हार्डवेयर सुरक्षा मॉड्यूल
हार्डवेयर सुरक्षा मॉड्यूल (HSM) एक भौतिक संगणक डिवाइस है जो रहस्यों (सबसे महत्वपूर्ण रूप से डिजिटल कुंजियों) की सुरक्षा और आयोजन करता है, डिजिटल हस्ताक्षर, मजबूत प्रमाणीकरण और अन्य क्रिप्टोग्राफ़िक कार्यों के लिए कूटलेखन और डिक्रिप्शन कार्य करता है। ये मॉड्यूल परंपरागत रूप से एक प्लग-इन कार्ड या एक बाहरी डिवाइस के रूप में आते हैं जो सीधे संगणक या सर्वर (संगणक) से जुड़ते हैं। एक हार्डवेयर सुरक्षा मॉड्यूल में एक या अधिक सुरक्षित क्रिप्टोप्रोसेसर एकीकृत सर्किट होता है।[1][2][3]
डिजाइन
हार्डवेयर सुरक्षा मॉड्यूल में ऐसी विशेषताएँ हो सकती हैं जो हस्ताछेप के प्रमाण प्रदान करती हैं जैसे कि हस्ताछेप या लॉगिंग और अलर्ट के दृश्य संकेत, या हस्ताछेप प्रतिरोध जो हार्डवेयर सुरक्षा मॉड्यूल को क्रियाहीन किए बिना हस्ताछेप करना जटिल बनाता है, अथवा हस्ताछेप का पता लगाने पर चाबियों को हटाने जैसी उत्तरदायी से हस्ताछेप करता है।[4]
प्रत्येक मॉड्यूल में हस्ताछेप और Bus_analyzer, या मॉड्यूल में चिप्स के संयोजन को रोकने के लिए एक या एक से अधिक सुरक्षित क्रिप्टोप्रोसेसर चिप्स होते हैं जो हस्ताछेप के प्रमाण , हस्ताछेप प्रतिरोधी, या उत्तरदायी पैकेजिंग से सुरक्षित होते हैं।
उपस्थित एचएसएम का एक बड़ा भाग मुख्य रूप से गुप्त कुंजियों को प्रबंधित करने के लिए डिज़ाइन किया गया है। कई हार्डवेयर सुरक्षा मॉड्यूल सिस्टम के पास उन चाबियों का सुरक्षित रूप से बैकअप लेने का साधन है जिन्हें वे हार्डवेयर सुरक्षा मॉड्यूल के बाहर संभालते हैं। कुंजियों को लिपटे हुए रूप में बैकअप किया जा सकता है और डिस्क भंडारण या अन्य मीडिया पर संकलित किया जा सकता है, या बाहरी रूप से एक सुरक्षित पोर्टेबल डिवाइस जैसे स्मार्ट कार्ड या किसी अन्य सुरक्षा टोकन का उपयोग किया जा सकता है।[5]
एचएसएम का उपयोग वास्तविक समय प्राधिकरण और महत्वपूर्ण मूलभूत संरचना में सिद्धि करने के लिए किया जाता है, इस प्रकार सामान्यतः संगणक क्लस्टर, स्वचालित विफलता, और अनावश्यक फ़ील्ड-बदली जाने योग्य घटकों सहित मानक उच्च उपलब्धता मॉडल का समर्थन करने के लिए इंजीनियरिंग किया जाता है।
बाजार में उपलब्ध कुछ एचएसएम में एचएसएम के सुरक्षित बाड़े के भीतर विशेष रूप से विकसित मॉड्यूल को समाप्त करने की क्षमता है। ऐसी क्षमता उपयोगी है, उदाहरण के लिए, ऐसी स्थितियों में जहां सुरक्षित और नियंत्रित वातावरण में विशेष एल्गोरिदम या व्यावसायिक तर्क को समाप्त किया जाना है। मॉड्यूल उपस्थित सी (प्रोग्रामिंग भाषा), .NET, जावा (प्रोग्रामिंग भाषा), या अन्य प्रोग्रामिंग भाषाओं में विकसित किए जा सकते हैं। इसके अतिरिक्त, आगामी अगली पीढ़ी के एचएसएम[6] अधिक जटिल कार्यों को संभाल सकता है जैसे पूर्ण ऑपरेटिंग सिस्टम को लोड करना और चलाना और कस्टमाइज़ेशन और रीप्रोग्रामिंग की आवश्यकता के बिना कमर्शियल_ऑफ-द-शेल्फ सॉफ़्टवेयर। इस तरह के अपरंपरागत डिजाइन पारंपरिक एचएसएम के उपस्थित डिजाइन और प्रदर्शन की सीमाओं को दूर करते हैं। एप्लिकेशन-विशिष्ट कोड को सुरक्षित करने का लाभ प्रदान करते हुए, ये निष्पादन इंजन हार्डवेयर सुरक्षा मॉड्यूल के संघीय सूचना प्रसंस्करण मानक या सामान्य मानदंड सत्यापन की स्थिति की रक्षा करते हैं।[7]
