Существуют ли виртуальные модули HSM?
Реальное положение вещей
Быстрый ответ: нет; такого понятия, как виртуальный аппаратный модуль безопасности (HSM), не существует. Некоторые поставщики модулей HSM заявляют, что у них есть такой модуль, но «виртуальный модуль HSM» — это оксюморон. Решающее значение имеет тот факт, что в названии присутствует слово hardware, т. е. «аппаратный». «Аппаратный» означает физическое устройство, а «виртуальный» — противоположность физическому.
Одной из главных задач модуля HSM является установление корня доверия для создания защищенных криптографических ключей. Чтобы выполнить эту задачу, необходим сложный математический процесс. В основе этого математического процесса лежит создание случайного числа.
Случайные числа
Не все случайные числа действительно случайны. Этой теме посвящено множество написанных книг, но достаточно сказать, что без соответствующего случайного числа впоследствии созданный ключ не будет безопасным. Благодаря технологиям, доступным для отрасли в настоящее время, компании создали аппаратный генератор случайных чисел.
Это чип, который специально разработан, протестирован и сертифицирован программой проверки криптографического модуля NIST для получения безопасного случайного числа. Критерий криптографической случайности называется энтропией. Программное обеспечение не может надлежащим образом проверить энтропию, это может сделать только аппаратное обеспечение. Без случайного числа, созданного аппаратным обеспечением, существует повышенный риск взлома ключей.
Общий итог
Организации, обеспокоенные действительностью своих криптографических ключей, могут использовать только аппаратное обеспечение. Поэтому виртуальный модуль HSM был бы не лучше, чем использование вычислительной мощности файлового сервера для создания криптографических элементов. Не стоит обманываться, ведь виртуальных модулей HSM не существует.
Модули HSM как услуга: не локальные и не виртуальные
Только потому, что модули HSM представляют собой устойчивые к несанкционированному доступу устройства физической безопасности, это не означает, что они должны быть установлены локально. nShield как услуга предоставляет все криптографические функции и возможности для управления ключами модулей nShield HSM, но с облачной моделью подписки.