「HSM」の版間の差分
(ページの作成:「HSM (Hardware Security Module, ハードウェアセキュリティモジュール)とは、暗号化プロセッサです。暗号処理を行うハードウェア...」) |
(相違点なし)
|
2015年6月6日 (土) 18:38時点における版
HSM (Hardware Security Module, ハードウェアセキュリティモジュール)とは、暗号化プロセッサです。暗号処理を行うハードウェアです。暗号鍵の管理を安全に行う装置です。
読み方
- HSM
- えいち えす えむ
- Hardware Security Module
- はーどうぇあ せきゅりてぃ もじゅーる
目次
概要
暗号において、鍵は、非常に重要な要素です。コンピュータで鍵を扱っている場合、それは、安全でしょうか?鍵を扱うために、メモリにロードして使うことになります。コンピュータのメモリをダンプすることによって、簡単に鍵を盗まれる恐れがあります。
鍵の安全性を保つには、鍵をコンピュータで扱わず、外部のハードウェアで、暗号処理を行うことで、鍵が盗まれるリスクをなくすことができます。その1つのソリューションが、HSMです。
USBで接続できる イメーション(Ironkey) Windows To Go対応 ハードウェア暗号化USBデバイス FIPS 140-2 レベル3認証取得 32GB WGHC0B032G0001 です。
HSMは、取得してる FIPS 140-2(後述)の認証のレベルで、保証されるものが変わってきます。
HSMの基本機能
HSMでは、以下の基本機能を提供しています。
- 鍵を生成
- 鍵を安全に保管
- 暗号処理、電子署名
- 乱数を生成
鍵の生成
暗号の処理に使う、鍵を生成します。HSMで作成された鍵は、HSMの外部に取り出すことはできません。
鍵を安全に保管
鍵を安全に守るために、物理的な攻撃に対しても、構造上の対策がなされています。
暗号処理、電子署名
HSMは、暗号化、復号、電子署名の処理を行います。HSM内の鍵を利用します。HSMを暗号処理のアクセラレータとして利用できます。
乱数を生成
コンピュータで高品質の乱数を生成するのは、難しいです。 HSMには、乱数を発生する機能を内蔵しています。高品質の乱数を生成できます。
FIPS 140
FIPS 140 とは、米国標準技術局 (NIST) が規定しているセキュリティ要件です。
レベル | 定義 |
---|---|
セキュリティレベル1 | 暗号モジュールの基本的セキュリティ要求事項が求められる。 |
セキュリティレベル2 | タンパー証跡, Role Based Access Control |
セキュリティレベル3 | タンパー検知, タンパー応答, Identity Based Access Control |
セキュリティレベル4 | 環境変動、環境状況に対応した保護 |
コモンクライテリア
コモンクライテリア(Common Criteria, CC)は、情報セキュリティ評価の共通基準です。ISO/IEC15408に規定されています。 正式名称は、 Common Criteria for Information Technology Security Evaluation です。
セキュリティ機能要件
- FAU (セキュリティ監査)
- FCO (通信)
- FCS(暗号サポート)
- FDP(利用者データ保護)
- FIA(識別と認証)
- FMT(セキュリティ管理)
- RPR(プライバシー)
- FPT(TOEセキュリティ機能の保護)
- FRU(資源利用)
- FTA(TOEアクセス)
- FTP(高信頼パス/チャネル)
セキュリティ保証要件
EAL(Evaluation Assurance Level, 評価保証レベル)が定義されています。
- TCSEC
- 米国国防総省のセキュリティ評価基準
CC EAL | ITSEC E | 意味 | TCSEC |
---|---|---|---|
EAL1 | E0-E1 | 機能テスト | D-C1 |
EAL2 | E1 | 構造化テスト | C1 |
EAL3 | E2 | 方式的テスト, チェック | C2 |
EAL4 | E3 | 方式的設計, テスト, レビュー | B1 |
EAL5 | E4 | 準形式的設計, テスト | B2 |
EAL6 | E5 | 準形式的検証済み設計, テスト | B3 |
EAL7 | E6 | 形式的検証済み設計, テスト | A |
HSMの価格
- 数千円、数万円
- スマートカード型、オンボード型
- 数十万円 - 数百万円
- 外付け型、内蔵型
- 数百万円 - 数千万円
- アプライアンス型
使用例
- ネットワークセキュリティ (SSL, DNSSEC)
- 認証局
- カード発行システム
- 決済システム
- タイムスタンプサーバ
- データベース暗号
- 金融系セキュリティ、公的分野のセキュリティ