Sprzętowy moduł bezpieczeństwa
to nic innego, jak repozytorium Twoich kluczy kryptograficznych. Niezwykle bezpieczne miejsce, dające ochronę przed dostępem niepowołanych osób, w którym wszelkie niepożądane manipulacje widać jak na dłoni. A jeśli go nie ma? To tak, jakby zamontować w drzwiach solidny zamek, a klucz do niego powiesić przy framudze albo tradycyjnie ukryć pod wycieraczką. W ochronie kluczy kryptograficznych tego rodzaju „najlepsze praktyki” w ogóle nie wchodzą w grę.
Kłopot w tym, że kryptografia (w ogóle, a sprzętowe moduły bezpieczeństwa w szczególności) kryje w sobie aspekty matematyczne, które większość ludzi uważa za tak skomplikowane, że szkoda nawet próbować je pojąć. Rozumiemy to. Sami nie jesteśmy matematykami. Moduł HSM to jednak kluczowy element całej układanki zabezpieczeń i tak właśnie powinien być traktowany. Klucze naprawdę trzeba odkładać w bezpieczne miejsce i dlatego postaramy się wyjaśnić w miarę przystępnie, jak on działa. To miniwykład dla niezorientowanych – czyli całej ludzkości poza tymi, którym było dane latami studiować zaawansowaną matematykę na poziomie uniwersyteckim.
Bezpieczeństwo kluczy
Czym więc właściwie jest sprzętowy moduł bezpieczeństwa (czyli Hardware Security Module – HSM)? To urządzenie komputerowe, którego jedynym zadaniem jest zapewnienie bezpieczeństwa kluczom i zarządzanie nimi poprzez gruntowne uwierzytelnianie. Dodatkowo HSM może wykonywać operacje kryptograficzne, bez ryzyka ujawnienia materiału źródłowego. Materiał kryptograficzny przechowywany w sprzętowych modułach bezpieczeństwa to np. asymetryczne pary kluczy używane w infrastrukturze klucza publicznego (Public Key Infrastructure – PKI).
Żyjemy w świecie numerów PIN, loginów i haseł, skanerów siatkówki i odcisku palca. W istocie wszystkie te technologie opierają się na kodowaniu informacji za pomocą algorytmów kryptograficznych. Jedyny sposób odkodowania wiadomości stanowi użycie klucza kryptograficznego. Jeśli klucz ten jest przechowywany w bezpiecznym miejscu, podobnie jak Twoje dane (czyli numer PIN czy karty kredytowej), możesz spać spokojnie – ryzyko, że kiedykolwiek zostaną odkodowane, jest minimalne. Moduł HSM jest więc w oczywisty sposób niezbędny, by zapewnić kluczom bezpieczne miejsce przechowywania.
Jak właściwie wygląda HSM i gdzie się znajduje?
Moduły mają postać karty rozszerzeń albo zewnętrznego urządzenia, które podłącza się bezpośrednio do serwera albo komputera poprzez sieć lub połączenie USB. HSM zawiera czipy kryptograficzne (jeden lub więcej), których zadaniem jest zapobiec manipulacji i skanowaniu. W sumie istota rzeczy jest tu dość prosta (pomijając oczywiście całą tę matematykę związaną z działaniem czipów) – polega na losowym generowaniu ciągu liczb. Jeśli w ogóle istnieje sposób, by dostać się do zestawu cyfr wygenerowanych w module HSM, to jest nim otrzymanie klucza – a ten daje już intruzowi pełny dostęp do Twoich danych. Tak więc „ochrona przed dostępem” i „odporność na manipulacje” to nie puste słowa. Mówimy o rzeczywistej zdolności modułu HSM do zapewnienia kluczom bezpieczeństwa.
A jeśli spróbujesz dotrzeć do klucza, łamiąc systemy zabezpieczeń?
Klucz zniknie bez śladu w ciągu milisekund. Można to rozwiązać na kilka sposobów, dość jednak powiedzieć, że nie ma tu wejścia przez tyle drzwi i nie da się pokonać systemu siłą. Ale jak to możliwe? Ba… To właśnie sprawia, że HSM jest naprawdę zdumiewającym urządzeniem.
Nie będziemy zagłębiali się w detale poziomów obsługi według standardów FIPS 140-2 (Federal Information Processing Standard for HSMs). Mówiąc najprościej, rozpoczynają się one od poziomu 1, czyli bardzo niskich wymagań bezpieczeństwa i rosną do poziomu 4, który mógłby być określany jako standard dla instytucji publicznych czy bankowych i wszelkich innych kluczowych sektorów.
Gdzie spotkamy się z najsurowszymi wymaganiami?
Rozważmy bankowość. Mówimy teraz o module HSM, który jest naprawdę odporny na włamanie. Może znajdować się w potencjalnie wrogim otoczeniu, gdzie drużyny niezwykle sprytnych włamywaczy próbują uzyskać dostęp do danych przez 24 godziny na dobę, 7 dni w tygodniu. Urządzenie to jest szczelnie opakowane i ma stalową obudowę. A jeśli któryś z włamywaczy ją przewierci, przetnie, rozpuści albo w jakikolwiek inny sposób pokona fizyczne zabezpieczenia? Czip wyzeruje się w ciągu milisekund. A może inny spróbuje go zamrozić, zanim nastąpi unicestwienie jego zawartości? Dajmy na to – zanurzając w basenie z ciekłym azotem. Bardzo nam przykro, ekstremalny spadek temperatury również wyzeruje dane, zanim ktokolwiek będzie je w stanie przechwycić.
Moduł HSM istnieje po to, żeby zapewnić Twoim kluczom bezpieczeństwo – to wszystko. I jest w tym naprawdę dobry.