सुरक्षा
अनुप्रयोगों और मूलभूत संरचना को सुरक्षित करने में उनकी महत्वपूर्ण भूमिका निभाने के कारण, सामान्य उद्देश्य एचएसएम और / या क्रिप्टोग्राफ़िक मॉड्यूल सामान्यतः अंतरराष्ट्रीय स्तर पर मान्यता प्राप्त मानकों के अनुसार प्रमाणित होते हैं जैसे सामान्य मानदंड (उदाहरण के लिए सुरक्षा प्रोफ़ाइल EN 419 221-5, ट्रस्ट सेवाओं के लिए क्रिप्टोग्राफ़िक मॉड्यूल का उपयोग करना) ) या FIPS 140 (वर्तमान में तीसरा संस्करण, जिसे प्रायः FIPS 140-3 के रूप में संदर्भित किया जाता है) उपयोगकर्ताओं को स्वतंत्र आश्वासन प्रदान करने के लिए कि उत्पाद और क्रिप्टोग्राफ़िक एल्गोरिदम का डिज़ाइन और परिपालन सही है। चूंकि FIPS 140 सुरक्षा प्रमाणन का उच्चतम स्तर प्राप्त करने योग्य सुरक्षा स्तर 4 है, अधिकांश हार्डवेयर सुरक्षा मॉड्यूल के पास स्तर 3 प्रमाणन है। सामान्य मानदंड प्रणाली में उच्चतम EAL (मूल्यांकन आश्वासन स्तर) EAL7 है, अधिकांश हार्डवेयर सुरक्षा मॉड्यूल के पास EAL4+ प्रमाणन है। जब वित्तीय भुगतान अनुप्रयोगों में उपयोग किया जाता है, तो एचएसएम की सुरक्षा प्रायः भुगतान कार्ड उद्योग सुरक्षा मानक परिषद द्वारा परिभाषित एचएसएम आवश्यकताओं के विरुद्ध मान्य होती है।[8].
उपयोग करता है
डिजिटल कुंजी का उपयोग करने वाले किसी भी एप्लिकेशन में एक हार्डवेयर सुरक्षा मॉड्यूल नियोजित किया जा सकता है। सामान्यतः चाबियां उच्च मूल्य की होंगी - जिसका अर्थ है कि कुंजी के मास्टर के लिए एक महत्वपूर्ण, नकारात्मक प्रभाव होगा यदि यह निष्कर्ष किया गया था।
एचएसएम के कार्य हैं:
- जहाज पर सुरक्षित क्रिप्टोग्राफिक कुंजी पीढ़ी
- ऑनबोर्ड सुरक्षित क्रिप्टोग्राफिक कुंजी भंडारण,न्यूनतम शीर्ष स्तर और सबसे संवेदनशील कुंजियों के लिए, जिन्हें प्रायः मास्टर कुंजी कहा जाता है
- महतवपूर्ण प्रबंधन
- क्रिप्टोग्राफ़िक और संवेदनशील डेटा सामग्री का उपयोग, उदाहरण के लिए, डिक्रिप्शन या डिजिटल हस्ताक्षर कार्य करना
- संपूर्ण असममित क्रिप्टोग्राफी और सममित क्रिप्टोग्राफी के लिए एप्लिकेशन सर्वर को ऑफलोड करना।
हार्डवेयर सुरक्षा मॉड्यूल को डेटाबेस के लिए पारदर्शी डेटा एन्क्रिप्शन कुंजी और डिस्क एन्क्रिप्शन या चुंबकीय टेप डेटा संग्रहण जैसे संग्रहण उपकरणों के लिए कुंजियों को प्रबंधित करने के लिए भी नियुक्त किया गया है।
हार्डवेयर सुरक्षा मॉड्यूल प्रकटीकरण, गैर-अधिकृत उपयोग और संभावित विरोधियों से क्रिप्टोग्राफ़िक कुंजियों सहित इन सामग्रियों की तार्किक और भौतिक सुरक्षा दोनों प्रदान करते हैं।[9]
