slider

Hardware-Sicherheitsmodul - Prof. Dr. Norbert Pohlmann

Hardware-Sicherheitsmodul

Hardware-Sicherheitsmodul wie Smartcards, Trusted Platform Module (TPM) und High-Level Security Module (HSM)

Was ist ein Hardware-Sicherheitsmodul?


Das Ziel eines Hardware-Sicherheitsmodules ist ein hoher Schutz vor Auslesen und Manipulation von besonders sensiblen, sicherheitsrelevanten Informationen innerhalb eines besonders geschützten Hardware-Bereiches. Besonders sensible Sicherheitsrelevante Informationen, die in einem Hardware-Sicherheitsmodul geschützt werden sollen, sind zum Beispiel:

  • geheime Schlüssel für Verschlüsselung, Authentifizierung, digitale Signaturen usw.
  • Programme, die nicht kopiert oder modifiziert werden sollen, im Sinne eines Softwareschutzes.
  • Daten, die besondere Werte darstellen, wie zum Beispiel Transaktionsdaten, Coins usw.

Alle sicherheitsrelevanten Operationen, wie zum Beispiel „Verschlüsseln“, „Signieren“, „Zufallszahlen und Schlüssel generieren“ usw. finden direkt im besonders geschützten Hardware-Sicherheitsmodul statt. Geheime Schlüssel können so benutzt werden, ohne sie zu kennen. Geheime Daten, digitale Werte und Software sind manipulationssicher im Hardware-Sicherheitsmodul gespeichert.

In der Praxis haben sich unterschiedliche Umsetzungskonzepte von Hardware-Sicherheitsmodulen mit verschiedenen Sicherheitswirkungen und Einsatzumfeldern etabliert.

Hardware-Sicherheitschip:
Smartcards

Eine Smartcard ist ein IT-System in der genormten Größe der EC-Karte, das Personen IT-Sicherheitsdienstleistungen zur Verfügung stellt. Eine Smartcard enthält einen Sicherheitschip mit CPU, RAM und ROM-Speicher, ein kleines und sicheres Betriebssystem im ROM, eine I/O-Schnittstelle, über die die gesamte Kommunikation stattfindet (Kontaktflächen oder kontaktloses Interface) und ein EEPROM, auf dem die geheimen Schlüssel, wie ein geheimer RSA-Schlüssel oder andere symmetrische Schlüssel sowie persönliche Daten (Passwörter etc.) sicher gespeichert sind. „Sonstiges“ ist beispielsweise ein Co-Prozessor, der symmetrische oder asymmetrische Verschlüsselung sehr schnell durchführt (Krypto-Prozessor).

Hardware-Sicherheitsmodul für Personen die Smartcard
Abbildung: Smartcard – Hardware-Sicherheitsmodul – © Copyright-Vermerk


Eine Smartcard hat in der Regel nur personenorientierte, abgeleitete Schlüssel und keine Masterschlüssel gespeichert. Anwendungsfelder sind: EC-Karte, Kreditkarten, Personalausweis, Dienstausweise, Banken-  und Kreditkarten, Gesundheitskarte, der Heilberufsausweis, Authentifikationstoken, Verschlüsselungstoken, Bitcoin-Wallet, SSI-Wallet usw.

Hardware-Sicherheitschip:
Trusted Platform Module (TPM)

Das Trusted Platform Module (TPM) soll helfen softwarebasierten Angriffen entgegenwirken. Die TPM-Spezifikationen wurden bereits von vielen Herstellern umgesetzt und seht in vielen IT-Systemen zur Verfügung. Fast jedes aktuelle Notebook beinhaltet einen solchen Sicherheitschip. Ein TPM ist im Prinzip und vom Sicherheitslevel her ein Smartcard-Sicherheitschip mit ein paar Erweiterungen, wie das Platform Configuration Register (PCR).

Hardware-Sicherheitsmodul für IT-Systeme das Trusted Platform Module (TPM)
Abbildung: Trusted Platform Module (TPM) – © Copyright-Vermerk


Das Hardware-Sicherheitsmodule TPM speichert in erster Linie abgeleitete Schüssel von IT-Systemen und Personen. Anwendungsfelder sind: kleinere IT-Systeme wie PCs, Notebooks, Drucker, Netzwerkkomponenten, Autos und andere Dinge.

