Gibt es virtuelle HSMs?

Die kurze Antwort lautet: Nein, so etwas wie ein virtuelles Hardware-Sicherheitsmodul (HSM) gibt es nicht. Einige HSM-Anbieter behaupten, über ein solches zu verfügen, aber schon der Begriff „virtuelles HSM“ ist ein Widerspruch. Das liegt daran, dass er das Wort „Hardware“ enthält. Hardware bezeichnet ein physisches Gerät – und „virtuell“ ist das Gegenteil von „physisch“.

Eine der Hauptaufgaben eines HSM besteht darin, eine Vertrauensbasis für die Erstellung sicherer kryptografischer Schlüssel zu schaffen. Um diese Aufgabe zu erfüllen, ist ein komplizierter mathematischer Prozess erforderlich. Im Mittelpunkt dieses mathematischen Prozesses steht die Generierung einer Zufallszahl.

Nicht alle Zufallszahlen sind wirklich zufällig. Über dieses Thema sind schon viele Bücher geschrieben worden, aber es genügt, anzumerken, dass ein Schlüssel ohne eine geeignete Zufallszahl nicht sicher ist. Auf der Grundlage der Technologien, die der Branche heute zur Verfügung stehen, haben Unternehmen einen hardwarebasierten Generator für Zufallszahlen entwickelt.

Es handelt sich dabei um einen Chip, der speziell für die Erzeugung einer sicheren Zufallszahl entwickelt, getestet und vom Cryptographic Module Validation Program des NIST zertifiziert wurde. Der Test der kryptografischen Zufälligkeit wird als Entropie bezeichnet. Software kann Entropie nicht angemessen testen, das kann nur Hardware. Ohne die von der Hardware generierte Zufallszahl besteht ein erhöhtes Risiko, dass die Schlüssel kompromittiert werden.

Organisationen, die um die Gültigkeit ihrer kryptografischen Schlüssel besorgt sind, haben die Möglichkeit, nur Hardware zu verwenden. Daher wäre ein virtuelles HSM nicht besser als die Nutzung der Rechenleistung eines Dateiservers zur Erstellung kryptografischer Elemente. Lassen Sie sich nicht täuschen, virtuelle HSMs gibt es nicht.

Nur weil es sich bei HSMs um manipulationssichere, physische Sicherheitsgeräte handelt, bedeutet das nicht, dass sie lokal installiert sein müssen. nShield as a Service bietet alle kryptografischen Funktionen und Schlüsselverwaltungsfähigkeiten von nShield HSMs auf der Basis eines Cloud-basierten Abonnementmodells.

Erfahren Sie mehr über nShield als Dienstleistung (nShield as a Service).