Existe-t-il des HSM virtuels ?
Le véritable enjeu
La réponse rapide est la suivante : non, il n’existe pas de module de sécurité matériel (HSM) virtuel. Certains fournisseurs de HSM prétendent en avoir un, mais « HSM virtuel » est un oxymore. Le fait que le mot « matériel » figure dans le nom est essentiel. Matériel signifie un dispositif physique, et « virtuel » est le contraire de physique.
L’une des principales tâches d’un HSM est d’établir une racine de confiance pour la création de clés cryptographiques sécurisées. Afin d’accomplir cette tâche, un processus mathématique complexe doit être mis en place. Au cœur de ce processus mathématique se trouve la création d’un nombre aléatoire.
Chiffres aléatoires
Tous les nombres aléatoires ne sont pas vraiment aléatoires. Des livres ont été écrits sur ce sujet, mais il suffit de dire que, sans un nombre aléatoire approprié, la clé créée par la suite n’est pas sécurisée. Avec les technologies dont dispose l’industrie aujourd’hui, les entreprises ont créé un générateur de nombres aléatoires basé sur le matériel.
Il s’agit d’une puce spécialement conçue, testée et certifiée par le Cryptographic Module Validation Program du NIST pour produire un nombre aléatoire sécurisé. Le test du caractère aléatoire cryptographique est appelé entropie. Les logiciels ne peuvent pas tester l’entropie de manière adéquate, seul le matériel le peut. Sans le nombre aléatoire créé par le matériel, il existe un risque accru de compromission des clés.
La ligne de fond
Les organisations soucieuses de la validité de leurs clés cryptographiques ne peuvent utiliser que du matériel. Par conséquent, un HSM virtuel ne serait pas mieux que d’utiliser la puissance de traitement d’un serveur de fichiers pour créer des éléments cryptographiques. Ne vous y trompez pas, les HSM virtuels n’existent pas.
Les HSM en tant que service : Pas sur site, mais pas virtuel
Ce n’est pas parce que les HSM sont des dispositifs de sécurité physiques inviolables qu’ils doivent être sur site. nShield as a Service fournit toutes les fonctions cryptographiques et les capacités de gestion des clés des HSM nShield, mais avec un modèle d’abonnement basé sur le cloud.