हार्डवेयर सुरक्षा मॉड्यूल

एक हार्डवेयर सुरक्षा मॉड्यूल (HSM) एक भौतिक कंप्यूटिंग डिवाइस है जो रहस्यों (सबसे महत्वपूर्ण रूप से डिजिटल कुंजियों) की सुरक्षा और आयोजन करता है, डिजिटल हस्ताक्षर, मजबूत प्रमाणीकरण और अन्य क्रिप्टोग्राफ़िक कार्यों के लिए कूटलेखन और डिक्रिप्शन कार्य करता है। ये मॉड्यूल परंपरागत रूप से एक प्लग-इन कार्ड या एक बाहरी डिवाइस के रूप में आते हैं जो सीधे संगणक या सर्वर (कंप्यूटिंग) से जुड़ते हैं। एक हार्डवेयर सुरक्षा मॉड्यूल में एक या अधिक सुरक्षित क्रिप्टोप्रोसेसर एकीकृत सर्किट होता है।

डिजाइन
HSM में ऐसी विशेषताएँ हो सकती हैं जो छेड़छाड़ के प्रमाण प्रदान करती हैं जैसे कि छेड़छाड़ या लॉगिंग और अलर्ट के दृश्य संकेत, या छेड़छाड़ प्रतिरोध जो HSM को निष्क्रिय किए बिना छेड़छाड़ करना मुश्किल बनाता है, या छेड़छाड़ का पता लगाने पर चाबियों को हटाने जैसी जवाबदेही से छेड़छाड़ करता है।

प्रत्येक मॉड्यूल में छेड़छाड़ और Bus_analyzer, या मॉड्यूल में चिप्स के संयोजन को रोकने के लिए एक या एक से अधिक सुरक्षित क्रिप्टोप्रोसेसर चिप्स होते हैं जो छेड़छाड़ के सबूत, छेड़छाड़ प्रतिरोधी, या उत्तरदायी पैकेजिंग से सुरक्षित होते हैं।

मौजूदा एचएसएम का एक बड़ा हिस्सा मुख्य रूप से गुप्त कुंजियों को प्रबंधित करने के लिए डिज़ाइन किया गया है। कई HSM सिस्टम के पास उन चाबियों का सुरक्षित रूप से बैकअप लेने का साधन है जिन्हें वे HSM के बाहर संभालते हैं। कुंजियों को लिपटे हुए रूप में बैकअप किया जा सकता है और डिस्क भंडारण या अन्य मीडिया पर संकलित किया जा सकता है, या बाहरी रूप से एक सुरक्षित पोर्टेबल डिवाइस जैसे स्मार्ट कार्ड या किसी अन्य सुरक्षा टोकन का उपयोग किया जा सकता है।

एचएसएम का उपयोग वास्तविक समय प्राधिकरण और महत्वपूर्ण बुनियादी ढांचे में सिद्धि करने के लिए किया जाता है, इस प्रकार सामान्यतः कंप्यूटर क्लस्टर, स्वचालित विफलता, और अनावश्यक फ़ील्ड-बदली जाने योग्य घटकों सहित मानक उच्च उपलब्धता मॉडल का समर्थन करने के लिए इंजीनियर किया जाता है।

बाजार में उपलब्ध कुछ एचएसएम में एचएसएम के सुरक्षित बाड़े के भीतर विशेष रूप से विकसित मॉड्यूल को निष्पादित करने की क्षमता है। ऐसी क्षमता उपयोगी है, उदाहरण के लिए, ऐसी स्थितियों में जहां सुरक्षित और नियंत्रित वातावरण में विशेष एल्गोरिदम या व्यावसायिक तर्क को निष्पादित किया जाना है। मॉड्यूल देशी सी (प्रोग्रामिंग भाषा), .NET, जावा (प्रोग्रामिंग भाषा), या अन्य प्रोग्रामिंग भाषाओं में विकसित किए जा सकते हैं। इसके अतिरिक्त, आगामी अगली पीढ़ी के एचएसएम अधिक जटिल कार्यों को संभाल सकता है जैसे पूर्ण ऑपरेटिंग सिस्टम को लोड करना और चलाना और कस्टमाइज़ेशन और रीप्रोग्रामिंग की आवश्यकता के बिना कमर्शियल_ऑफ-द-शेल्फ सॉफ़्टवेयर। इस तरह के अपरंपरागत डिजाइन पारंपरिक एचएसएम के मौजूदा डिजाइन और प्रदर्शन की सीमाओं को दूर करते हैं। एप्लिकेशन-विशिष्ट कोड को सुरक्षित करने का लाभ प्रदान करते हुए, ये निष्पादन इंजन HSM के संघीय सूचना प्रसंस्करण मानक या सामान्य मानदंड सत्यापन की स्थिति की रक्षा करते हैं।

