ریشه اعتماد در تراکنشهای دیجیتال
HSM بومی صدف
رمزنگاری به عنوان اساسی ترین روش برای تضمین امنیت اطلاعات حساس به شمار میرود. اما یکی از نقاط آسیب در رمزنگاری، نحوه مدیریت کلید شامل تولید، تبادل و امحاء کلید است که یک چالش جدی در سامانه های کامپیوتری به شمار می رود. در واقع سامانه های کامپیوتری به دلیل استفاده از نرم افزار برای رمزنگاری، امنیت لازم جهت مدیریت کلید را ندارند. ماژول امنیتی سختافزاری (Hardware Security Module) که به اختصار HSM نامیده میشود، مراحل مدیریت کلید را در کنار عملیات رمزنگاری به صورت کاملا امن انجام میدهد. این ماژول کلیه مراحل مدیریت کلید و رمزنگاری را به صورت حفاظت شده در داخل سخت افزار و بدون دخالت سیستم عامل انجام میدهد، لذا بالاترین سطح اطمینان حاصل میشود. به همین دلیل، از این سیستم به عنوان ریشه امنیت (Root of trust) نام برده میشود.
ماژول امنیت سختافزاری علاوه بر مدیریت امن کلید، طیف وسیعی از الگوریتمهای رمزنگاری را با کارایی بالا در داخل سختافزار پیادهسازی میکند. این سیستمها مجهز به مکانیسمهای Tamper Response هستند که با تجهیز به انواع حسگرهای فعال، هرگونه دستکاری یا حمله فیزیکی یا منطقی به HSM را در حالت روشن و خاموش رصد میکنند و بالاترین سطح امنیت کلید را در اختیار کاربران قرار میدهند.
ماژول امنیت سختافزاری در بسیاری کاربردهای سازمانی و فراسازمانی، زیرساختهای حیاتی کشور و انواع سامانههای بانکی کاربرد دارد و عملا امنیت کل سامانه رمزنگاری کشور با اعتماد به این سیستم کار میکند. کاربردهایی مانند امضاهای سازمانی، ایجاد وبگاه امن، صدور گذرنامه، سیمکارت و انواع کارت هوشمند، سامانه های مالی و پرداخت الکترونیکی و … نیازمند استفاده از ماژول امنیت سختافزاری هستند.
ماژول امنیت سختافزاری صدف طبق استاندارد FIPS 140-2 Level 3 طراحی و پیادهسازی شده و سطح امنیتی قابل قبولی را برای مدیریت امن کلید فراهم میکند. امنیت کلید با استفاده از ماژول حفاظت فیزیکی مجهز به تراشه خاص Security Supervisor، سنسورهای حساس، حافظه امنیتی فوق حساس، مش و رزین حفاظتی و باتری بسیار کارآمد در تمام مراحل کارکرد سیستم (خاموش یا روشن) فراهم میشود.
با بکارگیری شتابدهنده های سخت افزاری کارآمد و بروز، انواع الگوریتمهای رمزنگاری متقارن و نامتقارن، انواع مکانیسمهای چکیده ساز و توابع تولید کلید را با کارایی و امنیت بسیار بالا در اختیار کاربران قرار میدهد. سیستم عامل مورد استفاده در HSM صدف در برابر انواع حملات و نفوذ مقاوم شده است و با توجه به اینکه در این سیستم هیچکدام از اطلاعات اساسی سیستم در حافظه سیستم عامل به صورت رمز نشده وجود ندارند، لذا امنیت سخت افزاری به معنای واقعی کلمه عینیت یافته است. با ارائه قابلیتهایی مانند HA/Failover، Hot-Swap Power، باتری قابل تعویض و استفاده از تجهیزات با کیفیت، قابلیت اطمینان بسیار بالایی برای سامانه صدف ایجاد شده است. در شکل زیر معماری کلی HSM صدف نشان داده شده است.
