyani qoʻllab-quvvatlaydi.[22]

Kriptovalyuta hamyoni

tahrir

Kriptovalyutaning shaxsiy kalitlari HSM-dagi kriptovalyuta hamyonida saqlanishi mumkin.[23]

Shuningdek koʻrishingiz mumkin:

tahrir
  • Elektron pul oʻtkazmalari
  • FIPS 140
  • Ochiq kalitlar infratuzilmasi
  • PKCS 11
  • Xavfsiz kriptoprotsessor
  • Xavfsizlik belgisi
  • Shaffof maʼlumotlarni shifrlash
  • Xavfsizlik kaliti
  • Ishonchli platforma moduli

Foydalanilgan adabiyotlar:

tahrir
  1. Sommerhalder, Maria (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard (muh.), „Hardware Security Module“, Trends in Data Protection and Encryption Technologies (inglizcha), Cham: Springer Nature Switzerland, 83–87-bet, doi:10.1007/978-3-031-33386-6_16, ISBN 978-3-031-33386-6, qaraldi: 2023-09-12
  2. Ramakrishnan, Vignesh. Proceedings of the International Conference on Information Engineering, Management and Security 2015: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF), 2015 — 9-bet. ISBN 9788192974279. 
  3. Gregg, Michael. CASP CompTIA Advanced Security Practitioner Study Guide: Exam CAS-002. John Wiley & Sons, 2014 — 246-bet. ISBN 9781118930847. 
  4. „Electronic Tamper Detection Smart Meter Reference Design“. freescale. Qaraldi: 2015-yil 26-may.
  5. „Using Smartcard/Security Tokens“. mxc software. Qaraldi: 2015-yil 26-may.
  6. „World's First Tamper-Proof Server and General Purpose Secure HSM“. Private Machines. Qaraldi: 2019-yil 7-mart.
  7. Barker, Elaine; Barker, William C (2019). Recommendation for key management. Gaithersburg, MD. doi:10.6028/nist.sp.800-57pt2r1. 
  8. „Official PCI Security Standards Council Site - Verify PCI Compliance, Download Data Security and Credit Card Security Standards“ (en). www.pcisecuritystandards.org. Qaraldi: 2018-yil 1-may.
  9. „Support for Hardware Security Modules“. paloalto. 2015-yil 26-mayda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.
  10. „Secure Sensitive Data with the BIG-IP Hardware Security Module“. F5. F5 Networks (2012). Qaraldi: 2023-yil 28-aprel.
  11. „Application and Transaction Security / HSM“. Provision. 2022-yil 19-martda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.
  12. „IBM i: Cryptography concepts“ (en-us). www.ibm.com. Qaraldi: 2023-yil 29-mart.
  13. „Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths“. NIST (2011-yil yanvar). Qaraldi: 2011-yil 29-mart.
  14. F. Demaertelaere. „Hardware Security Modules“. Atos Worldline. 2015-yil 6-sentyabrda asl nusxadan arxivlangan. Qaraldi: 2015-yil 26-may.
  15. „Preparing to Issue 200 Million Certificates in 24 Hours - Let's Encrypt“. Let's Encrypt. Qaraldi: 2021-yil 19-may.
  16. „Barco Silex FPGA Design Speeds Transactions In Atos Worldline Hardware Security Module“. Barco-Silex (2013-yil yanvar). Qaraldi: 2013-yil 8-aprel.
  17. „SafeNet Network HSM - Formerly Luna SA Network-Attached HSM“. Gemalto. Qaraldi: 2017-yil 21-sentyabr.
  18. „ICANN Begins Public DNSSEC Test Plan for the Root Zone“. www.circleid.com. Qaraldi: 2015-yil 17-avgust.
  19. Root DNSSEC
  20. Shbair, Wazen M. „HSM-based Key Management Solution for Ethereum Blockchain“, . 2021 IEEE International Conference on Blockchain and Cryptocurrency (ICBC), May 2021 — 1–3-bet. DOI:10.1109/ICBC51069.2021.9461136. ISBN 978-1-6654-3578-9.  (Wayback Machine saytida 2022-07-06 sanasida arxivlangan)
  21. Pirker, Dominic „Velink - A Blockchain-based Shared Mobility Platform for Private and Commercial Vehicles utilizing ERC-721 Tokens“, . 2021 IEEE 5th International Conference on Cryptography, Security and Privacy (CSP), January 2021 — 62–67-bet. DOI:10.1109/CSP51677.2021.9357605. ISBN 978-1-7281-8621-4. 
  22. „Using a Hardware Security Module (HSM) — hyperledger-fabricdocs main documentation“. hyperledger-fabric.readthedocs.io. Qaraldi: 2023-yil 7-avgust.
  23. „Gemalto and Ledger Join Forces to Provide Security Infrastructure for Cryptocurrency Based Activities“. gemalto.com (2017-yil 4-oktyabr). Qaraldi: 2020-yil 20-aprel.