सुरक्षा
अनुप्रयोगों और बुनियादी ढांचे को सुरक्षित करने में उनकी महत्वपूर्ण भूमिका निभाने के कारण, सामान्य उद्देश्य एचएसएम और / या क्रिप्टोग्राफ़िक मॉड्यूल सामान्यतः अंतरराष्ट्रीय स्तर पर मान्यता प्राप्त मानकों के अनुसार प्रमाणित होते हैं जैसे सामान्य मानदंड (उदाहरण के लिए सुरक्षा प्रोफ़ाइल EN 419 221-5, ट्रस्ट सेवाओं के लिए क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग करना) ) या FIPS 140 (वर्तमान में तीसरा संस्करण, जिसे प्रायः FIPS 140-3 के रूप में संदर्भित किया जाता है) उपयोगकर्ताओं को स्वतंत्र आश्वासन प्रदान करने के लिए कि उत्पाद और क्रिप्टोग्राफ़िक एल्गोरिदम का डिज़ाइन और परिपालन सही है। चूंकि FIPS 140 सुरक्षा प्रमाणन का उच्चतम स्तर प्राप्त करने योग्य सुरक्षा स्तर 4 है, अधिकांश HSM के पास स्तर 3 प्रमाणन है। सामान्य मानदंड प्रणाली में उच्चतम EAL (मूल्यांकन आश्वासन स्तर) EAL7 है, अधिकांश HSM के पास EAL4+ प्रमाणन है। जब वित्तीय भुगतान अनुप्रयोगों में उपयोग किया जाता है, तो एचएसएम की सुरक्षा प्रायः भुगतान कार्ड उद्योग सुरक्षा मानक परिषद द्वारा परिभाषित एचएसएम आवश्यकताओं के खिलाफ मान्य होती है।.

उपयोग करता है
डिजिटल कुंजी का उपयोग करने वाले किसी भी एप्लिकेशन में एक हार्डवेयर सुरक्षा मॉड्यूल नियोजित किया जा सकता है। सामान्यतः चाबियां उच्च मूल्य की होंगी - जिसका अर्थ है कि कुंजी के मालिक के लिए एक महत्वपूर्ण, नकारात्मक प्रभाव होगा यदि यह समझौता किया गया था।

एचएसएम के कार्य हैं:
 * जहाज पर सुरक्षित क्रिप्टोग्राफिक कुंजी पीढ़ी
 * ऑनबोर्ड सुरक्षित क्रिप्टोग्राफिक कुंजी भंडारण,न्यूनतम शीर्ष स्तर और सबसे संवेदनशील कुंजियों के लिए, जिन्हें प्रायः मास्टर कुंजी कहा जाता है
 * महतवपूर्ण प्रबंधन
 * क्रिप्टोग्राफ़िक और संवेदनशील डेटा सामग्री का उपयोग, उदाहरण के लिए, डिक्रिप्शन या डिजिटल हस्ताक्षर कार्य करना
 * संपूर्ण अ[[सममित क्रिप्टोग्राफी]] और सममित क्रिप्टोग्राफी के लिए एप्लिकेशन सर्वर को ऑफलोड करना।

HSM को डेटाबेस के लिए पारदर्शी डेटा एन्क्रिप्शन कुंजी और डिस्क एन्क्रिप्शन या चुंबकीय टेप डेटा संग्रहण जैसे संग्रहण उपकरणों के लिए कुंजियों को प्रबंधित करने के लिए भी तैनात किया गया है।

HSM प्रकटीकरण, गैर-अधिकृत उपयोग और संभावित विरोधियों से क्रिप्टोग्राफ़िक कुंजियों सहित इन सामग्रियों की तार्किक और भौतिक सुरक्षा दोनों प्रदान करते हैं।

