HSM modul máte? A mohla bych ho vidět?

15. 8. 2024

Sdílet

 Autor: Canva.com
HSM neboli Hardware Security Module je základním hardwarovým prvkem bezpečnosti dnešního digitálního světa.

Že je to pro vás pojem neznámý a s ničím takovým jste se nikdy nepotkali? No přímo s HSM modulem dost možná ne, ale se službami na HSM modulech postavenými dozajista ano. Nebo jste snad nikdy nebyli na žádné webové stránce? Nepoužíváte platební kartu? Nedostali jste od lékaře e-recept na výdej léků? Tam a v tisíci a jedné dalších situací všedního dne figuruje kryptografie, jejíž bezpečnost je kryta HSM moduly.

Co to tedy ten HSM modul vlastně je? Jde o certifikované hardwarové zařízení, které spravuje, používá a hlavně chrání nějaké tajemství (nejčastěji kryptografické klíče) před jeho únikem a zneužitím. Co se fyzické podoby týče, nejtypičtější jsou HSM moduly ve formě samostatného „serveru“ nebo typu PCIe rozšiřující karty. Obsahují specializovaný HW, který řeší generování klíčů, akceleraci kryptografických algoritmů a mimo jiné i tzv. tamper protection. To znamená, že pokud se někdo začne do útrob HSM modulu fyzicky „dobývat“, HSM modul se zablokuje, aby ochránil svěřená tajemství. HSM moduly mohou být specializované pro určitou oblast, my se však dále zaměříme na HSM moduly v oblasti PKI, tedy elektronického podpisu, a to zejména v kontextu kvalifikovaného elektronického podpisu podle legislativy evropské unie – nařízení eIDAS.

Pro vytvoření kvalifikovaného elektronického podpisu (nejvyšší možná forma elektronického podpisu podle legislativy EU) potřebujeme v zásadě dvě věci: kvalifikovaný certifikát pro elektronický podpis a kvalifikovaný prostředek pro vytváření elektronických podpisů. Takže nejprve ten kvalifikovaný certifikát. Ten vám musí vydat tzv. QTSP (Qualified Trust Service Provider – česky: kvalifikovaný poskytovatel služeb vytvářejících důvěru), jenž poskytuje službu „vydávání kvalifikovaných certifikátů pro elektronické podpisy“ – v praxi se mluví o tzv. kvalifikované CA (certifikační autoritě). Kvalifikovaný certifikát je datová struktura, která je podepsaná vydavatelem tohoto certifikátu, tedy klíčem CA. A hádejte, kde je kvalifikovaná CA povinna mít uložený svůj privátní klíč, jímž podepisuje vydávané certifikáty? Ano, na HSM modulu, který v tomto konkrétním případě musí být certifikován podle metodiky Common Criteria vůči PP (protection profile) EN 419 221–5.

Aby podpis mohl být klasifikován jako kvalifikovaný elektronický podpis, musí být privátní klíč vygenerován, spravován a používán výhradně ve „kvalifikovaném prostředku pro vytváření elektronických podpisů“ – QSCD (Qualified Signature Creation Device). Tímto zařízením bývá čipová karta (např.: StarCOS 3.7) nebo USB token. Avšak současným trendem se jeví přechod z lokálně drženého QSCD (tedy čipové karty) na tzv. vzdálené QSCD a služby, jež poskytují vytváření kvalifikovaného elektronického podpisu na dálku. 

V těchto službách plní roli vzdáleného QSCD právě HSM modul. Resp. podle aktuálních technických norem tvoří HSM modul jenom půlku vzdáleného QSCD. Druhou půlku vytváří tzv. SAM (Signature Activation Module). SAM je SW komponenta, chcete-li aplikace, která má specifické požadavky na HW, na němž běží, a prostředí, kde je provozována. Musí být certifikována podle metodiky Common Criteria vůči PP EN 419 241–2. Použitý HSM modul pak musí být také certifikovaný, a to vůči PP EN 419 221–5. A teprve kombinace příslušného SAM a HSM může získat certifikaci QSCD pro vzdálené vytváření elektronických podpisů, tzv. QSCD type 2. Ovšem pro platnost certifikace vzdáleného QSCD nemůže tyto komponenty provozovat kdokoliv, nýbrž výhradně QTSP.

ICTS24

Ale nesmutněte. Chcete-li si do své společnosti pořídit vlastní HSM modul, můžete. A dokonce s ním můžete vytvářet kvalifikované elektronické pečeti. Kvalifikovaná elektronická pečeť je (zjednodušeně, experti prominou) obdobou kvalifikovaného elektronického podpisu, kdy podepisující osobou není fyzická osoba, nýbrž osoba právnická. V tomto kontextu může dávat smysl pořídit si vlastní HSM modul a na něm jménem společnosti „pečetit“. 

Na trhu existují zařízení, jejichž certifikace takové použití umožňuje, a takový HSM modul je při splnění určitých podmínek pro tyto případy považován za certifikované lokální QSCD. Určitě je však před nákupem takového zařízení vhodné nejprve kontaktovat kvalifikovanou CA, od které si budete chtít příslušný kvalifikovaný certifikát pro vytváření elektronických pečetí nechat vydat, a poradit se, který HSM modul je vhodný a co jeho provoz v souladu s certifikací obnáší.

Autor článku