当前位置:首页 > 报告详情

让-菲利普·奥马松与谢尔温·马杰里_加强银行级加密钱包的硬件安全模块.pdf

上传人: 张** 编号:175565 2024-09-13 45页 2.42MB

1、Hardening HSMs for Hardening HSMs for BankingBanking-Grade Crypto WalletsGrade Crypto WalletsBlack Hat 2024Black Hat 2024JP Aumasson,Chervine MajeriJP Aumasson,Chervine MajeriWhoisWhoisJP Taurus co-founder&CSO First BHUS talk was in 2013 Chervine Taurus lead research engineer First BHUS talk is nowC

2、rypto asset custody&issuance for banks()regulated and running a marketplace for tokenized assets(t-)In Geneva,Zurich,London,Paris,Vancouver,DubaiOutlineOutline1.What is really an HSM?2.Security and crypto internals3.Attack surface and hardening4.Best practices&a note on cloud HSMsDisclaimer:This tal

3、k is based on our experience over 7 years with 3 HSM models,deployed in production in multiple environments.YMMV.Hardware security module(HSM)Hardware security module(HSM)“A dedicated crypto processor that is specifically designed for the protection of the crypto key lifecycle”(HSM vendor)Enterprise

4、/cloud HSMs usually 1RU or PCIE card form factorThe actual HSM is the module in the appliance/cardHSM purposeHSM purposeStore secretkeysfor crypto operations:Signature,decryption,symmetric encryption,MACHigh-assurance domain thanks to isolation&anti-tamperingProtect keys in case of servers/workstati

5、ons compromiseHSM use case examplesHSM use case examples Blockchain transaction signing and TEE Code signing(HSM mandatory for MS Win apps)Database encryption/decryption(usually via KEKs)PKI root of trust(for CAs,enterprise PKIs,etc.)https:/ interfacesHSM interfacesCrypto interface over PCIe or USB,

6、TCP/IP if network-attachedAdmin interface over serial port,SSH,HTTP/REST+TLS,GUISecurity mechanisms(1/4)Security mechanisms(1/4)Local isolation(slots aka partitions)Security mechanisms(2/4)Security mechanisms(2/4)Local isolation(slots aka partitions)RBAC,ABAC-ishmodel(with per-slot roles)Security me

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
本文主要探讨了硬件安全模块(HSM)在加密钱包中的应用,特别是在银行级别的加密货币钱包中。作者JP Aumasson和Chervine Majeri来自Taurus公司,他们分享了他们在HSM领域的经验,包括HSM的定义、安全性和加密内部机制、攻击面和硬化措施、最佳实践以及云HSM的使用。 文章指出,HSM是一个专门设计用于保护加密密钥生命周期的专用加密处理器。HSM的主要用途包括存储秘密密钥,用于签名、解密、对称加密和MAC等。HSM提供了高保证的域,得益于隔离和抗篡改的特性。 在安全性方面,HSM实施了多种安全机制,如本地隔离、角色基础访问控制(RBAC)和PKCS#11 Cryptoki API,以及FIPS 140-2/3认证的加密和抗篡改控制。然而,HSM也可能存在一些问题,如软件漏洞、远程认证问题、RNG问题等。 为了硬化HSM,文章提出了一些措施,如减少攻击面、强制执行安全配置、在HSM中实现业务逻辑、应用级别的安全通道以及最小化黑盒化等。对于云HSM,文章提醒用户注意其局限性,如访问间接性、多租户共享硬件等。 总之,HSM在加密钱包中发挥着重要作用,但需要针对特定模型和供应商的复杂性进行专门硬化,并注意云HSM的限制。
"HSM硬化的实践方法有哪些?" "如何在云环境中安全使用HSM?" "HSM在金融级加密钱包中的应用有哪些挑战?"
客服
商务合作
小程序
服务号
折叠