it-swarm-es.com

¿Cuáles son las diferencias entre TPM y HSM?

TPM (Trusted Platform Module) y HSM (Hardware Security Module) se consideran criptoprocesadores, pero ¿cuáles son las diferencias exactamente?

¿Uno de ellos tiene más ventajas que otro?

36
Ali

Módulos de plataforma de confianza

Un Trusted Platform Module (TPM) es un chip de hardware en la placa base de la computadora que almacena las claves criptográficas utilizadas para el cifrado. Muchas computadoras portátiles incluyen un TPM, pero si el sistema no lo incluye, no es posible agregar uno. Una vez habilitado, Trusted Platform Module proporciona capacidades completas de cifrado de disco. Se convierte en la "raíz de confianza" para que el sistema proporcione integridad y autenticación al proceso de arranque. Mantiene los discos duros bloqueados/sellados hasta que el sistema complete una verificación del sistema o una verificación de autenticación.

El TPM incluye una clave RSA única grabada en él, que se utiliza para el cifrado asimétrico. Además, puede generar, almacenar y proteger otras claves utilizadas en el proceso de cifrado y descifrado.

Módulos de seguridad de hardware

Un módulo de seguridad de hardware (HSM) es un dispositivo de seguridad que puede agregar a un sistema para administrar, generar y almacenar de forma segura claves criptográficas.

Los HSM de alto rendimiento son dispositivos externos conectados a una red mediante TCP/IP. Los HSM más pequeños vienen como tarjetas de expansión que instala dentro de un servidor o como dispositivos que conecta a los puertos de la computadora.

Una de las diferencias notables entre los dos es que los HSM son dispositivos extraíbles o externos. En comparación, un TPM es un chip integrado en la placa base. Puede agregar fácilmente un HSM a un sistema o una red, pero si un sistema no se envió con un TPM, no es posible agregar uno más tarde. Ambos proporcionan capacidades de cifrado seguras al almacenar y usar claves RSA.

Fuente: https://blogs.getcertifiedgetahead.com/tpm-hsm-hardware-encryption-devices/

32
user45475

Lo siento, pero creo que hay algunas lagunas en esta conversación:

  1. TPM no se pueden agregar más tarde: Falso. Muchas placas base modernas incluyen un encabezado al que se puede agregar un TPM después del hecho. Visite Amazon y mire las tarjetas de módulos TPM para MSI, Asus y otras placas base
  2. Los HSM generalmente se eliminan o se conectan a la red: falso. Los HSM pueden integrarse en una gama de hardware desde FIPS 140-3 chasis de montaje en bastidor compatible, a tarjetas PCI-E, a llaves USB, a tarjetas MicroSD

La principal diferencia está en uso. Los TPM están destinados a proporcionar una raíz de confianza de hardware para permitir una informática segura al proporcionar un enclave de almacenamiento de claves seguro con funciones criptográficas mínimas principalmente en el espacio de verificación de firma y firma. Alguien describió los casos de uso principales ... almacenamiento de claves de cifrado de unidades y validación de firmas en cargadores de arranque, núcleos y controladores de dispositivos. Tenga en cuenta que gran parte de esto se puede lograr sin un TPM (arranque seguro con BIOS que admite Windows WHQL, incluidas las claves predeterminadas de Microsoft), cifrado de disco basado en contraseña. Los TPM generalmente cuestan entre $ 7 USD (como parte de la lista de materiales para una placa personalizada) a $ 15 USD (como un módulo enchufable para la modificación posterior al mercado). Los TPM pueden incluir la funcionalidad de lector de tarjeta inteligente/tarjeta inteligente virtual.

Los HSM suelen tener dos funciones principales estrechamente relacionadas. La primera función es funciones criptográficas aceleradas/habilitadas por hardware, que incluyen cifrado, descifrado, generación de claves, funciones PRNG) y funciones relacionadas de validación de firma/firma. Normalmente, estas son aceleradas por hardware mediante FPGA integrado o ASIC (o una combinación). La segunda función es típicamente un lector de tarjetas inteligentes con/sin tarjeta inteligente virtual para almacenamiento de claves/certificaciones con protecciones basadas en PIN (mejoradas). La integración de los dos proporciona un modelo poderoso para usar hardware para generar un certificado no exportable incrustado en la tarjeta inteligente virtual. Los HSM pueden ejecutarse desde decenas de miles de dólares (para soluciones basadas en chasis) hasta miles de dólares (para tarjetas PCIE) a 100s de dólares (USB) a 10s de dólares (para versiones H-SDC).

En mi experiencia, los TPM se utilizan principalmente para el almacenamiento de claves, los HSM se utilizan principalmente para la criptografía acelerada por hardware con almacenamiento de claves.

21
Paul Vilevac

Los TPM son partes muy exactas especificadas para funcionar y el nivel de seguridad que proporcionan ( https://www.trustedcomputinggroup.org ).

Tiene una función fija, es un chip de bajo costo y alta seguridad (menos de $ 2.00). El propósito es servir como una "raíz de confianza" en una plataforma. También están probados y certificados para resistir un nivel definido de ataques de observación/canal lateral, ataques semiinvasivos/de falla e incluso ataques invasivos.

En contraste, el término HSM esencialmente solo dice "módulo de seguridad de hardware" y esto conduce a una ambigüedad y variedad de interpretaciones.

Tradicionalmente, un HSM es un módulo que está optimizado para generar claves y certificados AES, RSA o ECC con un rendimiento muy alto. Imagine que ejecuta un servidor web que podrá establecer rápidamente cientos o miles de sesiones https (SSL/TLS). Esto requiere un rendimiento de cifrado masivo (es decir, generación de claves). Los HSM hacen esto, ¡muy rápido! No están necesariamente bien protegidos y sofisticados contra ataques, ya que generalmente se operan en un entorno seguro. Sin embargo, generalmente se empaquetan de manera que brinden resistencia a la manipulación y evidencia. Gran diferencia con los TPM: estos módulos cuestan $ 1000s en adelante. Es de bajo volumen de silicio especialmente diseñado y viene p. Ej. en placas PCIexpress donde el cliente puede escalar el rendimiento requerido conectando múltiples HSM en su placa base/rack. El mercado de TPM está al norte de 100 millones de unidades/año. Y, por definición, hay 1 TPM ‚unido‘ (= mayormente ‚soldado‘) a la plataforma.

Otras formas de interpretaciones de "HSM": Algunos usan el término HSM de forma ambigua, p. incluso para TrustZone en la familia de la serie ARM-A o cualquier cosa donde haya un procesador de seguridad dedicado en una CPU más general (multi-core).

3
Scott McCoy

Los chips TPM a menudo están integrados en una placa base, pero no siempre. Los HSM son casi siempre externos.

Mi placa base realmente admite agregar un chip TPM a través de un encabezado.

TPM puede replicar algunas funciones de HSM, pero un HSM no puede reemplazar un TPM. TPM permite una raíz de confianza para el arranque.

0
Moscato

Los TPM están verificando que la computadora solo ejecuta código firmado. Por lo general, la placa base integrada.

HSM solía almacenar claves privadas o simétricas para el cifrado. Por lo general, es un dispositivo de red separado.

0
Daniil Svetlov