Qual è la differenza tra HSM e Key Server?

11

Come da requisiti PCI-DSS, dobbiamo utilizzare HSM (Hardware Security Module) o Key Server per memorizzare KEK (Key Encryption Key).

Se sto memorizzando un DEK crittografato (Data Encryption Key) in un App Server, come posso archiviare in modo sicuro il KEK che crittografa il DEK?

Le due opzioni:

  • Se decido di utilizzare un server delle chiavi, se qualcuno ha eseguito l'accesso al server delle app, potrebbe facilmente accedere al server delle chiavi. Quindi, come proteggere il mio server delle chiavi?

  • Se HSM viene utilizzato per l'archiviazione di KEK, se qualcuno esegue l'hacking sul mio server delle app, può anche hackerare il mio HSM?

Quale dei due sarebbe un modo più sicuro, HSM o un server di chiavi?

    
posta nathi 03.03.2014 - 11:09
fonte

1 risposta

7

Il punto di un server delle chiavi o HSM è di isolare l'applicazione dalla memoria (e potenzialmente dall'uso) della chiave. Idealmente, si consiglia di scaricare e valutare il limite di tutte le operazioni di crittografia su HSM o Key Server in modo che l'applicazione non abbia mai accesso alla chiave di decrittografia.

Ciò consente di eseguire rilevazioni di intrusione come i limiti di velocità e tali da impedire la decrittografia di massa dei record se il server delle applicazioni è compromesso. L'autore dell'attacco potrebbe ancora accodare i record da passare attraverso HSM o Keyserver per la decrittografia, tuttavia il picco della frequenza delle richieste inizierà a generare bandiere rosse che potrebbero essersi verificate.

O potrebbe potenzialmente essere più sicuro poiché entrambi forniscono lo stesso tipo di isolamento. Un server chiave fornisce un grado più elevato di isolamento fisico, ma a seconda dell'implementazione, la complessità può lasciare una superficie di attacco più ampia. Gli HSM d'altra parte sono più semplici, ma anche locali. In entrambi i casi, se implementato correttamente, solo una vulnerabilità nelle interfacce stesse dovrebbe consentire la perdita della chiave.

    
risposta data 03.03.2014 - 15:46
fonte

Leggi altre domande sui tag