एचएसएम सममित और असममित (सार्वजनिक-कुंजी) सार्वजनिक कुंजी क्रिप्टोग्राफी दोनों का समर्थन करते हैं। कुछ अनुप्रयोगों के लिए, जैसे प्रमाणपत्र प्राधिकरण और डिजिटल हस्ताक्षर, क्रिप्टोग्राफ़िक सामग्री असममित कुंजी जोड़े (और प्रमाणपत्र) हैं जो सार्वजनिक-कुंजी क्रिप्टोग्राफी में उपयोग की जाती हैं।[10] अन्य अनुप्रयोगों के साथ, जैसे डेटा एन्क्रिप्शन या वित्तीय भुगतान प्रणाली, क्रिप्टोग्राफ़िक सामग्री में मुख्य रूप से सममित-कुंजी एल्गोरिथम होता है।
कुछ एचएसएम सिस्टम हार्डवेयर एसएसएल त्वरण भी हैं। वे सामान्यतः सममित कुंजी संचालन के लिए केवल-हार्डवेयर समाधान के प्रदर्शन को हरा नहीं सकते हैं। चूंकि, प्रति सेकंड 1 से 10,000 1024-बिट आरएसए (एल्गोरिदम) संकेतों के प्रदर्शन के साथ, एचएसएम असममित कुंजी संचालन के लिए महत्वपूर्ण सीपीयू ऑफलोड प्रदान कर सकते हैं। चूंकि राष्ट्रीय मानक और प्रौद्योगिकी संस्थान (एनआईएसटी) वर्ष 2010 से 2,048 बिट आरएसए कुंजियों के उपयोग का अनुरोध कर रहा है,[11] लंबे कुंजी आकारों पर प्रदर्शन अधिक महत्वपूर्ण हो गया है। इस अभिप्राय को हल करने के लिए, अधिकांश एचएसएम अब अंडाकार वक्र क्रिप्टोग्राफी (ईसीसी) का समर्थन करते हैं, जो छोटी कुंजी लंबाई के साथ स्थिर एन्क्रिप्शन प्रदान करता है।
पीकेआई पर्यावरण (सीए एचएसएम)
सार्वजनिक कुंजी अवसंरचना वातावरण में, हार्डवेयर सुरक्षा मॉड्यूलs का उपयोग प्रमाणन प्राधिकरण (CAs) और पंजीकरण प्राधिकरण (RAs) द्वारा असममित कुंजी जोड़े को उत्पन्न करने, संकलित करने और संभालने के लिए किया जा सकता है। इन स्थितियों में, डिवाइस में कुछ मूलभूत विशेषताएं होनी चाहिए, अर्थात्:
- तार्किक और भौतिक उच्च स्तरीय सुरक्षा
- बहु-भाग उपयोगकर्ता प्राधिकरण स्कीमा (गुप्त साझाकरण देखें)
- पूर्ण ऑडिट और लॉग ट्रेस
- सुरक्षित कुंजी बैकअप
दूसरी ओर, पीकेआई वातावरण में डिवाइस का प्रदर्शन सामान्यतः ऑनलाइन और ऑफलाइन दोनों परिचालनों में कम महत्वपूर्ण होता है, चूंकि पंजीकरण प्राधिकरण प्रक्रियाएं मूलभूत संरचना की प्रदर्शन बाधा का प्रतिनिधित्व करती हैं।
कार्ड भुगतान प्रणाली एचएसएम (बैंक एचएसएम)
भुगतान कार्ड उद्योग में विशिष्ट एचएसएम का उपयोग किया जाता है। एचएसएम लेन-देन को संसाधित करने और उद्योग मानकों का अनुपालन करने के लिए आवश्यक सामान्य-उद्देश्य कार्यों और विशेष कार्यों दोनों का समर्थन करते हैं। वे सामान्यतः एक मानक अप्लिकेशन प्रोग्रामिंग अंतरफलक की सुविधा नहीं देते हैं।
विशिष्ट अनुप्रयोग लेनदेन प्राधिकरण और भुगतान कार्ड व्यक्तिकरण हैं, जैसे कार्यों की आवश्यकता होती है:
- सत्यापित करें कि उपयोगकर्ता द्वारा अंकित किया गया पिन कार्ड जारीकर्ता को ज्ञात संदर्भ पिन से मेल खाता है
- कार्ड सुरक्षा कोड की जांच करके या एटीएम नियंत्रक या भुगतान टर्मिनल के संयोजन के साथ ईएमवी आधारित लेनदेन के आयोजक योग्य घटकों को निष्पादित करके क्रेडिट/डेबिट कार्ड लेनदेन को सत्यापित करें