एचएसएम सममित और असममित (सार्वजनिक-कुंजी)सार्वजनिक कुंजी क्रिप्टोग्राफी दोनों का समर्थन करते हैं। कुछ अनुप्रयोगों के लिए, जैसे प्रमाणपत्र प्राधिकरण और डिजिटल हस्ताक्षर, क्रिप्टोग्राफ़िक सामग्री असममित कुंजी जोड़े (और प्रमाणपत्र) हैं जो सार्वजनिक-कुंजी क्रिप्टोग्राफी में उपयोग की जाती हैं। अन्य अनुप्रयोगों के साथ, जैसे डेटा एन्क्रिप्शन या वित्तीय भुगतान प्रणाली, क्रिप्टोग्राफ़िक सामग्री में मुख्य रूप से सममित-कुंजी एल्गोरिथम होता है।

कुछ एचएसएम सिस्टम हार्डवेयर एसएसएल त्वरण भी हैं। वे सामान्यतः सममित कुंजी संचालन के लिए केवल-हार्डवेयर समाधान के प्रदर्शन को हरा नहीं सकते हैं। चूंकि, प्रति सेकंड 1 से 10,000 1024-बिट आरएसए (एल्गोरिदम) संकेतों के प्रदर्शन के साथ, एचएसएम असममित कुंजी संचालन के लिए महत्वपूर्ण सीपीयू ऑफलोड प्रदान कर सकते हैं। चूंकि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) वर्ष 2010 से 2,048 बिट आरएसए कुंजियों के उपयोग की सिफारिश कर रहा है, लंबे कुंजी आकारों पर प्रदर्शन अधिक महत्वपूर्ण हो गया है। इस मुद्दे को हल करने के लिए, अधिकांश एचएसएम अब अंडाकार वक्र क्रिप्टोग्राफी (ईसीसी) का समर्थन करते हैं, जो छोटी कुंजी लंबाई के साथ मजबूत एन्क्रिप्शन प्रदान करता है।

पीकेआई पर्यावरण (सीए एचएसएम)
सार्वजनिक कुंजी अवसंरचना वातावरण में, HSMs का उपयोग प्रमाणन प्राधिकरण (CAs) और पंजीकरण प्राधिकरण (RAs) द्वारा असममित कुंजी जोड़े को उत्पन्न करने, संकलित करने और संभालने के लिए किया जा सकता है। इन स्थितियों में, डिवाइस में कुछ मूलभूत विशेषताएं होनी चाहिए, अर्थात्:
 * तार्किक और भौतिक उच्च स्तरीय सुरक्षा
 * बहु-भाग उपयोगकर्ता प्राधिकरण स्कीमा (गुप्त साझाकरण देखें)
 * पूर्ण ऑडिट और लॉग ट्रेस
 * सुरक्षित कुंजी बैकअप

दूसरी ओर, पीकेआई वातावरण में डिवाइस का प्रदर्शन सामान्यतः ऑनलाइन और ऑफलाइन दोनों परिचालनों में कम महत्वपूर्ण होता है, क्योंकि पंजीकरण प्राधिकरण प्रक्रियाएं बुनियादी ढांचे की प्रदर्शन बाधा का प्रतिनिधित्व करती हैं।

कार्ड भुगतान प्रणाली एचएसएम (बैंक एचएसएम)
भुगतान कार्ड उद्योग में विशिष्ट एचएसएम का उपयोग किया जाता है। एचएसएम लेन-देन को संसाधित करने और उद्योग मानकों का अनुपालन करने के लिए आवश्यक सामान्य-उद्देश्य कार्यों और विशेष कार्यों दोनों का समर्थन करते हैं। वे सामान्यतः एक मानक अप्लिकेशन प्रोग्रामिंग अंतरफलक की सुविधा नहीं देते हैं।

विशिष्ट अनुप्रयोग लेनदेन प्राधिकरण और भुगतान कार्ड व्यक्तिकरण हैं, जैसे कार्यों की आवश्यकता होती है:


 * सत्यापित करें कि उपयोगकर्ता द्वारा दर्ज किया गया पिन कार्ड जारीकर्ता को ज्ञात संदर्भ पिन से मेल खाता है
 * कार्ड सुरक्षा कोड की जांच करके या एटीएम नियंत्रक या भुगतान टर्मिनल के संयोजन के साथ ईएमवी आधारित लेनदेन के मेजबान प्रसंस्करण घटकों को निष्पादित करके क्रेडिट/डेबिट कार्ड लेनदेन को सत्यापित करें
 * स्मार्ट कार्ड (जैसे ईएमवी) के साथ क्रिप्टो-एपीआई का समर्थन करें
 * किसी अन्य प्राधिकरण होस्ट को भेजने के लिए पिन ब्लॉक को पुनः एन्क्रिप्ट करें
 * सुरक्षित कुंजी प्रबंधन करें
 * पीओएस एटीएम नेटवर्क प्रबंधन के एक प्रोटोकॉल का समर्थन करें
 * होस्ट-होस्ट कुंजी के वास्तविक मानकों का समर्थन करें डेटा एक्सचेंज एपीआई
 * एक पिन मेलर जनरेट करें और प्रिंट करें
 * एक चुंबकीय पट्टी कार्ड (पीवीवी, कार्ड सत्यापन मूल्य) के लिए डेटा उत्पन्न करें
 * कार्ड कीसेट उत्पन्न करें और स्मार्ट कार्ड के लिए निजीकरण प्रक्रिया का समर्थन करें

बैंकिंग बाजार पर एचएसएम के मानकों का उत्पादन और रखरखाव करने वाले प्रमुख संगठन भुगतान कार्ड उद्योग सुरक्षा मानक परिषद, एएससी X9 9 और मानकीकरण के लिए अंतर्राष्ट्रीय संगठन हैं।

एसएसएल कनेक्शन स्थापना
प्रदर्शन-महत्वपूर्ण अनुप्रयोग जिन्हें HTTPS (सुरक्षित सॉकेट लेयर / परिवहन परत सुरक्षा) का उपयोग करना है, RSA संचालन को स्थानांतरित करके SSL त्वरण HSM के उपयोग से लाभान्वित हो सकते हैं, जिसके लिए सामान्यतः मेजबान CPU से HSM तक कई बड़े पूर्णांक गुणन की आवश्यकता होती है। उपकरण। विशिष्ट एचएसएम डिवाइस लगभग 1 से 10,000 1024-बिट आरएसए संचालन/सेकंड कर सकते हैं। लंबे कुंजी आकारों में कुछ प्रदर्शन तेजी से महत्वपूर्ण होता जा रहा है। इस मुद्दे को हल करने के लिए, कुछ एचएसएम अब ईसीसी का समर्थन करें। विशिष्ट HSM डिवाइस प्रति सेकंड 20,000 ऑपरेशन तक की संख्या तक पहुँच सकते हैं।

डीएनएसएसईसी
रजिस्ट्रियों की बढ़ती संख्या एचएसएम का उपयोग प्रमुख सामग्री को संकलित करने के लिए करती है जिसका उपयोग बड़े app पर हस्ताक्षर करने के लिए किया जाता है। OpenDNSSEC एक ओपन-सोर्स टूल है जो DNS जोन फ़ाइल पर हस्ताक्षर करने का प्रबंधन करता है।

27 जनवरी, 2007 को ICANN और Verisign ने U.S. डिपार्टमेंट ऑफ कॉमर्स के समर्थन से DNS रूट ज़ोन के लिए डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन को तैनात करना प्रारंभ कर दिया। रूट हस्ताक्षर का विवरण रूट डीएनएसएसईसी की वेबसाइट पर पाया जा सकता है।

क्रिप्टोक्यूरेंसी वॉलेट
क्रिप्टोक्यूरेंसी निजी कुंजी को एचएसएम पर क्रिप्टोक्यूरेंसी वॉलेट में संकलित किया जा सकता है।

यह भी देखें

 * विद्युत धन स्थानान्तरण
 * एफआईपीएस 140
 * सार्वजनिक मुख्य बुनियादी सुविधा
 * पीकेसीएस 11
 * सुरक्षित क्रिप्टोप्रोसेसर
 * सुरक्षा टोकन
 * पारदर्शी डेटा एन्क्रिप्शन
 * सुरक्षा स्विच
 * विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल

बाहरी संबंध

 * Current NIST FIPS-140 certificates
 * Current CC certificates for HSMs (under "Products for digital signatures")
 * A Review of Hardware Security Modules