Was sind Hardware-Sicherheitsmodule?

Q: Was ist Root of Trust?

Bei Root of Trust (RoT) handelt es sich um eine Quelle, der innerhalb eines kryptographischen Systems immer vertraut werden kann. Da die kryptographische Sicherheit von Schlüsseln zum Ver- und Entschlüsseln von Daten und zum Ausführen von Funktionen wie dem Generieren digitaler Signaturen und dem Verifizieren von Signaturen abhängt, enthalten RoT-Schemata im Allgemeinen ein sicherheitsgehärtetes Hardware-Modul. Ein wichtiges Beispiel ist das Hardware-Sicherheitsmodul (HSM), das Schlüssel generiert und schützt und kryptographische Funktionen innerhalb seiner sicheren Umgebung ausführt. Da dieses Modul außerhalb des Computer-Ökosystems praktisch unzugänglich ist, kann dieses Ökosystem darauf vertrauen, dass die Schlüssel und andere kryptographische Informationen, die es vom Root-of-Trust-Modul erhält, authentisch und autorisiert sind. Dies ist besonders wichtig, da sich das Internet der Dinge (IoT) immer weiter ausbreitet. Um zu vermeiden, dass sie gehackt werden, müssen die Komponenten von Computer-Ökosystemen eine Möglichkeit haben, die Authentizität der empfangenen Informationen zu bestimmen. Das RoT gewährleistet die Sicherheit von Daten und Anwendungen und trägt zum Aufbau von Vertrauen in das gesamte Ökosystem bei. RoT ist eine kritische Komponente von Public-Key-Infrastrukturen (Public Key Infrastructures, PKIs), um Root- und Zertifizierungsstellenschlüssel zu generieren und zu schützen; Codesignierung, um sicherzustellen, dass Software sicher, unverändert und authentisch bleibt; und Erstellung digitaler Zertifikate und maschineller Identitäten für Berechtigungsprüfungen und die Authentifizierung von proprietären elektronischen Geräten für IoT-Anwendungen und andere Netzwerkimplementierungen.

