nShield Security World

Da sich die Sicherheitsteams an die sich entwickelnden Compliance-Mandate und Datenschutzanforderungen anpassen, nimmt die Verwendung von Verschlüsselung weiter zu. 

HSMs sind die Grundlage einer modernen IT-Infrastruktur. Sie ermöglichen die sichere Erzeugung, Speicherung und Verwaltung von Schlüsseln für kryptografische Operationen. Da die Verschlüsselungsanwendungen jedoch zunehmen, müssen Unternehmen ihre HSM-Umgebungen skalieren, ohne die Kosten oder die betriebliche Komplexität zu erhöhen.

nShield HSMs, die auf der Security World-Architektur basieren, bieten die Möglichkeit zur Skalierung bei gleichzeitiger Optimierung von Sicherheit und Kosteneffizienz.

Security World ermöglicht die Verwaltung von Anwendungsschlüsseln über mehrere HSMs hinweg und sorgt so für eine konsistente Anpassung der Richtlinien, ohne die Sicherheit der Schlüssel zu beeinträchtigen.

Abbildung 1: In einer Security World-Bereitstellung können die Sicherheitsteams logische Gruppen von HSMs einheitlich verwalten.

Schaffung und Verwaltung einer Security World

Eine Security World-Domäne wird auf einem nShield HSM initialisiert, das einen Hauptschlüssel generiert und einen Satz von Smartcards erstellt, der als Administrator Card Set (ACS) bekannt ist.

Der ACS wird verwendet, um denselben Security World-Hauptschlüssel in zusätzliche nShield HSMs zu programmieren und diese so effektiv in dieselbe Security World-Domäne einzubinden. Dies bietet Sicherheitsteams folgende Vorteile:

• Erweiterung der kryptografischen Verarbeitungskapazität
• HSMs nach Bedarf austauschen oder neu einsetzen

Diese sensiblen Vorgänge erfordern eine Quorum-Autorisierung durch Sicherheitsbeauftragte, die über ACS-Anmeldedaten verfügen.

Die Security World-Architektur ist auf die Sicherheit von sensiblen Schlüsseln ausgerichtet, einschließlich der Schlüssel, die in Benutzeranwendungen verwendet werden. Zu den Anwendungsschlüsseln können die folgenden gehören:

• Private Signaturschlüssel (z. B. für E-Rechnungsanwendungen)
• TLS/SSL-Handshake-Schlüssel
• Symmetrische Verschlüsselungsschlüssel (z. B. Kreditkartenverschlüsselung)
• Root-of-Trust-Schlüssel (z. B. für Datenbankverschlüsselung, PKI-Zertifizierungsstellen)
• Maschinenidentitäten
• Schlüssel für die Verwaltung privilegierter Zugriffe

Das Anwendungsschlüssel-Token besteht aus den folgenden Komponenten:

Schlüsselmaterial

Das Schlüsselmaterial besteht aus dem verschlüsselten Anwendungsschlüssel (mit AES 256-bit). Benutzer können auswählen, welcher Verschlüsselungsschlüssel verwendet werden soll, wodurch die Autorisierungsmethode für den Anwendungsschlüssel festgelegt wird.

Zertifikate und Statusprotokolle

Wenn HSMs einen Schlüssel erzeugen, wird ein Schlüsselerzeugungszertifikat erstellt, das auch im Schlüssel-Token der Anwendung enthalten ist. Der öffentliche Schlüssel, der zum Signieren des Schlüsselerzeugungszertifikats verwendet wurde, ist ebenfalls enthalten.

In dem Moment, in dem der HSM den Schlüssel generiert, wird der Status des HSM aufgezeichnet, wodurch eine detaillierte Aufzeichnung der Kontrolle und Eigentumsverhältnisse ermöglicht wird. Die Statusinformationen liefern ein vollständiges Bild des HSM, das den Schlüssel erzeugt hat, einschließlich seiner Identität und Herkunft.

Jedes nShield HSM verfügt über einen langfristigen, festen Schlüssel, der bei der Herstellung des HSMs generiert wird und sich während der gesamten Lebensdauer des HSMs nicht ändert. Dieser Schlüssel signiert die Statusmeldung und enthält ein Zertifikat oder eine von Entrust signierte „Garantieerklärung“. Der Schlüssel, der die Garantie signiert, unterliegt stets der ausschließlichen Kontrolle von Entrust und belegt, dass das HSM, das den Schlüssel generiert hat, ein echtes nShield HSM ist.

Zugriffskontrolllisten (ACLs)

ACLs sind eine wichtige Komponente der Metadaten, die im Anwendungsschlüssel-Token enthalten sind. Innerhalb von Security World gewährleisten mehrere Mechanismen die Integrität und Sicherheit von ACLs.

Wenn ein Schlüssel generiert wird, wird die zugehörige ACL zusammen mit dem Schlüssel verpackt, sodass sie genauso sicher bleibt wie der Schlüssel selbst. Diese ACL bleibt während des gesamten Lebenszyklus des Schlüssels mit diesem verbunden und sorgt so für eine konsistente Durchsetzung der Richtlinien, unabhängig davon, wo der Schlüssel verwendet wird.

Wichtig ist, dass die Anwendung die ACL zum Zeitpunkt der Schlüsselgenerierung zuweist und diese Zuweisung nur einmal erfolgt. Eine verschlüsselte Kopie des Schlüssels zur Aufnahme in das Schlüsseltoken kann nur einmal erstellt werden, und zwar während derselben Sitzung, in der der Schlüssel generiert wird, wodurch eine zusätzliche Sicherheitsebene hinzugefügt wird.

