Hsm là gì? Hsm là một thiết bị điện toán đám mây vật lý có chức năng quản trị và bảo vệ. Chúng còn có các cặp khoá chứng thư cho các ứng dụng xác thực mạnh và xử lý mật mã. HSM thường được sản xuất dưới dạng một card PCI cắm vào máy tính hoặc một thiết bị độc lập có kết nối mạng.
Mục lục
Lợi ích
Các thiết bị HSM dạng độc lập có thêm một số tính năng so với thiết bị dạng thẻ PCMCIA và card PCI. Chúng thường hỗ trợ HA (high-availability). Cho phép sử dụng kết hợp 2 hoặc nhiều thiết bị để tăng tính sẵn sàng của hệ thống. Khi một thiết bị lỗi, thì thiết bị còn vẫn tiếp tục phục vụ, không làm gián đoạn dịch vụ. Một số thiết bị HSM đặc biệt có hỗ trợ chế độ hoạt động chia tải. Điều này có nghĩa là thiết bị HSM có thể được chia thành các đơn vị logic nhỏ vận hành song song với nhau. Nhằm giảm thiểu rủi ro và nguy cơ mất dịch vụ, đồng thời tăng chất lượng và thông lượng.
Ngoài ra, thiết bị HSM dạng độc lập hỗ trợ sao lưu khóa ra Smartcard hoặc thẻ PCMCIA. Nhằm đảm bảo duy trì quá trình vận hành hoạt động của dịch vụ trong trường hợp khóa bị mất hoặc thay đổi cơ cấu thay đổi hệ thống.
Thiết kế
HSM có các tính năng chống can thiệp để lại các dấu hiệu có thể phát hiện được, các cảnh báo khi bị can thiệp, hoặc việc xâm nhập là khó khăn đến mức không thể không làm cho HSM ngừng hoạt động hoặc xóa cặp khóa khi bị phát hiện có can thiệp.
Vì HSM thường được dùng cho các hạ tầng quan trọng như hệ thống chữ ký số PKI, ngân hàng trực tuyến nên các HSM được triển khai theo mô hình clustering để đảm bảo tính sẵn sàng cao (HA – High Availability) và hiệu suất cao (HP – High Performance). Một số HSM còn được trang bị bộ nguồn đôi và các linh kiện có thể thay thế nóng để đảm bảo hệ thống hoạt động liên tục với yêu cầu cao trong môi trường Datacenter.
An toàn & bảo mật
Với vai trò hệ trọng trong việc đảm bảo an ninh cho các hạ tầng và ứng dụng. HSM thường được chứng nhận bởi các tiêu chuẩn quốc tế như Common Criteria hoặc FIPS 140 để cung cấp cho người sử dụng các đảm bảo độc lập rằng việc thiết kế và sản xuất thiết bị và các thuật toán mật mã kèm theo là an toàn và bảo mật.
Cấp độ cao nhất của chứng chỉ FIPS 140 là Level 4. Khi được sử dụng trong các ứng dụng thanh toán tài chính, mức độ an toàn của HSM được thẩm định theo các yêu cầu được định nghĩa bởi Hội đồng các tiêu chuẩn công nghiệp thẻ thanh toán (Payment Card Industry Security Standards Council).
Các chức năng của HSM
- Sinh khóa mật mã an toàn trên thiết bị
- Lưu chứa khóa mật mã an toàn trên thiết bị
- Quản lý khóa
- Ký số và mã hóa
HSM còn được triển khai để quản lý các cặp khóa Transparent Data Encryption cho database và cặp khóa cho các thiết bị lưu trữ như ổ đĩa hay băng từ.
HSM hỗ trợ cả mật mã đối xứng và bất đối xứng (khóa công khai). Với một số ứng dụng như chứng thực số hay ký số. Các cặp khóa bất đối xứng được dùng trong mật mã khóa công khai. Với các ứng dụng khác như mã hóa dữ liệu hay hệ thống thanh toán tài chính thì thường dùng cặp khóa đối xứng.
Với hiệu suất ký số từ 1 tới 10,000 chữ ký 1024-bit RSA mỗi giây, HSM có thể đảm bảo tài nguyên CPU cho các ứng dụng sử dụng khóa bất đối xứng. Từ năm 2010, tổ chức NIST (National Institute of Standards and Technology) của Mỹ đã khuyến nghị sử dụng độ dài cặp khóa 2,048-bit RSA nên tốc độ ký số trên HSM bị chậm đi đáng kể. Để giải quyết vấn đề này, ngày nay một số loại HSM hỗ trợ thêm thuật toán ECC (Elliptic Curve Cryptography) với khả năng mã hóa mạnh hơn với độ dài cặp khóa ngắn hơn.
Các ứng dụng
Thiết bị HSM chuyên dụng được sử dụng trong nhiều ứng dụng chữ ký số khác nhau (chữ ký số HSM) yêu cầu mức độ an toàn và tốc độ ký số cao mà các thiết bị chữ ký số khác như USB token, Smartcard không đáp ứng được.
CA HSM cho các hệ thống chữ ký số hạ tầng khóa công khai (PKI). Trong môi trường PKI, HSM được dùng bởi các CA (Certification Authority) và các RA (Registration Authority) để sinh. Lưu trữ và quản lý các cặp khóa bất đối xứng. Các CA HSM không yêu cầu tốc độ ký số cao, có thể hoạt động trực tuyến (online) hoặc ngoại tuyến (offline).
HSM ký số tập trung cho các ứng dụng dịch vụ công và chính phủ điện tử như hóa đơn điện tử, thuế điện tử, hải quan điện tử, bảo hiểm xã hội điện tử
HSM ký số tập trung cho các ứng dụng nghiệp vụ như chứng từ điện tử, hợp đồng điện tử, văn bản/công văn trong văn phòng điện tử
HSM cho các hệ thống thanh toán thẻ của ngân hàng. Các thiết bị HSM chuyên dụng hỗ trợ cả các chức năng thông thường. Kèm theo các chức năng đặc biệt để xử lý các giao dịch. Và tuân thủ các tiêu chuẩn công nghiệp trong ngành ngân hàng
Xác thực kết nối SSL bằng thiết bị HSM
Ví tiền mật mã phần cứng chính là một HSM dưới dạng một thiết bị cầm tay.
Chứng thư số HSM là gì?
Chứng thư số là một loại chứng thư điện tử. Do tổ chức dịch vụ chứng thực chữ ký số cung cấp. Có thể hiểu một cách nôm na, dễ hiểu nhất: chứng thư số như là một “chứng minh thư” của doanh nghiệp dùng trong môi trường của internet và máy tính.
Chữ ký số được xem là chữ ký điện tử an toàn. Khi chữ ký số đó được tạo ra trong thời gian chứng thư số có hiệu lực. Và kiểm tra được bằng khóa công khai ghi trên chứng thư số hiệu lực đó.
Chứng thư số được sử dụng để các đối tác của người sử dụng biết và xác định được chữ ký, chứng minh của mình là đúng. Chứng thư số bao gồm các nội dung sau:
Tên của Tổ chức cung cấp dịch vụ chứng thực chữ ký số
Tên của Thuê bao
Số hiệu của chứng thư số (số seri)
Thời hạn có hiệu lực của chứng thư số
Chữ ký số của tổ chức chứng thực chữ ký số
Các thư hạn chế về mục đích, phạm vi sử dụng của chứng số
Các hạn chế về trách nhiệm của tổ chức cung cấp dịch vụ chứng thực chữ ký số
Các nội dung cần thiết khác theo quy định của Bộ Thông Tin Truyền Thông….
