slider

High-Level Security Module (HSM) - Prof. Dr. Norbert Pohlmann

High-Level Security Module (HSM)

High-Level Security Module (HSM) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann

Ein High-Level Security Module (HSM) ist ein Hardware-Sicherheitsmodul für besonders wertvolle sicherheitsrelevante Informationen (Master-Keys, Schlüssel von globaler Bedeutung etc.) und für sehr hohe Performance-Anforderungen konzipiert. Ein besonderer Unterschied zur Smartcard-Sicherheit und Trusted Platform Module (TPMs) ist, dass wenn ein Angriff vom High-Level Security Module erkannt wird, die zu schützenden sicherheitsrelevanten Informationen innerhalb des Sicherheitsmoduls sofort aktiv und sicher gelöscht werden können.
Dazu ist ein HSM typischerweise physikalisch gekapselt und mit einer aktiven Sensorik ausgerüstet, die Angriffe erkennt und dann Aktionen auslösen kann. Ein HSM ist in der Regel ein Vielfaches sicherer und leistungsfähiger als eine Smartcard oder ein TPM, aber auch sehr viel teurer (mehrere tausend Euro, in Anhängigkeit der Leistung).

Grundidee eines HSM
Die Grundidee eines HSM ist ein physikalisch geschütztes IT-System mit einem gepufferten RAM, in dem alle sicherheitsrelevanten Informationen gespeichert sind. Alle Sicherheitsdienstleistungen des Security Module werden über eine definierte externe Schnittstelle zur Verfügung gestellt. Mithilfe eines physikalischen Schutzes wird der Inhalt des RAMs so geschützt, dass es einem Angreifer nicht möglich ist, es auszulesen oder zu manipulieren. Ein physikalischer Schutz ist zum Beispiel eine komplex aufgebaute, flexible Leiterplatte mit vielen Layern und unterschiedlich verlaufenden Leiterbahnen, die das RAM mit den sicherheitsrelevanten Daten schützen. Der physikalische Schutz ist mit Sensorik untermauert, sodass jeder denkbare Angriff sofort erkannt wird. Es gibt eine Löschschaltung, die den Inhalt des RAM aktiv und sicher löscht, wenn ein Angriff erkannt wurde. Eine interne Stromversorgung sorgt dafür, dass die Löschschaltung und die Sensorik immer funktionsfähig sind. Außerdem überwacht die Sensorik die Stromversorgung. Bevor die Energie der internen Stromversorgung zu Ende geht, wird der Löschvorgang aus Sicherheitsgründen aktiv und löscht alle sicherheitsrelevanten Informationen nachhaltig sicher. Die Sensorik hat die Aufgabe, mögliche Angriffe zu erkennen, wie Durchleuchten, Temperatur-Angriffe, mechanische Attacken auf das RAM, chemische Attacken gegen den physikalischen Schutz und Manipulation des ordentlichen Betriebs über Spannung und Frequenzen. Wird ein Angriff durch die Sensorik erkannt, wird ein Löschvorgang ausgelöst und damit können die sicherheitsrelevanten Informationen nicht mehr erfolgreich angegriffen werden.
Bei dieser wichtigen Sicherheitsfunktion wird deutlich, dass es einen verlässlichen und sicheren Backup-Prozess geben muss, der die sicherheitsrelevanten Daten wiederherstellen kann. Somit bleibt die eigentliche und gewollte Anwendung mit den besonders sensiblen sicherheitsrelevanten Informationen verfügbar.
Die Leistungsfähigkeit der verwendeten CPU bei einem HSM ist in der Regel sehr hoch, und die Kommunikationsgeschwindigkeit mit einem HSM ist sehr schnell. Auch Lösungen, die eine hohe Parallelität für eine höhere Performance sowie gute Verfügbarkeit zur Verfügung stellen, sind in sehr vielen Anwendungsfällen notwendig.
Dabei werden mehrere HSM in einem IT-System angeboten und/oder mehrere HSM in IT-Systeme parallel über Kommunikationsschnittstellen parallel und redundant genutzt.
Die Vorteile eines HSM sind seine hohe Leistungsfähigkeit und die hohe Sicherheit, im Vergleich zu Smartcard-Sicherheitschips und TPMs.

High-Level Security Module (HSM) – Glossar Cyber-Sicherheit – Prof. Norbert Pohlmann


Anwendungsfelder für High-Level Security Module
Ein Hardware-Sicherheitsmodul für das Hoch-Sicherheitsumfeld ist in der Umsetzung meist ein High-Level Security Module (HSM). Die Sicherheitswirkung eines HSM zum Schutz der sicherheitsrelevanten Informationen eignet sich für Master-Keys und Schlüssel von globaler Bedeutung. Die Einsatzgebiete sind typischerweise Sicherheitskomponenten für größere IT-Systeme im Hoch-Sicherheitsumfeld.
Anwendungsfälle von HSMs sind: Public Key-Infrastruktur (Schlüsselgenerierung, Zeitstempeldienste), Bankenumfeld (Autorisierungsstationen für die Freigabe von Geld, wie bei EC-Cash, Speicherung von Wallets, wie für Bitcoins usw.), Sicherheit für die Netzbetreiber (im Bereich EC-Cash mit Mineralölunternehmen usw.) und Industrie (Schlüsselgenerierung für Autoschlüssel, Abrechnung in Maut-Systemen, Authentifikation im Mobilfunknetz, digitale Signatur von zentralen Prozessen, wie Rechnungen, Archivierungssystemen usw.), im behördlichen Umfeld (IT-Sicherheitsdienste des neuen Personalausweises, Speicherung von Schlüsseln für die Verschlüsselung, …).

Diskussion über den Level an IT-Sicherheit eines High-Level Security Moduls (HSM)
Die Wirkung gegen Angriffe auf die sicherheitsrelevanten Daten im High-Level Security Modul kann nur mit einem Aufwand von weit über 10. Mio. EUR umgesetzt werden. Daher werden in dem High-Level Security Modul auch Master- Schlüssel und Schlüssel von globaler Bedeutung gespeichert.


Weitere Informationen zum Begriff “High-Level Security Module (HSM)”:


Vorlesung: „Hardware-Sicherheitsmodule zum Schutz von sicherheitsrelevanten“

Artikel:
„Hardware-Sicherheitsmodule zum Schutz von sicherheitsrelevanten Informationen”

Informationen über das Lehrbuch: „Cyber-Sicherheit“

Glossar Cyber-Sicherheit: Bundesamt für Sicherheit in der Informationstechnik (BSI)

Zurück zur Übersicht
High-Level Security Module (HSM) - Glossar Cyber-Sicherheit - Prof. Norbert Pohlmann
High-Level Security Module (HSM) Prof. Dr. Norbert Pohlmann - Cyber-Sicherheitsexperten