2018 無邊界安全企業研討會/新竹場-會後報導
「由於軟體容易有漏洞、可能被破解的顧慮,因此至關重要的金鑰一定要用硬體方式存放。」亞利安科技資安技術支援部經理王添龍說明硬體加密模組(Hardware Security Module , HSM)在今日資安工作中的重要性,這也正是為什麼亞利安科技要將HSM解決方案的領導品牌Thales引進台灣。
王添龍以目前最受網站普遍運用的SSL加密為例,因為SSL安全協定存在多種漏洞,所以建議改用TLS協定,但TLS也陸續發現若干問題,不得不提升成TLS 1.1版、1.2版等。由此顯見軟體加密防護有其限制,需要透過硬體來達到更完善的防護。
以一個電信業者的實際案例來說明,該業者的資訊機房有諸多網站伺服器,前端有負載平衡設計,並用硬體加密模組存放金鑰,即便駭客攻破負載平衡取走了憑證,試圖用憑證冒充電信業者的網站,但由於憑證處於加密狀態,因而讓駭客無法成功冒充,電信業者也因此獲得保護。
由此可知HSM價值無可取代,且一般通用型的HSM有多種類型可供企業選擇,以Thales為例,即有USB介面型、網路型及內接插卡型,型號分別為nShield Edge、nShield Connect及nShield Solo,均達到FIPS 140-2 Level 3及CC EAL 4+的防護等級認證。
除電信機房的案例外,王添龍也舉了很多生活化的例子,如中國大陸微信WeChat原本是沒有加密的,但到了香港後,依據其金融法規必須加密,特別是在手機發紅包的金融轉帳支付上。導入HSM後,從手機端的帳密登入後便開始加密,到銀行內網中運作時依然保持加密狀態,而密碼的比對也是在HSM內執行,藉此達到高安全的E2EE防護要求。
王添龍以目前最受網站普遍運用的SSL加密為例,因為SSL安全協定存在多種漏洞,所以建議改用TLS協定,但TLS也陸續發現若干問題,不得不提升成TLS 1.1版、1.2版等。由此顯見軟體加密防護有其限制,需要透過硬體來達到更完善的防護。
以一個電信業者的實際案例來說明,該業者的資訊機房有諸多網站伺服器,前端有負載平衡設計,並用硬體加密模組存放金鑰,即便駭客攻破負載平衡取走了憑證,試圖用憑證冒充電信業者的網站,但由於憑證處於加密狀態,因而讓駭客無法成功冒充,電信業者也因此獲得保護。
由此可知HSM價值無可取代,且一般通用型的HSM有多種類型可供企業選擇,以Thales為例,即有USB介面型、網路型及內接插卡型,型號分別為nShield Edge、nShield Connect及nShield Solo,均達到FIPS 140-2 Level 3及CC EAL 4+的防護等級認證。
除電信機房的案例外,王添龍也舉了很多生活化的例子,如中國大陸微信WeChat原本是沒有加密的,但到了香港後,依據其金融法規必須加密,特別是在手機發紅包的金融轉帳支付上。導入HSM後,從手機端的帳密登入後便開始加密,到銀行內網中運作時依然保持加密狀態,而密碼的比對也是在HSM內執行,藉此達到高安全的E2EE防護要求。
更知名的例子是Apple Pay:Apple Pay是運用HSM產生代碼,將代碼層層傳遞,從店家到收單機構、再從收單機構到NCCC信用卡中心、最終到Visa Token服務進行驗證比對,比對正確才通知發卡銀行進行後續刷卡消費程序。其他新興的電子消費也都需要HSM,包含第三方支付、無卡提款、手機推播簡訊驗證等。
除了新興支付外,HSM也在許多新技術的應用層面上展現需求價值,例如IoT物聯網環境中如何驗證新加入的裝置是合法裝置?從另一裝置傳送過來的程式更新是否該接受?同樣可透過HSM達到安全防護及驗證。
此外,諸多對產品組裝製造流程更為講究的知名國際企業,也都針對自身出廠的產品核發憑證,確保是官方產品出貨,而不是被代工廠仿造生產,甚至在尚未組裝為成品前的料件、半成品階段就導入憑證,而HSM所提供的這些安全機制,也同樣能延伸到工業4.0、智慧城市的發展。
王添龍強調,即便不放眼未來新興應用,企業在面對法遵合規日趨嚴格的壓力下也應該評估採用HSM,如歐盟頒佈實施的GDPR,或針對支付卡產業要求的PCI DSS等,都必須對金鑰進行嚴密管控。
如前所述,大型品牌企業在生產組裝階段都已導入憑證驗證,與其關連的上游廣大零件供應商、組裝代工商等勢必也要導入同樣的安全機制,否則難以爭取到新訂單,因此,HSM逐漸成為企業業務營運的必要,而非僅在未來新興應用中才需要。
過去Thales HSM產品大多只用於金融單位,但隨著各種新技術應用的普及,對於金鑰管理、保護的需求勢必逐步增加,而Thales 的廣泛支援性,可保管防護市面上多數軟硬體所核發的金鑰,因此相信未來還有相當大的成長空間。
除了新興支付外,HSM也在許多新技術的應用層面上展現需求價值,例如IoT物聯網環境中如何驗證新加入的裝置是合法裝置?從另一裝置傳送過來的程式更新是否該接受?同樣可透過HSM達到安全防護及驗證。
此外,諸多對產品組裝製造流程更為講究的知名國際企業,也都針對自身出廠的產品核發憑證,確保是官方產品出貨,而不是被代工廠仿造生產,甚至在尚未組裝為成品前的料件、半成品階段就導入憑證,而HSM所提供的這些安全機制,也同樣能延伸到工業4.0、智慧城市的發展。
王添龍強調,即便不放眼未來新興應用,企業在面對法遵合規日趨嚴格的壓力下也應該評估採用HSM,如歐盟頒佈實施的GDPR,或針對支付卡產業要求的PCI DSS等,都必須對金鑰進行嚴密管控。
如前所述,大型品牌企業在生產組裝階段都已導入憑證驗證,與其關連的上游廣大零件供應商、組裝代工商等勢必也要導入同樣的安全機制,否則難以爭取到新訂單,因此,HSM逐漸成為企業業務營運的必要,而非僅在未來新興應用中才需要。
過去Thales HSM產品大多只用於金融單位,但隨著各種新技術應用的普及,對於金鑰管理、保護的需求勢必逐步增加,而Thales 的廣泛支援性,可保管防護市面上多數軟硬體所核發的金鑰,因此相信未來還有相當大的成長空間。
