Thiết kế thiết bị HSM
HSM có các tính năng chống can thiệp để lại các dấu hiệu có thể phát hiện được, các cảnh báo khi bị can thiệp, hoặc việc xâm nhập là khó khăn đến mức không thể không làm cho HSM ngừng hoạt động hoặc xóa cặp khóa khi bị phát hiện có can thiệp.
Vì HSM thường được dùng cho các hạ tầng quan trọng như hệ thống chữ ký số PKI, ngân hàng trực tuyến nên các HSM được triển khai theo mô hình clustering để đảm bảo tính sẵn sàng cao (HA – High Availability) và hiệu suất cao (HP – High Performance). Một số HSM còn được trang bị bộ nguồn đôi và các linh kiện có thể thay thế nóng để đảm bảo hệ thống hoạt động liên tục với yêu cầu cao trong môi trường Datacenter.
An toàn & bảo mật
Với vai trò hệ trọng trong việc đảm bảo an ninh cho các hạ tầng và ứng dụng, HSM thường được chứng nhận bởi các tiêu chuẩn quốc tế như Common Criteria EAL4+ và / hoặc FIPS 140-2 để cung cấp cho người sử dụng các đảm bảo độc lập rằng việc thiết kế và sản xuất thiết bị và các thuật toán mật mã kèm theo là an toàn và bảo mật. Cấp độ cao nhất của chứng chỉ FIPS 140-2 là Level 4. Khi được sử dụng trong các ứng dụng thanh toán tài chính, mức độ an toàn của HSM được thẩm định theo các yêu cầu được định nghĩa bởi Hội đồng các tiêu chuẩn công nghiệp thẻ thanh toán (Payment Card Industry Security Standards Council).
Các chức năng của HSM
- Sinh khóa mật mã an toàn trên thiết bị
- Lưu chứa khóa mật mã an toàn trên thiết bị
- Quản lý khóa
- Ký số và mã hóa
HSM còn được triển khai để quản lý các cặp khóa Transparent Data Encryption cho database và cặp khóa cho các thiết bị lưu trữ như ổ đĩa hay băng từ.
HSM hỗ trợ cả mật mã đối xứng và bất đối xứng (khóa công khai). Với một số ứng dụng như chứng thực số hay ký số, các cặp khóa bất đối xứng được dùng trong mật mã khóa công khai. Với các ứng dụng khác như mã hóa dữ liệu hay hệ thống thanh toán tài chính thì thường dùng cặp khóa đối xứng.
Với hiệu suất ký số từ 1 tới 10,000 chữ ký 2048-bit RSA mỗi giây, HSM có thể đảm bảo tài nguyên CPU cho các ứng dụng sử dụng khóa bất đối xứng. Ngày nay một số loại HSM hỗ trợ thêm thuật toán ECC (Elliptic Curve Cryptography) với khả năng mã hóa mạnh hơn với độ dài cặp khóa ngắn hơn.
Ứng dụng HSM trong doanh nghiệp
Thiết bị HSM chuyên dụng được sử dụng trong nhiều ứng dụng chữ ký số khác nhau yêu cầu mức độ an toàn và tốc độ ký số cao mà các thiết bị chữ ký số khác như USB token, Smartcard không đáp ứng được.
Trong môi trường PKI, HSM được dùng bởi các CA (Certification Authority) và các RA (Registration Authority) để sinh, lưu trữ và quản lý các cặp khóa bất đối xứng. Các CA HSM không yêu cầu tốc độ ký số cao, có thể hoạt động trực tuyến (online) hoặc ngoại tuyến (offline).
- CA HSM cho các hệ thống chữ ký số hạ tầng khóa công khai (PKI)
- HSM ký số tập trung cho các ứng dụng dịch vụ công và chính phủ điện tử như hóa đơn điện tử, thuế điện tử, hải quan điện tử, bảo hiểm xã hội điện tử.
- HSM ký số tập trung cho các ứng dụng nghiệp vụ như chứng từ điện tử, hợp đồng điện tử, văn bản, tài liệu điện tử.
- HSM cho các hệ thống thanh toán thẻ của ngân hàng.
- Xác thực kết nối SSL bằng thiết bị HSM.
