¿Qué es un módulo de seguridad hardware (HSM)?

Los módulos de seguridad hardware (HSM) son dispositivos hardware sólidos y resistentes a manipulaciones que aseguran procesos criptográficos. Para ello, generan, protegen y administran las claves utilizadas para cifrar y descifrar datos, crear firmas y emitir certificados digitales. Los HSM se prueban, validan y certifican según rigurosos estándares como FIPS 140-2 y Common Criteria. Con la familia de HSM nShield de uso general, Entrust es un líder global en módulos criptográficos hardware (HSM).

Los HSM permiten a las organizaciones:

  • Cumplir y superar los estándares regulatorios establecidos y emergentes para la ciberseguridad, que incluyen GDPR, eIDAS, PCI DSS, HIPAA, etc.
  • Lograr altos niveles de seguridad de datos y confianza
  • Mantener altos niveles de servicio y agilidad empresarial

¿Qué es HSM como servicio o Cloud HSM?

HSM como servicio es una oferta basada en suscripción para que los clientes utilicen un módulo de seguridad hardware en la nube. De este modo, pueden generar, acceder y proteger su material de clave criptográfica al margen de los datos confidenciales. La oferta de servicio proporciona la misma protección que una implementación local y permite mayor flexibilidad. Los clientes pueden transferir CapEx a OpEx para pagar solo los servicios que necesitan, cuando los necesitan.

nShield como servicio utiliza HSM de nShield con certificación FIPS 140-2 de Nivel 3 especializados. La solución ofrece las mismas características y funcionalidades que los HSM de nShield locales, combinados con los beneficios de una implementación de servicios en la nube. Esto permite a los clientes cumplir con sus primeros objetivos en la nube o implementar una combinación de HSM locales y como servicio, mientras los expertos de Entrust mantienen los dispositivos como servicio.

¿Por qué debería utilizar un HSM?

Las operaciones criptográficas, como el cifrado y la firma digital, no tienen valor si las claves privadas que utilizan no están bien protegidas. Los atacantes de la actualidad se han vuelto mucho más sofisticados en su capacidad para localizar claves privadas que están almacenadas o en uso. Los HSM son el estándar de oro para la protección de las claves privadas y operaciones criptográficas asociadas, y hacen cumplir la política definida por la organización usuaria para usuarios y aplicaciones que pueden acceder a esas claves. Los HSM se pueden utilizar con muchos tipos diferentes de aplicaciones que realizan cifrado o firma digital. El siguiente diagrama muestra los principales 10 casos de uso de los HSM, según el Estudio de tendencias de cifrado global de Ponemon 2021 (mayo de 2021).

infografía de los 10 casos de uso principales de HSM para 2021

¿Qué valor aporta un HSM?

Los HSM mejoran y amplían la seguridad de una amplia gama de aplicaciones que realizan cifrado y firma digital. La siguiente tabla describe el valor agregado de los HSM para un conjunto de los casos de uso más comunes.

Caso de uso

Nube y contenedores/Kubernetes
Infraestructura de clave pública (PKI)
Acceso privilegiado y Gestión de secretos
Cifrado y tokenización
Administración de claves
Firmas digitales y Firma de código
Aplicaciones TLS/SSL (ADC, firewalls, etc.)
Identidad y autenticación
Pagos

Valor de HSM para el caso de uso

Mantener el control de claves y datos en la nube; asegure las aplicaciones contenerizadas
Proteja las claves de firma de CA y la raíz de PKI fundamentales
Aborde las amenazas internas y simplifique el acceso a secretos para DevOps
Mejore la protección de la clave de cifrado para datos en tránsito y almacenamiento
Ejecute la política de administración de claves en múltiples nubes y aplicaciones
Proteja las claves que garantizan la integridad del software y permiten transacciones legalmente vinculantes
Asegure las claves de cifrado maestras TLS/SSL
Cree credenciales de identidad confiables
Proteja las claves que crean y firman credenciales de pago

¿Qué es la raíz de la confianza?

En un sistema criptográfico, una raíz de confianza (Root of Trust, RoT) es una fuente en la que siempre se puede confiar. La seguridad criptográfica depende de claves para cifrar y descifrar datos, generar y verificar firmas. Por ello, los esquemas RoT suelen incluir un módulo de hardware reforzado. Un ejemplo principal es el módulo de seguridad hardware (HSM) que genera claves, protege claves y realiza funciones criptográficas dentro de su entorno seguro.

Debido a que este módulo es para todos los efectos inaccesible fuera del ecosistema informático, ese ecosistema puede confiar en que las claves y otra información criptográfica que recibe del módulo raíz de confianza es auténtica y está autorizada. Esto es particularmente importante a medida que prolifera el internet de las cosas (IoT), porque para evitar ser pirateados, los componentes de los ecosistemas informáticos necesitan una forma de determinar que la información que reciben es auténtica. El RoT protege la seguridad de los datos y las aplicaciones y ayuda a generar confianza en el ecosistema general.

RoT es un componente crítico de las infraestructuras de clave pública (PKI) para generar y proteger las claves raíz y Certificate Authority, la firma de código para garantizar que el software permanezca seguro, inalterado y auténtico, y la creación de certificados digitales para acreditar y autenticar dispositivos electrónicos patentados para aplicaciones de IoT y otras implementaciones de red.

¿Qué es la generación de números aleatorios?

Generación de números aleatorios (RNG) se refiere a los números aleatorios creados por un algoritmo o dispositivo. Es importante que las claves criptográficas se creen utilizando una fuente certificada de números aleatorios, lo cual es un problema desafiante para los sistemas basados en software.

Cuando la fuente de entropía para un generador de números aleatorios se deriva de mediciones basadas en software, no se puede garantizar que la entropía no sea predecible o no pueda ser influenciada. Un HSM utiliza una fuente de entropía basada en hardware para su RNG que se ha verificado para proporcionar una buena fuente de entropía en todas las condiciones de funcionamiento normales. Esto es importante para casos de uso, como BYOK (Traiga su propia clave), que permite a los usuarios crear y administrar claves que cargan a los proveedores de servicios en la nube.