- स्मार्ट कार्ड (जैसे ईएमवी) के साथ क्रिप्टो-एपीआई का समर्थन करें
- किसी अन्य प्राधिकरण होस्ट को भेजने के लिए पिन ब्लॉक को पुनः एन्क्रिप्ट करें
- सुरक्षित कुंजी प्रबंधन करें
- पीओएस एटीएम नेटवर्क प्रबंधन के एक प्रोटोकॉल का समर्थन करें
- होस्ट-होस्ट कुंजी के वास्तविक मानकों का समर्थन करें डेटा एक्सचेंज एपीआई
- एक पिन मेलर जनरेट करें और प्रिंट करें
- एक चुंबकीय पट्टी कार्ड (पीवीवी, कार्ड सत्यापन मूल्य) के लिए डेटा उत्पन्न करें
- कार्ड कीसेट उत्पन्न करें और स्मार्ट कार्ड के लिए निजीकरण प्रक्रिया का समर्थन करें
बैंकिंग बाजार पर एचएसएम के मानकों का उत्पादन और रखरखाव करने वाले प्रमुख संगठन भुगतान कार्ड उद्योग सुरक्षा मानक परिषद, एएससी X9 9 और मानकीकरण के लिए अंतर्राष्ट्रीय संगठन हैं।
एसएसएल कनेक्शन स्थापना
प्रदर्शन-महत्वपूर्ण अनुप्रयोग जिन्हें HTTPS (सुरक्षित सॉकेट लेयर / परिवहन परत सुरक्षा) का उपयोग करना है, आरएसए संचालन को स्थानांतरित करके SSL त्वरण हार्डवेयर सुरक्षा मॉड्यूल के उपयोग से लाभान्वित हो सकते हैं, जिसके लिए सामान्यतः होस्ट सीपीयू से हार्डवेयर सुरक्षा मॉड्यूल तक कई बड़े पूर्णांक गुणन की आवश्यकता होती है। उपकरण। विशिष्ट एचएसएम डिवाइस लगभग 1 से 10,000 1024-बिट आरएसए संचालन/सेकंड कर सकते हैं।[12][13] लंबे कुंजी आकारों में कुछ प्रदर्शन तेजी से महत्वपूर्ण होता जा रहा है। इस अभिप्राय को हल करने के लिए, कुछ एचएसएम [14] अब ईसीसी का समर्थन करें। विशिष्ट हार्डवेयर सुरक्षा मॉड्यूल डिवाइस प्रति सेकंड 20,000 ऑपरेशन तक की संख्या तक पहुँच सकते हैं।[15]
डीएनएसएसईसी
रजिस्ट्रियों की बढ़ती संख्या एचएसएम का उपयोग प्रमुख सामग्री को संकलित करने के लिए करती है जिसका उपयोग बड़े app पर हस्ताक्षर करने के लिए किया जाता है। ओपन डीएनएसएसईसी (OpenडीएनएसSEC) एक ओपन-सोर्स टूल है जो डीएनएस जोन फ़ाइल पर हस्ताक्षर करने का प्रबंधन करता है।
27 जनवरी, 2007 को ICANN और Verisign ने U.S. डिपार्टमेंट ऑफ कॉमर्स के समर्थन से डीएनएस रूट ज़ोन के लिए डोमेन नाम सिस्टम सुरक्षा एक्सटेंशन को निर्धारित करना प्रारंभ कर दिया।[16] रूट हस्ताक्षर का विवरण रूट डीएनएसएसईसी की वेबसाइट पर पाया जा सकता है।[17]
क्रिप्टोक्यूरेंसी वॉलेट
क्रिप्टोक्यूरेंसी निजी कुंजी को एचएसएम पर क्रिप्टोक्यूरेंसी वॉलेट में संकलित किया जा सकता है।[18]
यह भी देखें
- विद्युत धन स्थानान्तरण
- एफआईपीएस 140
- सार्वजनिक मुख्य मूलभूत सुविधा
- पीकेसीएस 11
- सुरक्षित क्रिप्टोप्रोसेसर
- सुरक्षा टोकन
- पारदर्शी डेटा एन्क्रिप्शन
- सुरक्षा स्विच
- विश्वसनीय प्लेटफ़ॉर्म मॉड्यूल
नोट्स और संदर्भ
- ↑ Ramakrishnan, Vignesh; Venugopal, Prasanth; Mukherjee, Tuhin (2015). सूचना इंजीनियरिंग, प्रबंधन और सुरक्षा 2015 पर अंतर्राष्ट्रीय सम्मेलन की कार्यवाही: ICIEMS 2015. Association of Scientists, Developers and Faculties (ASDF). p. 9. ISBN 9788192974279.
