这正是我想知道的。基于云的 HSM 很昂贵,我需要确定要支付的费用。
问问题
533 次
2 回答
5
主要是公钥密码学。HSM 包含链接回受信任的公共根的密钥对,与 SSL/TLS 的工作方式相同。您可以从设备获取签名证书,然后验证证书是否由制造商签名。(这与您验证您实际拥有的 HSM 是真实的而不是假冒的方法相同。)
您还相信制造商和与他们合作的认证机构在他们关于设备安全性的声明中是正确的,但这与您拥有的 HSM 没有什么不同。
内部部署与云 HSM 威胁模型的唯一区别在于,在云环境中,我的云提供商可以监视流量并尝试在 HSM 上运行命令。但是,流量全部加密,设备至少受密码保护(如果发生太多失败的登录尝试,通常会自行归零),因此我的云提供商实际上无法访问任何加密材料或查看您的内容重新做。他们最多可以看到您发送到 HSM 的流量,如果您真的很偏执,您可以拥有一个添加随机流量以混淆使用模式的系统。
有关更多信息,AWS 在其 CloudHSM 常见问题解答中的“我如何知道我可以信任 CloudHSM 设备?”下对此问题提供了答案。(您需要向下滚动一点,文档不支持链接到特定问题,只是一个部分)
于 2017-04-07T06:32:11.887 回答
0
如果云 HSM 提供商声明它已被验证为符合支付卡行业 (PCI) 数据安全标准 (DSS) ,您不必担心他们的系统。
专门的合规公司合格的安全评估员检查云 HSM 提供商并给予监管批准。这些合格的安全评估员每年都会对合规性进行验证。整个信用卡系统都基于 HSM 的安全性,因此这些安全性要求非常广泛(不仅仅是检查 HSM 是硬件)。这就是 Cloud HSM 也很昂贵的原因。
于 2017-03-10T08:40:36.357 回答