Por sus siglas “Hardware Security Module” (Módulo de Seguridad Hardware), es un dispositivo de cómputo criptográfico que genera, almacena y protege claves digitales para una autenticación fuerte y proporcionando criptoprocesamiento.
Vienen tradicionalmente en forma de una tarjeta de complemento o en un dispositivo que se conecta directamente a una computadora o servidor de red. Suele aportar aceleración de hardware para operaciones criptográficas y funcionalidad criptográfica de clave pública (PKI) de alto rendimiento que se efectúa dentro del dispositivo.
Usos
Su principal funcionalidad es la generación de datos seguros para su acceso a lo largo del tiempo, pudiendo aportar adicionalmente seguridad física. Entre las principales funciones están:
- Generación de claves criptográficas seguras.
- Almacenamiento y gestión de claves criptográficas.
- Uso de material de datos criptográficos.
No permiten la extracción de las claves sin cifrar y se utilizan para acelerar la realización de las operaciones criptográficas en su hardware dedicado.
Consideraciones
La rápida evolución del software y el empuje de las soluciones de código abierto han hecho que existan soluciones aceleradoras con software que superan en rendimiento a los aceleradores de hardware como es el HSM, aunque estos requieren de un esfuerzo mayor de configuración y mantenimiento.
La seguridad que proporcionan los HCM es muy elevada si se siguen ciertas políticas de seguridad. Las claves protegidas solo están completamente protegidas si fueron generadas dentro del propio hardware, por lo que si estas claves se generan fuera t se importan, las copias de dichas claves obviamente no podrán ser protegidas por el dispositivo.
Existen criterios universales para calificar estos dispositivos, los cuales están documentados en un Estándar Federal de Procesamiento de Información (FIPS) llamado FIPS 140-1.
HSM Soportado por Rootve V2
Rootve en su versión 2 utiliza el módulo HSM nCipher nShield F3 PCI, utilizado como el soporte para la generación de pares de clave pública/privada, almacenamiento y generación/revocación de certificados digitales en la aplicación. Se utiliza el acceso a las claves almacenadas en el HSM a través del esquema umbral límite (K, N) de Shamir implementado por nCipher.