ACLs definieren, wozu ein Schlüssel berechtigt ist. Mögliche Optionen umfassen:

• ob der Schlüssel verschlüsseln oder entschlüsseln kann
• ob der Schlüssel andere Schlüssel umhüllen kann oder umhüllt wird
• Welche Genehmigungsstufe ist für bestimmte Vorgänge erforderlich?

ACLs können auch unterschiedlich komplex sein:

• In einfachen Szenarien könnten sie grundlegende Operationen wie die Verschlüsselung von Daten ermöglichen
• In fortgeschrittenen Setups können sie hierarchische Schlüsselbeziehungen definieren, bei denen mehrere Schlüssel über ihre jeweiligen Token geladen werden müssen, bevor bestimmte Operationen zulässig sind

Darüber hinaus können ACLs Nutzungsbeschränkungen durchsetzen, wie z. B.:

• Zeitüberschreitungen im Betrieb
• Begrenzung der Zahl der zulässigen Vorgänge

Durch ACLs ermöglicht Security World eine granulare Kontrolle und fein abgestimmte Sicherheit hinsichtlich der Verwendung, Freigabe und Verwaltung von Schlüsseln.

Autorisierungstoken

In Security World-Umgebungen werden Autorisierungstoken verwendet, um den Zugriff auf bestimmte Anwendungsschlüssel zu kontrollieren. Wenn ein Anwendungsschlüssel generiert wird, kann er mit einem Autorisierungs-Token verknüpft werden. So kann dieser Schlüssel nur dann auf ein HSM geladen werden, wenn das richtige Autorisierungstoken vorgelegt und erfolgreich validiert wurde.

In Security World gibt es drei Arten von Autorisierungs-Token:

1. Smartcard-Sets: Smartcard-Sets bieten eine mehrstufige, quorum-basierte Autorisierung. Sicherheitsteams können festlegen, wie viele Smartcards in einem Set vorhanden sein müssen und wie viele davon vorhanden sein müssen, um bestimmte Aktionen zu genehmigen.

In einer Umgebung mit fünf Administrator-Smartcards können Administratoren beispielsweise festlegen, dass mindestens drei Karten vorgelegt werden müssen, um das Hinzufügen eines neuen HSM zur Security World-Domäne zu autorisieren.

Es gibt zwei Kategorien von Smartcard-Sets in einer Security World-Domäne:

• Administrator Card Sets (ACS) Dient zur Genehmigung von Verwaltungsaufgaben, z. B. Notfallwiederherstellung
• Operator Card Sets (OCS): Wird verwendet, um HSMs für den Zugriff auf und die Verwendung von Anwendungsschlüsseln zu autorisieren.

2. Softcards: Softcards sind softwarebasierte Token, die eine Ein-Faktor-Autorisierung bieten. Sie sind besonders nützlich in Umgebungen, in denen ein physischer Zugang zu HSM-Chipkartenlesern nicht möglich ist.

3. Modulgeschützte Schlüssel: Diese Option ist geeignet, wenn Sie das HSM zum Schutz Ihrer Schlüssel verwenden möchten. Diese Option eignet sich für Anwendungen, die einen 24-Stunden-Betrieb und eine Automatisierung erfordern, da für die Verwendung von Anwendungsschlüsseln kein menschliches Eingreifen erforderlich ist.

Die Methode zur Autorisierung der Schlüsselnutzung – ob über Smartcard, Softcard oder modulgeschützte Schlüssel – wird zum Zeitpunkt der Erstellung des Schlüssels ausgewählt und in Security World gespeichert.

Anpassbare Autorisierungsrichtlinien

Security World bietet Administratoren eine hohe Flexibilität bei der Implementierung von Richtlinien zur Schlüsselverwendung:

• Wählen Sie zwischen OCS- oder Softcard-Schutz für jeden Anwendungsschlüssel
• Bei der Verwendung von OCS können die Administratoren Folgendes konfigurieren:
  • Anzahl der Karten im Set
  • Quorum-Anforderungen (wie viele Karten müssen anwesend sein, um einen Vorgang zu genehmigen)
  • Passphrasen für jede Karte – oder ob überhaupt eine erforderlich ist
  • Ob die Karten in den nShield HSMs Smartcard-Lesern eingesteckt bleiben müssen oder nach der Verwendung entfernt werden können

Diese Funktionen bieten ein extrem vielseitiges und sicheres Framework für die Durchsetzung von Richtlinien für den Zugriff auf kryptografische Schlüssel, das ein Gleichgewicht zwischen Benutzerfreundlichkeit, Compliance und starken Sicherheitskontrollen schafft.

Durch die oben beschriebenen Funktionen können Anwendungsschlüssel sicher verschlüsselt, sicher verteilt und außerhalb des HSM gespeichert werden – sogar über mehrere HSMs hinweg –, ohne ihre Sicherheit zu beeinträchtigen.

Durch den Einsatz robuster Richtlinienkontrollen, einschließlich Smartcards, Richtlinien auf HSM-Ebene, ACLs und anderer integrierter Mechanismen, können Sicherheitsteams einheitliche Sicherheitsrichtlinien in ihrer gesamten Umgebung durchsetzen und bewahren sich gleichzeitig die Flexibilität, granulare Kontrollen auf bestimmte HSMs, Technologiestapel, Benutzergruppen und mehr anzuwenden.

In Security World-Umgebungen wird das Schlüsselrohmaterial immer durch zertifizierte nShield HSMs geschützt. Wenn Anwendungsschlüssel-Token außerhalb des HSM gespeichert werden, können sie mit Standard-Backup-Verfahren sicher gesichert und wiederhergestellt werden.

Autorisierte Client-Anwendungen können diese Token dann auf ein beliebiges HSM innerhalb derselben Security World-Domäne laden, um kryptografische Operationen durchzuführen, wodurch Sicherheit, Portabilität und Betriebskontinuität gewährleistet werden.