Hardware-Sicherheitsmodul:
High-Level Security Module

Ein High-Level Security Module (HSM) ist für besonders wertvolle sicherheitsrelevante Informationen (Master-Keys, Schlüssel von globaler Bedeutung etc.) und für sehr hohe Performance-Anforderungen konzipiert. Ein besonderer Unterschied zur Smartcard-Sicherheit ist, dass wenn ein Angriff vom High-Level Security Module erkannt wird, die zu schützenden sicherheitsrelevanten Informationen innerhalb des Sicherheitsmoduls sofort aktiv und sicher gelöscht werden können.
Dazu ist ein HSM typischerweise physikalisch gekapselt und mit einer aktiven Sensorik ausgerüstet, die Angriffe erkennt und dann Aktionen auslösen kann. Ein HSM ist in der Regel ein Vielfaches sicherer und leistungsfähiger als eine Smartcard, aber auch sehr viel teurer (mehrere tausend Euro, in Anhängigkeit der Leistung).

Hardware-Sicherheitsmodul für zum Schutz von Master-Keys das High-Level Security Module (HSM)
Abbildung: High-Level Security Module (HSM) – © Copyright-Vermerk

High-Level Security Module (HSM) bieten eine sehr hohe Wirkung gegen Angriffe auf die sicherheitsrelevanten Informationen und eignen sich für den Schutz von Master-Keys. Anwendungsfelder sind: typischerweise Sicherheitskomponenten für größere IT-Systeme im Hoch-Sicherheitsumfeld. Public Key-Infrastruktur, Bankenumfeld, IT-Sicherheit für die Netzbetreiber und Industrie, im behördlichen Umfeld.

Zusammenfassung Hardware-Sicherheitsmodul

Die Nutzung der Kryptographie in der modernen Gesellschaft steigt ständig. Bezahlsysteme, zunehmend über das Internet, Verschlüsselung von Daten auf Datenträgern und während der Kommunikation, Mobilfunkverschlüsselung und Authentifikation, Wegfahrsperren im Auto sind nur einige Beispiele dieses Trends.

Die dazu notwendigen Schlüssel, Software und Transaktionsdaten können in normalen IT-Systemen nicht angemessen geschützt werden. Aus diesem Grund werden Hardware-Sicherheitsmodule (HSMs) benötigt, die diese besonders sensitiven Sicherheitsinformationen angemessen schützen. Smartcards, TPMs und HLSM sind in der Lage, auf sehr unterschiedliche Art und Weise und mit unterschiedlichen Wirkungen des Schutzes, diese Aufgabe zuverlässig umzusetzen. Da Nutzer nicht in der Lage sind, die komplexen Aspekte des physikalischen Schutzes der Sicherheitsinformationen, die Kryptografie, die Generierung von Schlüsseln, die Implementierung der kryptografischen Algorithmen und ein sicheres Key-Management zu beurteilen, ist es unbedingt erforderlich, dass eine professionelle Zertifizierung der Hardware-Sicherheitsmodule auf einem angemessenen Evaluierungsniveau umgesetzt wird.

Weitere Informationen zum Begriff “Hardware-Sicherheitsmodul”

Vorlesung:
„Hardware-Sicherheitsmodule zum Schutz von sicherheitsrelevanten“

Artikel:
„Hardware-Sicherheitsmodule zum Schutz von sicherheitsrelevanten Informationen”

“Sichere Authentifizierung im Internet – Mit der SmartCard durch den Passwort-Jungel”

“Aktivierung von Smartcards durch Biometrie”

„European Multilateral Secure Computing Base”

„Vertrauenswürdige Netzwerkverbindungen mit Trusted Computing – Sicher vernetzt?“

„Turaya – Die offene Trusted Computing Sicherheitsplattform”

Vorlesungen: „Vorlesungen zum Lehrbuch Cyber-Sicherheit

Bücher:

Lehrbuch Cyber-Sicherheit – Das Lehrbuch für Konzepte, Mechanismen, Architekturen und Eigenschaften von Cyber-Sicherheitssystemen in der Digitalisierung

Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download

  • Sicher im Internet: Tipps und Tricks für das digitale Leben
  • Der IT-Sicherheitsleitfaden
  • Firewall-Systeme – Sicherheit für Internet und Intranet, E-Mail-Security, Virtual Private Network, Intrusion-Detection-System, Personal Firewalls

Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)
Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)

Marktplatz IT-Sicherheit

Zurück zur Übersicht




Summary
Hardware-Sicherheitsmodul
Article Name
Hardware-Sicherheitsmodul
Description
Das Ziel eines Hardware-Sicherheitsmodules ist ein hoher Schutz vor Auslesen und Manipulation von besonders sensiblen, sicherheitsrelevanten Informationen innerhalb eines sehr gut geschützten Hardware-Bereiches. Zu schützende Informationen sind geheime Schlüssel, Daten und Programme.
Author
Publisher Name
Institut für Internet-Sicherheit – if(is)
Publisher Logo
Hardware-Sicherheitsmodul wie Smartcards, Trusted Platform Module (TPM) und High-Level Security Module (HSM)
Hardware-Sicherheitsmodul Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten