مرکز نوآوری فناوری اطلاعات و ارتباطات
HSM کلاینت

ماژول امنیت سخت‌افزاری دستگاهی برای مدیریت سطوح کاربری و دسترسی‌ها در سیستم است. ایجاد امکان رمزنگاری در سطح سیستم، محدود کردن و شخصی‌سازی در استفاده از واحدهای سیستم، مدیریت امن کلیدهای رمزنگاری و انجام سریع محاسبات سنگین رمزنگاری از اهداف استفاده از این دستگاه است. در محصول کنونی ماژول امنیت سخت‌افزار مبتنی بر FPGA مورد هدف قرار گرفته است. سه دلیل برای استفاده از FPGA در این ماژول‌ها مد نظر بوده است.

  1. انجام وظایف پردازشی بر روی تراشه‌های FPGA سرعت بسیار بالاتری را در مقایسه با پردازنده‌ها، ریزپردازنده‌ها (microprocessor) و ریزکنترل‌کننده‌ها (microcontroller) فراهم می‌کند؛ چرا که لایه‌ی نرم‌افزار را کنار زده و مستقیما بر روی سخت‌افزار اجرا می‌شوند. علاوه بر وجود منابع پردازشی بیشتر بر روی این تراشه‌ها، توازی بیشتری در انجام وظایف را مهیا می‌کند. این سرعت بالاتر، کاربردهای جدیدی را ممکن می‌سازد. به طور مثال رمزنگاری بر روی ترافیک شبکه‌های با سرعت بالا، رمزنگاری داده‌ی حجیم برای ذخیره شدن در پایگاه‌های داده و … که پیش از این توسط ماژول‌های امنیت سخت‌افزار مبتنی بر ریزپردازنده و حتی پردازنده‌های قوی ممکن نبود، قابل انجام می‌شود.
  2. ماژول‌های امنیت سخت‌افزار مبتنی برFPGA از امنیت بسیار بالاتری نسبت به نمونه‌ی مبتنی بر پردازنده‌ی آن برخوردارند. دو دسته‌ی اصلی حملاتی که این دستگاه‌ها با آن‌ها مواجه هستند حملات مهندسی معکوس و حملات کانال جانبی اند. مهندسی معکوس ماژول‌های مبتنی بر پردازنده بسیار آسان‌تر از FPGA است، زیرا در این حالت با یک نرم‌افزار مواجه هستیم که دستورات آن یک به یک اجرا می‌شوند. این در حالی است که FPGA یک مدار الکترونیکی پیچیده است که منطق آن از موازی‌سازی‌های متعدد و تعاملات میان این پردازش‌های موازی و ناهمگون تشکیل شده‌است. همین انجام موازی و همزمان دستورات مختلف سبب مقاومت بیشتر این دسته از دستگاه‌ها در مقابله حملات کانال جانبی می‌شود. بدین ترتیب، لحاظ کردن اقدامات پیشگیرانه‌ی یکسان بر روی سامانه‌ی مبتنی بر پردازنده و مبتنی بر FPGA به امنیت بسیار بالاتری در حالت دوم می‌انجامد.
  3. دلیل سوم برای استفاده از FPGA، وجود خلأ چنین محصولی در بین دیگر ماژول‌های امنیت سخت‌افزار در کشور است. در حال حاضر ماژول‌های امنیت سخت‌افزار متنوع و بومی در کشور ساخته می‌شود، اما اکثر این محصولات بر توکن‌های سخت‌افزاری متمرکز شده اند. توکن‌ها ماژول‌های کوچک و قابل حملی شبیه به حافظه‌های فلش رایج هستند که قدرت محاسباتی ضعیفی دارند. در داخل این ماژول‌ها اکثراً میکروکنترلری برای انجام عملیات رمزنگاری قرار گرفته است. محصولات دیگری نیز وجود دارند که دارای قدرت محاسباتی بالاتری هستند ولی باز هم از پردازنده‌ها برای محاسبات بهره می‌برند.

 

قابلیت‌ها

  • کاربردهای غیر حساس به سرعت
  • قابلیت اتصال از طریق درگاه USB
  • پشتیبانی از پروتکل رمزنگاری PKCS #11
  • پشتیبانی از الگوریتم‌های
    • رمزنگاری/رمزگشایی متقارن
    • رمزنگاری/رمزگشایی نامتقارن
    • تولید کلید متقارن و نامتقارن
    • امضای دیجیتال
    • توابع درهم‌ساز
  • پشتیبانی از راه‌کارهای مقابله با دستکاری

راهکارها

  • HSM کلاینت در تأمین امنیت کامپیوترهای کاری (Workstations)، شبکه‌های متوسط و کوچک، ارتباطات و فناوری اطلاعات امن و … نیز می‌تواند به کار رود؛ از جمله برای برقراری امنیت در:
    • سرویس ایمیل
    • سرویس VoIP
    • مکالمات تصویری
    • ترمینال SSH
    • دسترسی به کامپیوتر از راه دور (Remote Desktop)
© مرکز نوآوری فناوری اطلاعات و ارتباطات پژوهشکده AICT دانشگاه صنعتی شریف - ۱۳۹۳