در کنار مزایای فنی، خدمات پس از فروش، انواع آموزشهای فنی، توسعه واسطهای ارتباطی خاص برای مشتریان ارائه میشود. ذکر این نکته حائز اهمیت است که HSM محصول فناورانه خاصی است که ممکن است نیاز به سفارشی سازی یا آموزشهای خاص برای هر مشتری داشته باشد، لذا دسترسی دائم مشتریان به تیم تولید کننده آن برای مشتریان از اهمیت خاصی برخوردار است. این قابلیت برای هیچکدام از محصولات خارجی در هیچ سطحی وجود ندارد. در انتها، با توجه به اینکه کل سامانه های رمزنگاری در سطح سازمانی و کشوری به ریشه امنیتی اعتماد میکنند، استفاده از HSM بومی –که دانش، نیروهای انسانی و مراحل تولید آن قابل رصد و نظارت است- از نقطه نظر امنیت راهبردی و پدافند غیرعامل کلیدی است.
تا بحال بیش از 80 دستگاه از این محصول به مشتریان مختلف از ادارات و سازمانهای دولتی، شرکتهای خصوصی، بانکها، مراکز امنیتی و … ارائه شده است و تجربه عملیاتی سالهای گذشته، سطح بالایی از قابلیت اطمینان و اعتماد به سیستم را در توسعه دهندگان و مشتریان آن ایجاد کرده است. محصول بومی و ایرانی صدف در حال حاضر در دو مدل لاوان و کیش ارائه می شود که هر دو محصول مشخصات امنیتی و کارکردی مشابه دارند و تفاوت آنها در نوع شتابدهنده های سخت افزاری و سطح کارایی آنهاست.
مشخصات فنی HSM صدف
- پیاده سازی و اجرای کلیه الگوریتمهای رمزنگاری، و تولید، ذخیره سازی، پشتیبانگیری و بازیابی کلیدها در داخل سخت افزار
- عدم دسترسی به محتوای کلیدها/دادههای محرمانه از لایه نرم افزار یا سیستم عامل
- مجهز به انواع حسگرهای تشخیص tamper و نابودسازی کلید، منطبق بر FIPS 140-2 Level 4
- حساسیت به باز شدن درب دستگاه، نور، دما، ولتاژ، فرکانس، مش جهت نابودسازی کلید
کاربردهای ماژول امنیت سخت افزاری صدف
- تولید، محافظت، و بکارگیری امن کلیدهای رمزنگاری در مراکز نظامی و اطلاعاتی، مرکز صدور گواهی الکترونیکی دیجیتال، شبکه بانکی، شبکه مخابرات و ارتباطات موبایل
- رمزگذاری و تضمین جامعیت داده های حساس در سیستم های مدیریت پایگاه داده ها
- محافظت از کلید و شتاب دهی عملیات رمزنگاری در پروتکل های امنیتی HTTPS/SSL/TLS، IPSec، VPN
خدمات پس از فروش
محصول HSM صدف به صورتی طراحی شده که مشتریان با دانش فنی مناسب و دسترسی به مستندات فنی محصول، بدون نیاز به حضور مهندسان شرکت پارسا، بتوانند بسادگی با این محصول کار کنند. البته دسترسی به تیم توسعه دهنده HSM صدف در پارسا میتواند سطح بالاتری از کارآمدی و قابلیت اطمینان جهت توسعه کاربردها، پروتکلها و واسطهای جدید را برای مشتریان به ارمغان آورد. در این راستا در مرحله پشتیبانی خدمات زیر به مشتریان صدف ارائه میشود.
- ارائه راهکار: پیشنهاد و همکاری برای توسعه راهکارهای مناسب برای اتصال به HSM برای کاربردهای امنیتی متناسب با نیاز مشتری.
- سفارشی سازی محصول: سفارشی سازی قابل پیاده سازی متناسب با نیاز مشتریان.
- تأمین قطعات مصرفی: قطعاتی مانند باتری یا سایر اجزا که ممکن است در طول زمان نیاز به تعویض داشته باشند.
- گارانتی و وارانتی محصول: ارائه گارانتی و وارانتی مطابق با نوع قرارداد با مشتری
- آموزش فنی کار با HSM: آموزش در سطوح مختلف کاربری، توسعه و نگهداشت به صورت عمومی و آموزشهای خاص متناسب با نیاز مشتریان.