HSM — Hardware Security Module
Hardware Security Module (HSM) je dedikované fyzické výpočtové zariadenie odolné voči manipulácii, ktoré chráni a spravuje kryptografické kľúče, vykonáva digitálne podpisovanie a urýchľuje šifrovacie operácie.
Čo robí HSM?
HSM plní tri základné funkcie:
- Generovanie a ukladanie kľúčov — Vytvára kryptografické kľúče vo vnútri chráneného prostredia. Kľúče nikdy neopúšťajú HSM v otvorenom texte.
- Kryptografické operácie — Šifruje, dešifruje, podpisuje a overuje dáta pomocou interných kľúčov.
- Riadenie prístupu a audit — Vynucuje prísne autentifikačné politiky a zaznamenáva všetky operácie.
Typy HSM
| Typ | Forma | Typické použitie | Certifikácia |
|---|---|---|---|
| Sieťový HSM | Rack-mounted zariadenie | PKI, TLS, podpisovanie kódu | FIPS 140-3 Level 3 |
| PCIe HSM | Karta v serveri | Cloud KMS, šifrovanie databáz | FIPS 140-3 Level 3 |
| USB HSM | USB token | Vývojárske podpisovanie | FIPS 140-2 Level 2–3 |
| Secure Element | Malý IC na PCB | IoT identita, secure boot | CC EAL6+ |
| Embedded HSM | IP blok v SoC/FPGA | Automobilové ECU, priemysel | ISO/SAE 21434 |
Secure Elementy (napr. STMicroelectronics STSAFE-A110, Infineon OPTIGA Trust M, NXP EdgeLock SE050) sú miniaturizované HSM navrhnuté pre embedded a IoT aplikácie.
HSM vs. softvérové úložisko kľúčov
| Aspekt | HSM (hardvér) | Softvérové úložisko |
|---|---|---|
| Extrakcia kľúča | Nemožná — kľúče neopúšťajú zariadenie | Možná pri kompromitácii pamäte |
| Odolnosť | Detekcia fyzického prieniku, zeroizácia | Žiadna |
| Výkon | Hardvérovo akcelerovaná kryptografia | Závislý od CPU, pomalší |
| Certifikácia | FIPS 140-3, Common Criteria | Nemožná pre hardvér |
Prečo sú HSM dôležité pre IoT?
EU Cyber Resilience Act (CRA) od roku 2027 ukladá povinné bezpečnostné požiadavky na pripojené produkty. HSM — najmä secure elementy — sa stávajú nevyhnutnými pre:
- Identitu zariadení — Každé IoT zariadenie získa unikátnu, hardvérovo zakotvenú identitu.
- Secure boot — Overenie integrity firmvéru pred spustením.
- Bezpečné OTA aktualizácie — Autentifikácia firmvérových aktualizácií.
- Ochranu dát — Šifrovanie senzorových dát v pokoji aj pri prenose.
Súvisiace pojmy
- Secure Boot — Reťazec dôvery založený na kľúčoch v HSM.
- IoT — Pripojené zariadenia vyžadujúce hardvérovú správu kľúčov.
- EU Cyber Resilience Act — Regulácia podporujúca adopciu HSM.