Was ist ein Hardware Security Module?

Die kryptografischen Operationen die durch ein HSM zur Verfügung gestellt werden, dienen der Signatur von Dokumenten, Signatur und Verschlüsselung von Transaktionen wie bei der Mauterfassung in Deutschland im Toll Collect System oder schon lange bei Überweisungen im elektronischen Zahlungsverkehr. Wer dann später noch etwas in die Geschichte abschweift, der wird im Card Payment Geschäft eine der Wurzeln für diese Security-Komponenten finden. Natürlich ist auch die sichere Aufbewahrung von Schlüsseln für die Datenbankverschlüsselung, im Bereich der PKIs die Aufbewahrung der CA Keys oder sonst die Generierung von sensitivem Schlüsselmaterial, ein Einsatzzweck.

• • Key Generation: Die Generierung von zufälligen Zahlen und damit Basis für Schlüsselmaterial ist auf Hardware durch die Nutzung physischer Parameter besser, keine Pseudo Random Number Generator mehr → die Schlüsselerzeugung ist abhängig von physischen Parametern (Entropie-Eigenschaften) und damit besonders sicher. Auch die verwendeten Algorithmen sind besonders geprüft und zertifiziert (z.B. NIST SP 800-90).
  • Digitale Signaturen: Die digitalen Signaturen werden natürlich auf Basis von asymmetrischen Algorithmen basierend auf RSA mit Schlüssellängen bis 16’384 Bit, Diffie-Hellmann, elliptischen Kurven, DSA und weiteren gewährleistet.
  • Digitale Verschlüsselung: Auch die asymmetrische Ver- und Entschlüsselung basiert auf den eben genannten Algorithmen.
  • Symmetrische Verfahren: Die symmetrischen Algorithmen sind heutzutage natürlich zumeist AES oder auch noch 3DES. Für die Kompatibilität stehen meist noch ältere Verfahren zur Verfügung.
  • Hash und Message Digest: Für Prüfsummen oder Integritätscheck werden auch hochsichere Algorithmen bereitgestellt.
  • On HSM: Die Hardware ist besonders auf die Ausführung von Signaturen und Verschlüsselung ausgelegt, deshalb werden diese Geräte auch als HSA – Hardware Security Accelerator bezeichnet, da sie auch explizit dafür gebaut sind, um hunderte oder tausende Operationen in der Minute zu erledigen, teilweise bis 20’000 per sec, was im Umfeld des Zahlungsverkehrs notwendig ist. Jede einzelne Zahlung soll ja unveränderbar vom überprüfbaren Sender zum richtigen Empfänger übermittelt werden.
    → sie gewährleisten: Confidentiality, Data Integrity, Authentication, and Non-repudiation
  • Certification: Implementierte Algorithmen werden durch die Prüfverfahren bei der FIPS Validierung geprüft und zertifiziert.

Die Geräte sind tamper-resistant (Tamper Detection, Tamper Response und Tamper-Evident (tamper-resistant – fälschungssicher / manipulationssicher / beweisbare Unversehrtheit) und schützen die Schlüssel auch bei physischen Manipulationen, direktem Zugriff, wie auch Einfrieren in Stickstoff, um länger Zeit zu haben, die Schlüssel durch Analyse der Chips zu erhalten. Im Falle einer Attacke werden die sensitiven Daten wirklich sicher gelöscht.

Übliche Massnahmen:

• • die Folie – protective Membrane
  • Temperatursensoren – beim Verschicken der Box sollte diese nicht im Schneesturm stehen bleiben
  • Spannungsversorgungskontrolle (Voltage Measurement). Die Batterien müssen immer noch das Wipen der Boxen ermöglichen.
  • Eventuell noch das Füllmaterial (Potting Material) mit leitfähigen Elementen, die wiederum den physischen Zugriff erkennen (notwendig für FIPS 140-2 level 4) und Lücken füllen, um Angriffe zu erschweren
  • Durch starke Authentisierung (2FA) oft auch im 4-Augenprinzip oder n von m Authentisierungen wird sichergestellt, dass alle Operation nur durch befugte Personen erfolgen und auch die Applikationen müssen für jede Operation berechtigt sein
  • Backup

«Das Schlüsselmaterial verlässt nie das HSM», ja aber wie wird ein Backup gewährleistet? Auch  dafür braucht es natürlich wohl definierte Prozesse.

Ein paar Beispiele von Backups, wie ich sie schon erlebt habe:
Nach entsprechender starker Authentication – meist mit speziellen Smart Cards – im 4- oder 6- Augenprinzip, wird das Schlüsselmateriel auf entsprechende Hardware gesichert.

• • Backup HSM
  • Der Schlüssel wird gesplittet auf separate Smart Cards und ab in den Tresor
  • Vor 15 Jahren hat man zur Not noch in entsprechend verschlüsselte Files geschrieben
  • High Availability: Die Frage der Sicherheit der Schlüssel stellt sich auch bei einer Synchronisation für die Hochverfügbarkeit. Hier sind natürlich auch entsprechende Prozeduren notwendig.

Gutes separates VPN, separate Verkabelung und sicher auch mit zusätzlichem Schutz der Daten im VPN (Tunnel Encrypt, Data Encrypt and Data Sign).