- ↑ "बिग-आईपी हार्डवेयर सुरक्षा मॉड्यूल के साथ संवेदनशील डेटा को सुरक्षित करें" (PDF). F5 Networks. 2012. Retrieved 30 September 2019.
- ↑ Gregg, Michael (2014). CASP CompTIA उन्नत सुरक्षा व्यवसायी अध्ययन गाइड: परीक्षा CAS-002. John Wiley & Sons. p. 246. ISBN 9781118930847.
- ↑ "इलेक्ट्रॉनिक छेड़छाड़ का पता लगाने वाला स्मार्ट मीटर संदर्भ डिजाइन". freescale. Retrieved 26 May 2015.
- ↑ "स्मार्टकार्ड/सुरक्षा टोकन का उपयोग करना". mxc software. Retrieved 26 May 2015.
- ↑ "दुनिया का पहला टैम्पर-प्रूफ सर्वर और सामान्य प्रयोजन सुरक्षित एचएसएम". Private Machines. Retrieved 7 March 2019.
- ↑ Barker, Elaine; Barker, William C (2019). "कुंजी प्रबंधन के लिए सिफारिश". Gaithersburg, MD. doi:10.6028/nist.sp.800-57pt2r1.
{{cite journal}}
: Cite journal requires|journal=
(help) - ↑ "आधिकारिक PCI सुरक्षा मानक परिषद साइट - PCI अनुपालन सत्यापित करें, डेटा सुरक्षा और क्रेडिट कार्ड सुरक्षा मानक डाउनलोड करें". www.pcisecuritystandards.org (in English). Retrieved 2018-05-01.
- ↑ "हार्डवेयर सुरक्षा मॉड्यूल के लिए समर्थन". paloalto. Archived from the original on 26 May 2015. Retrieved 26 May 2015.
- ↑ "आवेदन और लेनदेन सुरक्षा / एचएसएम". Provision. Retrieved 26 May 2015.
- ↑ "संक्रमण: क्रिप्टोग्राफ़िक एल्गोरिथम और कुंजी लंबाई के उपयोग के संक्रमण के लिए अनुशंसा". NIST. January 2011. Retrieved March 29, 2011.
- ↑ F. Demaertelaere. "हार्डवेयर सुरक्षा मॉड्यूल" (PDF). Atos Worldline. Archived from the original (PDF) on 6 September 2015. Retrieved 26 May 2015.
- ↑ "24 घंटे में 20 करोड़ सर्टिफिकेट जारी करने की तैयारी - आइए एनक्रिप्ट करें". Let's Encrypt. Retrieved 2021-05-19.
{{cite web}}
: CS1 maint: url-status (link) - ↑ "बारको सिलेक्स एफपीजीए डिजाइन एटोस वर्ल्डलाइन हार्डवेयर सुरक्षा मॉड्यूल में लेनदेन को गति देता है". Barco-Silex. January 2013. Retrieved April 8, 2013.
- ↑ "सेफनेट नेटवर्क एचएसएम - पूर्व में लूना एसए नेटवर्क-संलग्न एचएसएम". Gemalto. Retrieved 2017-09-21.
- ↑ "ICANN ने रूट ज़ोन के लिए सार्वजनिक DNSSEC परीक्षण योजना शुरू की". www.circleid.com. Retrieved 2015-08-17.
- ↑ Root DNSSEC
- ↑ "जेमल्टो और लेजर क्रिप्टोक्यूरेंसी आधारित गतिविधियों के लिए सुरक्षा बुनियादी ढांचा प्रदान करने के लिए हाथ मिलाते हैं". gemalto.com. Retrieved 2020-04-20.