O que é um Módulo de Segurança de Hardware (HSM)?
No contexto da segurança cibernética, o HSM é um dispositivo de hardware usado como armazenamento dedicado para chaves criptográficas e um ambiente de execução dedicado para operações criptográficas. Esses dispositivos de hardware devem ser armazenados em uma instalação segura e montados em um rack dedicado. Os exemplos típicos de dispositivos HSM são um dispositivo HSM baseado em rede, PCI HSM, carteira de criptomoeda, TEE (Trusted Execution Environment), TPM (Trusted Platform Module) e um cartão inteligente e, embora nem todos esses dispositivos forneçam o mesmo nível de garantia, atendam aos mesmos requisitos regulatórios/de conformidade e forneçam as mesmas propriedades de segurança, todos eles compartilham as mesmas características definidoras de um HSM.
- Armazenamento seguro dedicado para chaves criptográficas;
- Ambiente de execução dedicado para operações criptográficas.
Onde e por que os HSMs são usados?
Embora a abordagem mais cautelosa à criptografia aplicada seja de código aberto e revisada por muitos, em oposição à de código fechado e proprietária, na literatura técnica contemporânea (em maio de 2022), os HSMs são definidos como a maneira mais segura de armazenar uma chave criptográfica e uma raiz de confiança . O termo raiz de confiança significa que o dispositivo HSM como um produto fornece o mais alto nível possível de garantia. Em outras palavras, o HSM garante que o que você colocar dentro do HSM ou o que você executar dentro do HSM permanecerá seguro ou, em caso de violação, fornecerá um log de auditoria detalhado da tentativa (inviolável) ou destruirá as chaves criptográficas armazenadas dentro do HSM antes que elas possam ser usadas indevidamente/exfiltradas, em vez de divulgá-las (resistente à violação). O HSM também contribui para vários princípios de arquitetura de segurança e criptografia, direta ou indiretamente:
- Seguro por padrão
- Falhe com segurança
- Defesa em profundidade
- Menor privilégio
- Separação de funções
- Sanitização segura de dados
- Isolamento
- Princípio de Kerckhoff
O HSM também está protegendo dados confidenciais em todos os três estados:
- Dados em trânsito (predominantemente TLS);
- Dados em repouso (predominantemente criptografia de armazenamento);
- Dados em uso (predominantemente TEE; dentro da CPU como um enclave físico ou como um dispositivo TEE separado).
Como alguns exemplos, você encontrará o HSM integrado às seguintes soluções de segurança cibernética:
- Soluções de assinatura digital, por exemplo, assinatura de documentos (PDF, XML), assinatura de asserções SAML;
- Sistemas de emissão de cartões, por exemplo, emissão de certificados digitais que são registrados em cartões inteligentes;
- DNSSEC, DNS sobre TLS;
- PKI ( Infraestrutura de Chave Pública ), por exemplo, como um dispositivo HSM separado que se integra com a CA ( Autoridade Certificadora ) ou como uma plataforma PKI onde o software da CA e o HSM constituem um único dispositivo físico;
- CKM (Gerenciamento de Chaves Criptográficas) ou EKM (Gerenciamento de Chaves Corporativas);
- MPC (Computação Multipartidária);
- DLT (Tecnologia de Registro Distribuído);
- Nuvem, por exemplo, HSM como serviço ou CKM como serviço.
Melhores práticas ao operar HSMs
A lista a seguir não é uma lista exaustiva de boas práticas ao integrar ou operar HSMs, mas apenas práticas mais críticas a serem levadas a sério.
- Configure uma fonte segura de tempo e o fuso horário correto.
- Configure o registro de auditoria ANTES de inicializar o HSM e não depois.
- Mantenha um inventário atualizado da configuração do HSM e da política de partição para cada integração do HSM na sua organização.
- Revise cada configuração do HSM com o fornecedor do HSM até ter uma compreensão clara do que cada configuração do HSM faz.
- Ao realizar qualquer atividade com o HSM, leia cada prompt 2 a 3 vezes antes de digitar “sim” ou pressionar um botão.
- Ao executar qualquer atividade do HSM que exija uma senha fornecida pelo usuário, certifique-se de saber exatamente o que você tem na sua área de transferência.
- Ao fazer qualquer alteração no HSM, certifique-se de que todas as partes interessadas responsáveis entendam o impacto da alteração (lembre-se: nem todo mundo é especialista em criptografia) e obtenha sua aprovação por escrito.
- Execute revisões periódicas e automatizadas da configuração do HSM.
- Os backups do HSM devem ser armazenados com a mesma segurança ou mais segurança que os dispositivos HSM e testados regularmente.
- O ambiente de teste do HSM deve ser a réplica exata do ambiente do HSM de produção, ou seja, firmware, software e alta disponibilidade.
- Realizar testes de HSM com dados sintéticos/não produtivos.
- Não utilize o MofN a menos que você possa garantir a separação geográfica, legislativa ou, pelo menos, lógica dos detentores individuais das ações da chave.
- Tenha em mente que o valor de uma chave criptográfica armazenada dentro do HSM é o valor total de todos os ativos que a chave criptográfica protege.
O futuro dos HSMs
Atualmente, há diversas áreas de interesse na área de criptografia aplicada onde o HSM continuará a desempenhar um papel crítico.
- Computação confidencial;
- Blockchain;
- Computação multipartidária (criptografia que preserva a privacidade entre partes distintas);
- Criptografia homomórfica (criptografia que preserva a privacidade);
- Criptografia Pós-Quântica (PQC);
- Atualmente, existem muitas incógnitas em torno de algumas dessas áreas ou questões práticas, e somente o tempo e uma pesquisa contínua dirão o resultado. Provavelmente, a maior preocupação com a criptografia aplicada atual (por exemplo, PKI, assinatura de documentos, TLS, criptografia de armazenamento) é a PQC (Criptografia Pós-Quântica).
Fonte: Lukáš Geyer – https://blog.ascertia.com/the-importance-of-hardware-security-modules-before-and-after-post-quantum-cryptography
