作者:Roberto Gallo 博士
在从事信息安全工作近二十年后,我意识到一个令人悲伤的事实:真正了解 HSM 功能的安全专业人员数量非常少。更不用说,罕见。
这听起来就像软件开发人员不知道调试器是什么,或者网络专业人员不了解 NetFlow 可以提供什么。难以想象,对吧?
将 HSM 描述为“快速加密的硬件设备”就像将防火墙描述为“过滤数据包的设备”一样笼统且糟糕。
因此,我决定写几篇文章,从这篇文章开始,安全专家可以借此了解这个主题,并能够释放这项技术所能提供的安全性。
问题与解决方案、机遇
让我们从后往前开始讨论:列出 HSM 帮助企业了解的一些机会以及这项技术正在解决的主要问题:
- 大规模智能电网部署的管理;
- 保护比特币交易免受线下和线上黑客攻击;
- 保护数据库免受内部和外部威胁;
- 降低数据泄露的成本;
- 降低物联网设备成本和能耗;
- 实现强大的 AIM;
- 利用无纸化流程;
- 在服务器上启用无人值守磁盘加密;
- 阻止大量数据泄露;
- 在 SOC 中实现安全日志管理;
- 透明地保护云端文档;
- 智能卡和令牌的非物质化;
- 付款处理;
- PKI 中的证书/CRL 颁发;
- SSL加速;
如果您知道该列表以及 HSM 技术在每个项目中如何发挥作用,那么我向您表示祝贺!您是少数人之一。如果没有的话,请继续关注我。它会改变你的观点!
此时,您可能会问自己,为什么单一技术可以在如此多的用例中产生如此大的影响?在此之前,我们需要了解通用企业计算平台缺少什么:可信赖的基础。
把房子建在磐石上
让我们从简单的开始:如果您想(对称地)加密计算机上的文件,您所需要的就是实现(或使用)加密算法,例如 AES,并采用适当的操作模式(例如 CBC)。这需要您提供一个不可预测的密钥和一个随机数。
现在,假设您以用户身份运行此加密过程,并且系统管理员(root)愿意访问您提供的密钥。你说root能做到吗?在标准企业平台(例如 Intel + Linux)上,几乎肯定会这样做。这只是努力多或少的问题。当物理接触到平台后,游戏就结束了。
根本原因在于硬件向软件开发人员暴露的底层原语。在某些情况下,这只是缺乏访问权限的问题,在其他情况下,则是缺乏功能的问题。一个典型的例子是进程之间缺乏真正的内存隔离——在标准PC上,内核级软件可以读取物理内存空间,从而访问其他进程的内容。你已经知道了,对吧?可能是的。
然而,问题更为广泛,如果没有外部硬件附加组件,保护 x86/x86_64 平台几乎是不可能的,尽管英特尔和 AMD 在改进其产品方面做得非常出色。
因此,对于能够提供严格安全性的系统来说,其底层平台必须从坚如磐石的硬件基础开始。这意味着:(a)足够的原语以允许系统服务的安全实现,以及(b)与威胁模型兼容。
下一步是什么?
查看下一篇文章:
在不久的将来我还将讨论:
- HSM 提供更多服务(我敢打赌你会感到惊讶);
- 评论实现这些服务的底层平台要求;
- 本节开头介绍的用例与 HSM 服务的关系。