Hardware Security Module (HSM)
Was ist Hardware Security Module (HSM)?
Hardware Security Module (HSM)Manipulationssicheres Hardware-Gerat, das kryptografische Schlussel erzeugt, speichert und nutzt, ohne das Schlusselmaterial je dem Betriebssystem preiszugeben.
Ein HSM ist ein dediziertes Gerat, eine PCIe-Karte oder ein Cloud-Service, der kryptografische Operationen (Signieren, Verifizieren, Ver- und Entschlusseln, Key Wrapping) innerhalb einer gehardeten Sicherheitsgrenze ausfuhrt. Schlussel werden im Gerat erzeugt und verlassen es nie im Klartext. Viele Modelle sind FIPS 140-2 oder FIPS 140-3 Level 2 bis 4 und Common Criteria zertifiziert. HSMs sichern PKIs, Code-Signing-Pipelines, Zahlungssysteme (PIN, EMV), TLS-Terminierung, Datenbankverschlusselung und Cloud-KMS wie AWS CloudHSM, Azure Dedicated HSM und Google Cloud HSM. Schutzmechanismen: Tamper-Erkennung, Key-Zeroization, rollengetrennte Quorum-Administration.
● Beispiele
- 01
Root-CA-Schlussel, erzeugt und genutzt ausschliesslich in einem Offline-HSM mit FIPS 140-3 Level 3.
- 02
PCI-HSMs zur PIN-Translation in einem Payment Switch.
● Häufige Fragen
Was ist Hardware Security Module (HSM)?
Manipulationssicheres Hardware-Gerat, das kryptografische Schlussel erzeugt, speichert und nutzt, ohne das Schlusselmaterial je dem Betriebssystem preiszugeben. Es gehört zur Kategorie Kryptografie der Cybersicherheit.
Was bedeutet Hardware Security Module (HSM)?
Manipulationssicheres Hardware-Gerat, das kryptografische Schlussel erzeugt, speichert und nutzt, ohne das Schlusselmaterial je dem Betriebssystem preiszugeben.
Wie funktioniert Hardware Security Module (HSM)?
Ein HSM ist ein dediziertes Gerat, eine PCIe-Karte oder ein Cloud-Service, der kryptografische Operationen (Signieren, Verifizieren, Ver- und Entschlusseln, Key Wrapping) innerhalb einer gehardeten Sicherheitsgrenze ausfuhrt. Schlussel werden im Gerat erzeugt und verlassen es nie im Klartext. Viele Modelle sind FIPS 140-2 oder FIPS 140-3 Level 2 bis 4 und Common Criteria zertifiziert. HSMs sichern PKIs, Code-Signing-Pipelines, Zahlungssysteme (PIN, EMV), TLS-Terminierung, Datenbankverschlusselung und Cloud-KMS wie AWS CloudHSM, Azure Dedicated HSM und Google Cloud HSM. Schutzmechanismen: Tamper-Erkennung, Key-Zeroization, rollengetrennte Quorum-Administration.
Wie schützt man sich gegen Hardware Security Module (HSM)?
Schutzmaßnahmen gegen Hardware Security Module (HSM) kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Hardware Security Module (HSM)?
Übliche alternative Bezeichnungen: HSM.
● Verwandte Begriffe
- cryptography№ 1178
Trusted Platform Module (TPM)
Standardisierter Sicherheits-Chip, aufgelotet oder als Firmware, der Hardware-verankerte Schlusselablage, Attestation und Measured Boot bereitstellt.
- cryptography№ 419
FIPS 140 / FIPS 140-3
Vom NIST gepflegter US-Bundesstandard, der Sicherheitsanforderungen an kryptografische Module und deren Zertifizierung durch akkreditierte Labore definiert.
- cryptography№ 248
Kryptografischer Schlüssel
Hochentroper geheimer oder öffentlicher Wert, der einen kryptografischen Algorithmus zum Verschlüsseln, Entschlüsseln, Signieren oder Authentifizieren parametrisiert.
- cryptography№ 589
Schlüsselrotation
Periodischer Austausch kryptografischer Schlüssel durch neue, um die mit einem einzelnen Schlüssel geschützte Datenmenge zu begrenzen und den Schadensumfang im Kompromittierungsfall zu reduzieren.
- cryptography№ 1260
YubiKey
Hardware-Security-Keys von Yubico, die FIDO2, WebAuthn, U2F, PIV-Smartcard, OpenPGP und OTP fur phishing-resistente Authentifizierung implementieren.
- cryptography№ 879
Public-Key-Kryptographie
Zweig der Kryptographie, der mit Paaren aus öffentlichem und privatem Schlüssel Verschlüsselung, Schlüsseltausch, digitale Signaturen und Authentifizierung ohne vorab geteiltes Geheimnis ermöglicht.
● Siehe auch
- № 462Hardware-Token
- № 246Kryptographische Loeschung
- № 829PKCS#11