HSM

De Wikipedia, la enciclopedia libre

Para otros usos de este término, véase HSM (desambiguación).

HSM son las siglas de "Hardware Security Module" (Módulo de Seguridad Hardware).

Un HSM es un dispositivo criptográfico basado en hardware que genera, almacena y protege claves criptográficas y suele aportar aceleración hardware para operaciones criptográficas. Estos dispositivos pueden tener conectividad SCSI / IP u otras y aportar funcionalidad criptográfica de clave pública (PKI) de alto rendimiento que se efectúa dentro del propio hardware.

Tabla de contenidos 1 Usos 2 Consideraciones de seguridad 3 Información adicional 4 Algunas empresas fabricantes de módulos HSM 5 Referencias

[editar] Usos

La funcionalidad de un periférico HSM es la generación de datos seguros (asegurados mediante criptografía de clave pública o PKI) para su acceso a lo largo del tiempo pudiendo aportar adicionalmente seguridad física. Los datos custodiados por un HSM suelen ser las claves privadas usadas en PKI, y en algunas ocasiones también permiten la protección de claves simétricas.

Algunos sistemas HSM tienen mecanismos de backup seguro de claves PKI, bien sea vía los servicios del Sistema Operativo del ordenador, o bien externamente utilizando una tarjeta criptográfica o algún otro periférico criptográfico.

Muchos sistemas HSM son también aceleradores criptográficos. Estos sistemas no permiten la extracción de las claves sin cifrar, y se utilizan para acelerar la realización de operaciones criptográficas en su hardware dedicado.

Los dispositivos HSM no son sólo periféricos locales de un ordenador, algunas compañías ofrecen hardware HSM con conectividad de red para la protección de material residente en múltiples sistemas conectados.

[editar] Consideraciones de seguridad

Como se ha mencionado el objetivo de un HSM es el almacenado seguro de certificados PKI, que son los datos sensibles de esta tecnología.

• La seguridad que proporcionan dichos dispositivos es muy elevada si se siguen ciertas políticas de seguridad.

• Las claves protegidas por los HSM sólo están 'completamente protegidas por hardware' si fueron generadas dentro del propio hardware. (si se generan fuera y se importan, las copias de dichas claves fuera del dispositivo -obviamente- no podrán ser protegidas por el dispositivo HSM).

[editar] Información adicional

Aunque el hardware de los dispositivos HSM tiene un muy buen rendimiento, la rápida evolución del software y el empuje de las soluciones de código abierto ha hecho que existan soluciones aceleradoras software que superan en rendimiento a los aceleradores hardware, aunque requieren un esfuerzo mayor de configuración y mantenimiento.

[editar] Algunas empresas fabricantes de módulos HSM

• EraCom Technologies - ProtectServer
• IBM - IBM_4758
• ARX - PrivateServer HSM
• nCipher - netHSM, nShield, nForce
• SafeNet - LunaSA
• Crypto Accelerator 6000 - Sun
• REALSEC - Cryptosec 2048
• Current NIST FIPS-140 certificates

[editar] Referencias

• Hardware Security Modules (en inglés).
• Artículo en la wikipedia en inglés (en inglés).