Modulo de seguridad por hardware (HSM)
¿Qué es Modulo de seguridad por hardware (HSM)?
Modulo de seguridad por hardware (HSM)Dispositivo a prueba de manipulacion que genera, almacena y usa claves criptograficas sin exponer nunca el material clave en claro al sistema operativo.
Un HSM es un equipo, tarjeta o servicio en la nube dedicado a realizar operaciones criptograficas (firma, verificacion, cifrado, descifrado, key wrap) dentro de un perimetro de seguridad reforzado. Las claves se generan en el propio dispositivo y nunca salen en claro. Muchos modelos estan certificados bajo FIPS 140-2 o FIPS 140-3 (niveles 2 a 4) y Common Criteria. Los HSM dan soporte a PKIs, firma de codigo, sistemas de pago (PIN, EMV), TLS, cifrado de bases de datos y servicios KMS en la nube (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Sus protecciones incluyen deteccion de manipulacion, zeroizacion de claves y administracion por quorum.
● Ejemplos
- 01
Clave privada raiz de una CA generada y usada solo en un HSM offline certificado FIPS 140-3 nivel 3.
- 02
HSMs PCI usados para traducir PIN de tarjetas en un switch de pagos.
● Preguntas frecuentes
¿Qué es Modulo de seguridad por hardware (HSM)?
Dispositivo a prueba de manipulacion que genera, almacena y usa claves criptograficas sin exponer nunca el material clave en claro al sistema operativo. Pertenece a la categoría de Criptografía en ciberseguridad.
¿Qué significa Modulo de seguridad por hardware (HSM)?
Dispositivo a prueba de manipulacion que genera, almacena y usa claves criptograficas sin exponer nunca el material clave en claro al sistema operativo.
¿Cómo funciona Modulo de seguridad por hardware (HSM)?
Un HSM es un equipo, tarjeta o servicio en la nube dedicado a realizar operaciones criptograficas (firma, verificacion, cifrado, descifrado, key wrap) dentro de un perimetro de seguridad reforzado. Las claves se generan en el propio dispositivo y nunca salen en claro. Muchos modelos estan certificados bajo FIPS 140-2 o FIPS 140-3 (niveles 2 a 4) y Common Criteria. Los HSM dan soporte a PKIs, firma de codigo, sistemas de pago (PIN, EMV), TLS, cifrado de bases de datos y servicios KMS en la nube (AWS CloudHSM, Azure Dedicated HSM, Google Cloud HSM). Sus protecciones incluyen deteccion de manipulacion, zeroizacion de claves y administracion por quorum.
¿Cómo defenderse de Modulo de seguridad por hardware (HSM)?
Las defensas contra Modulo de seguridad por hardware (HSM) combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Modulo de seguridad por hardware (HSM)?
Nombres alternativos comunes: HSM.
● Términos relacionados
- cryptography№ 1178
Modulo de plataforma confiable (TPM)
Chip de seguridad estandar soldado a la placa o implementado en firmware que aporta almacenamiento de claves anclado en hardware, atestiguacion y arranque medido.
- cryptography№ 419
FIPS 140 / FIPS 140-3
Norma federal de EE. UU., mantenida por NIST, que define los requisitos de seguridad para modulos criptograficos y su certificacion en laboratorios acreditados.
- cryptography№ 248
Clave criptográfica
Valor secreto o público de alta entropía que parametriza un algoritmo criptográfico para cifrar, descifrar, firmar o autenticar datos.
- cryptography№ 589
Rotación de claves
Sustitución periódica de claves criptográficas por nuevas para limitar el volumen de datos protegidos por una sola clave y contener el impacto de un compromiso.
- cryptography№ 1260
YubiKey
Familia de llaves de seguridad de Yubico que implementan FIDO2, WebAuthn, U2F, smartcard PIV, OpenPGP y OTP para autenticacion resistente a phishing.
- cryptography№ 879
Criptografía de clave pública
Rama de la criptografía que usa pares de claves pública y privada para permitir cifrado, intercambio de claves, firmas digitales y autenticación sin secretos previos.
● Véase también
- № 462Token de hardware
- № 246Borrado criptografico
- № 829PKCS#11