Hvad er et HSM?
Et HSM (Hardware Security Module) er en dedikeret fysisk enhed, hvis eneste opgave er at beskytte kryptografiske nøgler. Al nøglegenerering, kryptering og signering sker inde i modulet, og de private nøgler kan aldrig eksporteres i klartekst. Manipulerer nogen fysisk med enheden, sletter den typisk sine nøgler selv.
HSM vs. software-nøgler
Nøgler gemt som filer på en server kan kopieres ubemærket af enhver med tilstrækkelig adgang, og et læk opdages ofte aldrig. Nøgler i et HSM kan derimod kun bruges, ikke udleveres: Modulet udfører operationen og afgiver aldrig selve nøglen. Det er den forskel, revisorer og standarder som FIPS 140 kigger efter, når nøglerne er forretningskritiske.
Hvornår kræver compliance et HSM?
Kravet opstår typisk tre steder:
- Regulering og certificering: Kvalificerede elektroniske signaturer under eIDAS kræver, at nøglerne beskyttes i certificeret hardware. Se EU's cybersikkerhedsagentur ENISA for rammerne omkring tillidstjenester.
- PKI-rodnøgler: Rod- og udstedende certifikater i en PKI er hele tillidskædens fundament. Kompromitteres de, er alt udstedt materiale værdiløst.
- Leverandør- og branchekrav: Finans, pharma og betalingsløsninger stiller ofte kontraktkrav om FIPS 140-certificeret nøglebeskyttelse, ligesom code signing af software i stigende grad kræver hardware-beskyttede nøgler.
HSM i eget rack eller som cloud-tjeneste?
Et fysisk HSM giver fuld kontrol, men kræver redundans, backup-ceremonier og specialviden. Cloud-tjenester som Azure Key Vault med HSM-beskyttelse (se Microsoft Learn) leverer samme certificerede beskyttelse som tjeneste og passer ofte bedre til danske SMV'er. Valget afhænger af compliance-krav, integrationer og hvem der skal drifte løsningen i hverdagen.
HSM og resten af nøglehåndteringen
Et HSM løser opbevaringen, men ikke livscyklussen: Certifikater skal stadig udstedes, fornys og overvåges, ellers er udløb lig driftstop. Vil I hele vejen rundt om emnet, har vi samlet det i e-bogen PKI og HSM i praksis med tjekliste til jeres egen modenhed.
Sådan hjælper MI Support IT
Vi har mangeårig specialisterfaring med enterprise-PKI og nøglehåndtering, fra design af certifikat-hierarkier til valg og drift af HSM-løsninger. Læs mere under PKI Management, eller kontakt os for en konkret vurdering af jeres behov.