Tipici token USB (Nitrokey, YubiKey ...) consentono a un utente comune di memorizzare le chiavi PGP e di usarle per crittografare e-mail, hard disk e così via.
Gli stessi fornitori offrono anche prodotti distinti denominati HSM ( Nitrokey HSM , YubiHSM ). Il caso d'uso suggerito protegge i certificati CA. Hanno anche un fattore di forma token USB.
Perché è necessario un prodotto hardware diverso per questo caso d'uso?
I moduli di sicurezza hardware (HSM) sono utilizzati in sistemi in cui un'azienda ha stabilito che il rischio implicato richiede un livello più elevato di controllo di una chiave personale.
L'uso di HSM per le autorità di certificazione
Gli HSM sono comuni per le applicazioni CA, in genere quando una società esegue la propria CA interna e devono proteggere la chiave privata CA principale e quando i RA devono generare, archiviare e gestire coppie di chiavi asimmetriche.
Utilizza al di fuori di una CA
Gli HSM sono consigliati per un sistema di sicurezza di accesso privilegiato di una società. Questi sistemi usano il concetto di "caveau" che viene sbloccato tramite una chiave o più chiavi. Queste chiavi di solito sono richieste solo all'avvio del vault.
Con i sistemi di archiviazione, le opzioni di archiviazione in genere sono:
Nei sistemi sicuri, questo consente di generare una chiave senza che un essere umano debba accedervi, memorizzata in un sistema conforme a FIPS Level 2+ e accessibile solo all'avvio di un sistema.
Uso di una chiave USB rispetto a un HSM
In primo luogo, gli utenti finali USB sono progettati per l'accesso degli utenti finali. Stanno memorizzando le chiavi che potrebbero autenticarle, avere chiavi di crittografia per i dati di cui sono responsabili o fanno parte di un processo che identifica l'utente è chi dicono di essere.
Esempi di questo sono l'uso di un YubiKey per contenere la chiave di crittografia privata per i dati aziendali sensibili. Potresti avere accesso a un segreto commerciale o eseguire analisi su dati critici di conformità quali dati PII e Healthcare o dati della carta di credito.
Gli HSM non sono progettati per essere un'unità di autenticazione personale. Sono installati sui server per garantire generazione, archiviazione, auditing e distribuzione sicura delle chiavi per applicazioni e sistemi ad alto rischio.
Gli esempi includono la memorizzazione dei certificati server per l'autenticazione tra i sistemi, le chiavi di crittografia utilizzate dai processi ma che non devono essere viste dagli utenti e le chiavi condivise tra i server utilizzati per accedere ai dati crittografati o stabilire connessioni crittografate.
Pseudo-Sommario
Potresti pensare ai casi d'uso in termini di sistemi di versetti delle persone.
Se una società ha la necessità di fornire una maggiore sicurezza dei sistemi che una persona usa richiedono l'accesso come parte del lavoro, qualcosa come un YubiKey ha senso.
Se una società ha la necessità di fornire maggiore sicurezza ai sistemi in cui i processi e i sistemi stessi necessitano di accesso, ma un utente non dovrebbe normalmente essere tenuto a conoscere, allora un HSM è l'opzione migliore.
Aneddoto
Immagina di andare in giro con la chiave dell'autorità di certificazione della tua azienda in tasca che fornisce l'autenticità per 1200 server e che Key ti ha fatto un buco nei pantaloni. Ora immagina l'incubo di dover ri-emettere un nuovo certificato CA, tutti i nuovi certificati di firma e tutti i certificati del server.
edita:
Su suggerimento di @MikeOunsworth, ho aggiornato e ampliato questa risposta.
[Questa è una speculazione basata sul sito Web del fornitore - Non ho esperienza diretta con questi dispositivi]
La mia ipotesi è che una versione HSM specializzata del dispositivo non sia richiesta , ma dal momento che è progettata per questo caso d'uso specifico, avrà più funzioni su misura per questo caso d'uso. Molto simile a come non bisogno di un martello per guidare le unghie; puoi usare il manico di un cacciavite.
Prendendo come esempio il foglio di confronto dei prodotti Nitrokey, possiamo vedere che i dispositivi degli utenti finali supportano un'ampia gamma di applicazioni per l'utente finale come PGP e 2FA / OTP, un gestore di password integrato, archiviazione USB crittografata sul dispositivo, ecc. Nel frattempo, l'HSM supporta solo keypair crittografici, può contenere molti altri keypair e ha caratteristiche specifiche per la gestione delle chiavi PKI / CA.
Leggi altre domande sui tag physical key-management key hsm hardware-token