web-dev-qa-db-fra.com

Quelle est la différence entre HSM et Server Key Server?

Conformément aux exigences PCI-DSS, nous devons utiliser SI HSM (module de sécurité matérielle) ou un serveur de clés pour stocker la clé de chiffrement KEK (touche clé).

Si je stocke une clé cryptée de dek (clé de cryptage de données) dans un serveur d'applications, comment puis-je stocker en toute sécurité le kek qui crypte le dek?

Les deux options :

  • Si je décide d'utiliser un serveur de clé, alors si une personne packs le serveur d'applications, il pourrait facilement accéder au serveur de clés. Alors, comment protéger mon serveur clé?

  • Si HSM est utilisé pour stocker le kek, alors si quelqu'un packs mon serveur d'applications, peut-il aussi pirater mon HSM?

Lequel des deux serait un moyen plus sécurisé, HSM ou un serveur de clés?

11
nathi

Le point d'un serveur de clés ou HSM est d'isoler l'application à partir de la mémoire (et éventuellement l'utilisation) de la clé. Idéalement, vous voulez délester et la limite de vitesse toutes les opérations de cryptographie au HSM ou serveur de clés pour que l'application n'a jamais accès à la clé de déchiffrement.

Cela vous permet de faire des détections d'intrusion telles que les limites de vitesse et pour éviter de tels décryptage en vrac des dossiers si le serveur d'application est compromise. L'attaquant pourrait encore la file d'attente des enregistrements à transmettre à travers le HSM ou Keyserver pour le décryptage, mais le pic du taux de demandes commencerait de jeter des drapeaux rouges qu'un compromis a pu se produire.

Ou bien pourrait être plus sûr puisque les deux fournissent le même type d'isolement. Un serveur clé fournit un degré plus élevé d'isolement physique, mais en fonction de la mise en œuvre, la complexité peut laisser une surface d'attaque plus grande. Les SMH d'autre part sont simples, mais aussi local. De toute façon, si elles sont correctement mis en œuvre, seule une vulnérabilité dans les interfaces elles-mêmes devraient permettre à la clé de fuite.

7
AJ Henderson