Um die heutigen Geräte zu verstehen, lohnt ein Blick in die Vergangenheit und wie diese Geräte entstanden sind. Ich habe nur ein paar Stichpunkte zusammengetragen, die als Anregung dienen, selbst noch etwas tiefer in die Entwicklung einzutauchen.

Die Geschichte dieser besonderen Hardware geht fast einher mit der Entwicklung der asymmetrischen Kryptografie, vor allem, wenn man bedenkt, dass Ellis, Cocks und Williamson die Public-Key-Verschlüsselung im Auftrag der britischen Regierung (für GCHQ and NSA) schon Ende der 60iger entwickelten. Die NSA hat wohl auch einen entscheidenden Einfluss ausgeübt und forderte 1973 explizit diese Art von Hardware ( www.zdnet.com/article/gchq-pioneers-on-birth-of-public-key-crypto/). Siehe weiter unten.

Hier ein paar Meilensteine des Anfangs:

• • Atalla Box 1972 – Mohamed M. Atalla wikimili.com/en/Secure_cryptoprocessor
  • 1973 – NSA – Design Paper – “Protective Membrane”
  • IBM 3624
  • National Association of Mutual Savings Banks (NAMSB) conference in January 1976
  • 1979, Atalla introduced the first Network Security Processor (NSP)
  • and so on

Da nun die allermeisten, ich zähle mich selbstverständlich dazu, nicht in der Lage sind, alle Algorithmen und Verfahren in so einem System zu verifizieren, wird das wie üblich von einer anerkannten Instanz übernommen und wir verlassen uns auf dieses Urteil.

• • NIST Zertifizierung FIPS 140-2 Level 3 und 4 sind hier besonders zu unterscheiden.
    Der Level 4 setzt hier das Potting Material voraus, was den physischen Zugriff deutlich erschwert. wikimili.com/en/FIPS_140-2#Level_3 and wikimili.com/en/FIPS_140-2#Level_4
  • Common Criteria, generelle Richtlinien
  • PCI – Banking Standards (Payment Card Industry)

Zusätzlich müssen diese Systeme je nach Verwendungszweck entsprechende Regularien einhalten.

Eine ganze Reihe von Regularien setzt die sichere Aufbewahrung von Schlüsseln und die sichere Ausführung von Verschlüsselungs- und Signatur-Operationen voraus. So z.B. GDPR, eIDAS, HIPAA, PCI-DSS, … Beispiel: www.pcisecuritystandards.org/ptsdocs/4-70041PCI_HSM_AT1000_Security_Policy_1.0_final-1568130006.43317.pdf

Wer nun solche Geräte einsetzen will oder muss, dem sei hier eine kleine Auswahl von Anbietern ganz ohne Gewichtung vorgestellt.

Traditionell werden

• nCipher (heute Entrust)
• SafeNet Luna – gehört heute zur Thales Group
• Utimaco z.B. Atalla AT 1000 hsm.utimaco.com/download/atalla-at1000/
• Securosys – Schweizer Anbieter für HSMs www.securosys.com/en/products/primus-hardware-security-modules-hsm

Der Betrieb solcher speziellen Systeme verlangt auf der einen Seite Know How und auch einen nicht zu vernachlässigenden Betriebsaufwand. Auch hier gibt es seit einigen Jahren die Entwicklung dieser Dienste als Service in der Cloud anzubieten, um dies zu optimieren. Ein paar ausgewählte Anbieter:

• • Thales DataProtection on demand – dedizierter HSM Service von Thales – Product-page: cpl.thalesgroup.com/encryption/data-protection-on-demand/how-it-works
  • Securosys – dedizierte HSM oder HSM Partitionen
  • Azure HSM Service based in SafeNet Luna – docs.microsoft.com/en-us/azure/dedicated-hsm/faq
  • Utimaco zur Evaluation

Ein HSM ist wohl der beste Platz um das sensitive Key Material für die Verschlüsselung und Signierung von Daten des Unternehmens abzulegen. Gerade wenn heute die Daten und Infrastrukturen mehr und mehr in die Cloud abwandern, kann mit guter Verschlüsselung, digitalen Signaturen und vertrauenswürdigen guten Schlüsseln die notwendige Datensicherheit gewährleistet werden. Ausgenommen ist vielleicht der Private Key des Benutzers selbst.

Damit sind spezielle messbare Eigenschaften gemeint, die man nutzen kann, um physische Zugriffe auf die Hardware zu erkennen. Folien aus vielen kleinen Kondensatoren und Ausnutzung der produktionsbedingten Toleranzen. Ein Angreifer, der die Folie verletzt, verändert die Kapazität. Ein grosser Vorteil ist, dass damit die Batterien entfallen können. Die Daten werden abhängig von den Parametern der PUFs verschlüsselt und nur freigegeben, wenn die Werte stimmen oder in der definierten Toleranz liegen.

Besonders lohnenswert als Quelle für die Geschichte und das Innenleben von HSMs fand ich: www.youtube.com/watch?v=sfp9AFF1f5U

Sonst noch: en.wikipedia.org/wiki/Hardware_security_module