HSM — Hardware Security Module
Hardware Security Module (HSM) je dedikovaný fyzická výpoctový zariadenie odolný voci manipulácii, ktorý chršni a spravuje kryptografická kľúče, vykonáva digitálne podpisovanie a uršchluje �ifrovacie operácie.
Co robí HSM?
HSM plný tri základná funkcie:
- Generovanie a ukladanie kľúčov — Vytvýra kryptografická kľúče vo vňatri chršneňaho prostredia. Klšce nikdy neop—taj� HSM v otvorenom texte.
- Kryptografick� operácie — �ifruje, dešifruje, podpisuje a overuje dáta pomocou interňach kľúčov.
- Riadenie prístupu a audit — Vynucuje prísne autentifikacňa politiky a zaznamenáva všetky operácie.
Typy HSM
| Typ | Forma | Typická použitie | Certifikácia |
|---|---|---|---|
| Sieťový HSM | Rack-mounted zariadenie | PKI, TLS, podpisovanie kódu | FIPS 140-3 Level 3 |
| PCIe HSM | Karta v serveri | Cloud KMS, šifrovanie databšz | FIPS 140-3 Level 3 |
| USB HSM | USB token | Vývojšrske podpisovanie | FIPS 140-2 Level 2š3 |
| Secure Element | Malý IC na PCB | IoT identita, secure boot | CC EAL6+ |
| Embedded HSM | IP blok v SoC/FPGA | Automobilový ECU, priemysel | ISO/SAE 21434 |
Secure Elementy (napr. STMicroelectronics STSAFE-A110, Infineon OPTIGA Trust M, NXP EdgeLock SE050) sú miniaturizovaňa HSM navrhnutý pre embedded a IoT aplikácie.
HSM vs. softvérová úložisko kľúčov
| Aspekt | HSM (hardvér) | Softvérová úložisko |
|---|---|---|
| Extrakcia kľúča | Nemožný — kľúče neop—taj� zariadenie | Mo�ňa pri kompromitšcii pamäťe |
| Odolnost | Detekcia fyzického prieniku, zeroizšcia | žiadna |
| Výkon | Hardvýrovo akcelerovaňa kryptografia | Závislá od CPU, pomalý� |
| Certifikácia | FIPS 140-3, Common Criteria | Nemožný pre hardvér |
Preco sú HSM dôležit� pre IoT?
EU Cyber Resilience Act (CRA) od roku 2027 ukladá povinná bezpecnostňa požiadavky na pripojené produkty. HSM — najmá secure elementy — sa stávaj� nevyhnutnými pre:
- Identitu zariadení — Každý IoT zariadenie zšska unikštnu, hardvérovo zakotvený identitu.
- Secure boot — Overenie integrity firmvéru pred spustením.
- Bezpecňa OTA aktualizácie — Autentifikšcia firmvérových aktualizácií.
- Ochranu dát — šifrovanie senzorových dát v pokoji aj pri prenose.
Súvisiace pojmy
- Secure Boot — Retazec dôvery založeňa na klšcoch v HSM.
- IoT — Pripojené zariadenia vyžadujúce hardvérová správu kľúčov.
- EU Cyber Resilience Act — Regulácia podporujšca adopciu HSM.
Naže rieženia embedded bezpecnosti integruj� secure elementy (STMicroelectronics STSAFE, Infineon OPTIGA) do IoT hardvéru — poskytujúc správu kryptografických kľúčov v súlade s CRA od pociatocňaho návrhu dosky po produkcňa provisionovanie.