RAID sulla rete HSM

1

Voglio implementare una rete di HSM per proteggere milioni di chiavi private. Per aumentare la tolleranza e la velocità degli errori, vorrei che questa rete esegua RAID 50 (striping, parità e duplicazione). Come ho capito, uno dei punti chiave di HSM è che non condividono mai le loro chiavi. Questo significa che non posso eseguire RAID (perché non riesco a replicare le chiavi)? O che quella "normale" rete di server con qualche software crittografico sarebbe altrettanto buona di una rete HSM per questo scopo?

    
posta StormChaser 31.01.2018 - 14:23
fonte

4 risposte

4

Sì, non farlo. Vale a dire, non dare per scontato che memorizzerai chiavi da 1m + su un HSM, indipendentemente da chi l'abbia fatto. HSM non sono hard disk. Non usarli come uno.

Alcuni HSM supportano chiavi esterne. Si tratta di chiavi crittografate / avvolte utilizzando una specifica chiave AES-256 (ad esempio), derivata da qualche altra chiave. Questa chiave di derivazione chiave "master" rimane nell'HSM.

Salva i tuoi tasti 1m + su un array raid, o usando un RDBMS, o hadoop o altro. Si. Fa. Non. Importa. dal punto di vista dell'HSM. Ciò che conta è la latenza nella ricerca, ricerca, lettura e invio della chiave all'HSM per la decrittazione e l'uso.

La maggior parte degli HSM fornisce un modo per raggruppare, in modo che se un HSM non è abbastanza veloce per il tuo caso d'uso, puoi raggruppare un secondo (o un terzo, o un quarto o un terzo) accanto ad esso. Queste macchine cluster usano la stessa chiave di derivazione della chiave master, quindi ognuna di esse può decifrare la chiave, usarla e scartarla, senza mai esporla o rischiando compromessi.

Ho generato chiavi da 1 m (RSA 2048) su un cluster di HSM di diverse velocità (penso che ce ne fossero 10, ma era quello che era in laboratorio in quel momento, ed era su un'allodola quindi non ero t mantenere note). Ci sono volute 10 ore per generarli. Utilizzato un'istanza MySQL in una VM per l'archiviazione.

    
risposta data 01.02.2018 - 01:14
fonte
2

I tasti devono essere in l'HSM?

Scenari come questo spesso vengono risolti non avendo un milione di segreti separati in HSM, ma avendo un milione di segreti cifrati e un HSM che li decifra se necessario.

Nella tua mente, qual è la differenza concettuale tra l'archiviazione sicura e l'uso di un milione di chiavi rispetto a un milione di password (supponendo che debbano essere recuperabili per qualche motivo) o un milione di voci di credito?

    
risposta data 01.02.2018 - 01:31
fonte
1

Sono disponibili HSM creati per questo utilizzo, cercare "cluster HSM".

Un'altra opzione è quella di avere un normale database di sicurezza che è protetto dall'HSM (una scheda in uno slot o disponibile sulla rete). È quindi possibile utilizzare uno o più HSM per proteggere i server di archiviazione certificati ad alta disponibilità. Ovviamente, a seconda dei requisiti effettivi per l'archiviazione delle chiavi, questo potrebbe non essere accettabile, ma dovrebbe essere meno costoso rispetto agli HSM in cluster.

Tieni presente che puoi duplicare HSM. Consultare il produttore, ma hanno procedure per farlo in una varietà di circostanze. In effetti potresti voler semplicemente consultare diversi produttori per quanto riguarda le tue esigenze, potrebbero avere soluzioni che hai trascurato.

    
risposta data 31.01.2018 - 16:54
fonte
1

Per questo, ci sono HSM appositamente costruiti sul mercato. Con questi HSM si archiviano solo i KEK (chiave di crittografia chiave) negli HSM, i dati effettivi della chiave / cliente vengono crittografati da KEK e memorizzati in un database relazionale, al di fuori degli HSM. Ogni volta che i dati devono essere decrittografati, la richiesta all'HSM viene inviata insieme ai dati (dal database, crittografato con KEK) e all'handle / identificatore del KEK da utilizzare per la decrittografia. L'operazione è completata da HSM nel suo ambiente sicuro e la risposta inviata all'applicazione richiedente.

Thales nShield HSM è uno di questi dispositivi disponibili e sei limitato solo dalle dimensioni del tuo database, permettendoti di memorizzare tante chiavi / dati crittografati sotto la protezione di una chiave master (KEK) su HSM.

    
risposta data 12.02.2018 - 03:18
fonte

Leggi altre domande sui tag