Thales:HSM密鑰管理方案支持數位企業創新及安全性
隨著密碼學的廣泛運用在資訊加密、DRM、第三方支付以及電子錢包等數位企業應用,解密密鑰的管理成為一大課題,而 HSM 硬體安全模組 (Hardware Security Module)則是確保密鑰安全性的關鍵。
現今企業及個人生活已充滿了密碼學的應用,從最常見的信用卡、網路支付、到Apple Pay、或是企業內的數位版權管理(DRM)、文件簽章、資料加密到PKI等,這些應用的密鑰 (key) 因而變成數位生活與企業的運作關鍵。如果以軟體實作密碼運算,將密鑰儲存在伺服器中,則一旦伺服器被駭,所有密鑰就會外洩,導致它所防護的所有資訊,包括銀行帳戶、研發智財(IP)、個人病歷或國家機密等,全部遭人一覽無遺。也正因為如此,安全性更高的硬體式HSM可提供更好的選擇。
亞利安科技資安技術支援部經理王添龍介紹 Thales 受到全球各大企業採用的 HSM 產品,首先是 Payshield,它是基於VISA、Mastercard等國際金融組織制定的交易規則,透過Thales 開發成的專用HSM設備。處理信用卡交易是Payshield的標準功能,目前獲得全球7成以上銀行使用,由於各國處理轉帳交易的規則,因而發展出客製化版本,透過將交易規範轉化為指令,大幅減少程式開發、調整及修改的時間花費。Payshield 的 Multi-LMK 設計將本地主密鑰(Local Master Key, LMK)分存在最多9張智慧卡,各自擁有獨立密碼,HSM 則只存放最重要的LMK,而只有該HSM設備才能提供解密,藉此達到分權控管但絕對安全的防護水準。
香港對網路銀行制訂了嚴格的安全規範,要求端到端(end-to-end)加密,以及資料不可竄改性。另外,PCI DSS也規定,將逐漸淘汰漏洞頻傳的SSL v3.0及TLS 1.1,在2017年6月30日提供安全的TLS的服務,之後所有實體都必須停止使用早期版TLS作為安全控制。現在PayShield還支援ECC演算法,具備區塊鏈等級的安全性,新的交易應用,包括結合SSL及新加密技術提供網路銀行WebPIN服務,可防止外部駭客及來自內部網路(Web Server、端點或LAN)的攻擊,而且具有不需發硬體給客戶,以及降低開發、實作成本等優點。
除了產品化的 Payshield,Thales 還提供模組化的 nShield,它的特點是功能可自行開發,發展各種應用,因應不同需求,提供了USB、網路型及插卡式。它的架構設計下,主密鑰 (master key) 存於HSM伺服器,由主密鑰加密過的密鑰、working key 密鑰檔及 HSM log 則儲存於 Remote File Server上。他指出,以效能而言,市面上硬體式密鑰管理解決方案都差不多;差別在於密鑰管理方式,尤其是在 HSM 伺服器災難復原上;有別於競爭方案需要湊齊所有智慧卡,Thales 主密鑰儲存在智慧卡上,從 RFS 的備份檔即可復原,它的 K of N 機制,可設計密碼儲存在3張上,只要任意2張即可回復主密鑰,還原速度比競爭者更快。另一方面,元件化設計可融入客戶現有環境,簡化導入複雜性。
除了金融交易,Thales HSM還可物聯網裝置。例如可將憑證內建至手機中,可用於紀錄產品運送地點與控制代工廠生產數量,而知名品牌車廠也透過內建憑證,只有原廠料件由中心驗證啟動方可正常運作,防止車子使用副牌料件而衍生的責任歸屬問題。事實上,從電子病歷、電子護照、智慧電表、研發智財保障都是HSM的應用。
數位化企業發展出各種創新應用,眼看著第三方支付、區塊鏈及密碼貨幣即將融入你我生活,但唯有做好安全性,才能支持新應用的多元發展。
資料來源:網路資訊