Modulo de seguranca de hardware (HSM)
O que é Modulo de seguranca de hardware (HSM)?
Modulo de seguranca de hardware (HSM)Equipamento resistente a violacao que gera, guarda e usa chaves criptograficas sem nunca expor o material da chave em claro ao sistema operativo.
Um HSM e um dispositivo, placa PCIe ou servico cloud dedicado a operacoes criptograficas (assinatura, verificacao, cifragem, decifragem, embrulho de chaves) dentro de um perimetro de seguranca reforcado. As chaves sao geradas no equipamento e nunca o deixam em claro. Muitos modelos sao certificados FIPS 140-2 ou FIPS 140-3 niveis 2 a 4 e Common Criteria. HSMs suportam PKIs, assinatura de codigo, sistemas de pagamento (PIN, EMV), terminacao TLS, cifragem de base de dados e KMS cloud como AWS CloudHSM, Azure Dedicated HSM e Google Cloud HSM. Protecoes: detecao de violacao, zeroizacao de chaves e administracao por quorum com separacao de funcoes.
● Exemplos
- 01
Chave privada de CA raiz gerada e usada apenas num HSM offline FIPS 140-3 nivel 3.
- 02
HSMs PCI usados para traducao de PIN num switch de pagamentos.
● Perguntas frequentes
O que é Modulo de seguranca de hardware (HSM)?
Equipamento resistente a violacao que gera, guarda e usa chaves criptograficas sem nunca expor o material da chave em claro ao sistema operativo. Pertence à categoria Criptografia da cibersegurança.
O que significa Modulo de seguranca de hardware (HSM)?
Equipamento resistente a violacao que gera, guarda e usa chaves criptograficas sem nunca expor o material da chave em claro ao sistema operativo.
Como funciona Modulo de seguranca de hardware (HSM)?
Um HSM e um dispositivo, placa PCIe ou servico cloud dedicado a operacoes criptograficas (assinatura, verificacao, cifragem, decifragem, embrulho de chaves) dentro de um perimetro de seguranca reforcado. As chaves sao geradas no equipamento e nunca o deixam em claro. Muitos modelos sao certificados FIPS 140-2 ou FIPS 140-3 niveis 2 a 4 e Common Criteria. HSMs suportam PKIs, assinatura de codigo, sistemas de pagamento (PIN, EMV), terminacao TLS, cifragem de base de dados e KMS cloud como AWS CloudHSM, Azure Dedicated HSM e Google Cloud HSM. Protecoes: detecao de violacao, zeroizacao de chaves e administracao por quorum com separacao de funcoes.
Como se defender contra Modulo de seguranca de hardware (HSM)?
As defesas contra Modulo de seguranca de hardware (HSM) costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Modulo de seguranca de hardware (HSM)?
Nomes alternativos comuns: HSM.
● Termos relacionados
- cryptography№ 1178
Trusted Platform Module (TPM)
Chip de seguranca padronizado soldado a placa principal ou implementado em firmware que oferece armazenamento de chaves ancorado em hardware, atestacao e measured boot.
- cryptography№ 419
FIPS 140 / FIPS 140-3
Norma federal dos EUA mantida pelo NIST que define requisitos de seguranca para modulos criptograficos e a sua certificacao por laboratorios acreditados.
- cryptography№ 248
Chave criptográfica
Valor secreto ou público de alta entropia que parametriza um algoritmo criptográfico para cifrar, decifrar, assinar ou autenticar dados.
- cryptography№ 589
Rotação de chaves
Substituição periódica das chaves criptográficas por novas para limitar o volume de dados protegidos por uma única chave e conter o impacto de um comprometimento.
- cryptography№ 1260
YubiKey
Familia de chaves de seguranca de hardware da Yubico que implementa FIDO2, WebAuthn, U2F, smartcard PIV, OpenPGP e OTP para autenticacao resistente a phishing.
- cryptography№ 879
Criptografia de chave pública
Ramo da criptografia que usa pares de chaves pública e privada para suportar cifragem, troca de chaves, assinaturas digitais e autenticação sem segredos partilhados previamente.
● Veja também
- № 462Token de hardware
- № 246Apagamento criptografico
- № 829PKCS#11