Sì, non farlo. Vale a dire, non dare per scontato che memorizzerai chiavi da 1m + su un HSM, indipendentemente da chi l'abbia fatto. HSM non sono hard disk. Non usarli come uno.
Alcuni HSM supportano chiavi esterne. Si tratta di chiavi crittografate / avvolte utilizzando una specifica chiave AES-256 (ad esempio), derivata da qualche altra chiave. Questa chiave di derivazione chiave "master" rimane nell'HSM.
Salva i tuoi tasti 1m + su un array raid, o usando un RDBMS, o hadoop o altro. Si. Fa. Non. Importa. dal punto di vista dell'HSM. Ciò che conta è la latenza nella ricerca, ricerca, lettura e invio della chiave all'HSM per la decrittazione e l'uso.
La maggior parte degli HSM fornisce un modo per raggruppare, in modo che se un HSM non è abbastanza veloce per il tuo caso d'uso, puoi raggruppare un secondo (o un terzo, o un quarto o un terzo) accanto ad esso. Queste macchine cluster usano la stessa chiave di derivazione della chiave master, quindi ognuna di esse può decifrare la chiave, usarla e scartarla, senza mai esporla o rischiando compromessi.
Ho generato chiavi da 1 m (RSA 2048) su un cluster di HSM di diverse velocità (penso che ce ne fossero 10, ma era quello che era in laboratorio in quel momento, ed era su un'allodola quindi non ero t mantenere note). Ci sono volute 10 ore per generarli. Utilizzato un'istanza MySQL in una VM per l'archiviazione.