- Lösungen
  - Sichere Identitäten
    1. Identitätsüberprüfung
      Ermöglichen Sie hochsichere Identitäten für die Bürgerinnen und Bürger.
    2. ID-Ausgabe
      Stellen Sie sichere digitale und physische IDs in großen Mengen oder sofort aus.
    3. Benutzeridentität
      Schaffen Sie Vertrauen durch den Schutz von Identitäten mit einer breiten Palette von Authentifikatoren.
    4. Maschinenidentität
      Erstellen und verwalten Sie starke Maschinenidentitäten für ein sicheres IoT und digitale Transformation.
    5. Digitale Signatur
      Nutzen Sie sichere, überprüfbare Unterschriften und Siegel für digitale Dokumente.
  - Sichere Zahlungen
    1. Financial Issuance
      Stellen Sie digitale und physische Finanzidentitäten und -ausweise sofort oder in großem Umfang aus.
    2. Digital Card-Lösung
      Stellen Sie Karteninhabern digitale Zahlungsnachweise direkt über die mobile App Ihrer Bank aus.
  - Vertrauenswürdige Infrastruktur
    1. Post-Quanten-Kryptografie
      Finden, bewerten und präparieren Sie Ihre kryptografischen Assets für eine Post-Quanten-Welt.
    2. Datenbanksicherheit
      Sichern Sie Datenbanken mit Verschlüsselung, Schlüsselverwaltung und strenger Richtlinien- und Zugriffskontrolle.
    3. Multi-Cloud-Sicherheit
      Schutz von Schlüsseln, Daten und Workloads sowie Compliance in hybriden und Multi-Cloud-Umgebungen.
- Branche
- Compliance
  - 1. CMMC
    2. eIDAS
    3. NITES
- Ausgewählte Produkte
  - Produkte mit As-a-Service-Modell
    1. Identitätsüberprüfung als Dienstleistung (Identity Verification as a Service)
      Überprüfung von Bürgern für Einwanderung, Grenzverwaltung oder die Erbringung von eGov-Diensten.
    2. Identity as a Service (IDaaS)
      Cloud-basierte Lösung für die Identitäts- und Zugriffsverwaltung.
    3. Digitale Signatur als Dienst
      Cloud-basierte Lösungen für digitales Signieren.
    4. Instant ID as a Service
      Stellen Sie physische und mobile IDs mit einer einzigen sicheren Plattform aus.
  - 1. Digital Card-Lösung
      Sofortige Bereitstellung digitaler Zahlungsdaten direkt an die E-Wallet eines Karteninhabers.
    2. PKI as a Service
      Eine hochsichere PKI, die schnell zu implementieren ist, bei Bedarf skaliert werden kann und sich dort ausführen lässt, wo Sie geschäftlich tätig sind.
    3. nShield as a Service
      Abonnementbasierter Zugang zu dedizierten nShield HSMs für Cloud-basierte, kryptographische Dienste.
    4. Nahtloses Reisen als Dienstleistung (Seamless Travel as a Service)
      Fernüberprüfung der Identität, digitale Reisedokumente und berührungslose Grenzabfertigung.
  - 1. Sofortausgabe von Finanzkarten
      Ausgabe von Debit- und Kreditkarten in Filialen und an Selbstbedienungskiosken.
    2. Zentrale Ausgabe von Finanzkarten
      Ausgabe von Finanzkarten in großem Umfang mit Liefer- und Kuvertieroptionen.
    3. Sofortausgabe von ID-Karten
      Sichere Ausgabe von Mitarbeiterausweisen, Studentenausweisen, Mitgliedskarten und mehr.
    4. Zentralisierte ID-Kartenausfertigung
      Reisepässe, Personalausweise und Führerscheine.
    5. nShield HSMs
      Sicheres Generieren von Verschlüsselungs- und Signierschlüsseln, Erstellen digitaler Signaturen, Verschlüsseln von Daten und mehr.
  - 1. Cloud-Sicherheit, Verschlüsselung und Schlüsselverwaltung
      Leistungsstarke Verschlüsselung, Richtlinien und Zugriffskontrolle für virtuelle und öffentliche, private und hybride Cloud-Umgebungen.
    2. Digitale Zertifikate
      TLS/SSL, digitale Signierung und qualifizierte Zertifikate sowie Dienste und Tools für die Verwaltung der Zertifikatlaufzeit.
    3. Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
      Ein Identitätsportfolio für alle Ihre Benutzer – Arbeitnehmer, Verbraucher und Bürger.
    4. Verwaltung von Maschinenidentitäten
      Zentralisierte Sichtbarkeit, Kontrolle und Verwaltung von Maschinenidentitäten.
    5. Post-Quantum
      Erfahren Sie, welche Schritte Sie unternehmen müssen, um auf quantenresistente Kryptographie umzusteigen.
- Ausgabe von Unternehmensausweisen
  - Instant ID as a Service
    Stellen Sie physische und mobile IDs mit einer einzigen sicheren Plattform aus.
    Mehr erfahren
  - dezentrale Kartenproduktion
    1. Sigma Direct-to-Card-System
    2. Artista Retransfersystem
    3. System-Software
      Personalisierung, Kodierung und Aktivierung.
    4. Material
    5. Service
- Ausgabe von Finanzkarten
  - Digital Card-Lösung
    Sofortige Bereitstellung digitaler Zahlungsdaten direkt an die E-Wallet eines Karteninhabers.
    Mehr erfahren
  - Digitales Bankwesen
    1. Digitale Kontoeröffnung
    2. Digital Card-Lösung
  - dezentrale Kartenproduktion
    1. Sigma Direct-to-Card-System
    2. Artista Retransfersystem
    3. System-Software
      Personalisierung, Kodierung und Aktivierung.
    4. Material
    5. Service
  - Zentralisierte Kartenpersonalisierung
    1. Mit unseren ID Card Printer für erfolgreichen Ausweis Druck
    2. Entrust Drucksysteme verfügen über Inline Card Delivery.
    3. Inline-Envelope-Insertion-Systeme
    4. Eigenständige Card-Affixing/Envelope-Insertion-Systeme
    5. Eigenständige Envelope-Insertion-Systeme
    6. System-Software
      Personalisierung, Kodierung, Bereitstellung und Analyse.
    7. Material
    8. Service
- Ausgabe von amtlichen Ausweisen
  - Digitaler Bürger
    1. Erbringung elektronischer Behördendienste
    2. Identitätsüberprüfung als Dienstleistung (Identity Verification as a Service)
    3. Nahtloses Reisen als Dienstleistung (Seamless Travel as a Service)
    4. Elektronische Reisepässe als Dienstleistung (ePassport as a Service)
  - Zentralisierte Kartenpersonalisierung
    1. Reisepässe, Personalausweise und Führerscheine.
    2. Passausfertigungssysteme
    3. Nationale Ausweis- und Führerscheinsysteme
    4. Inline-Versand und -Kuvertierung
    5. Standalone-Lösungen für Versand und Kuvertierung
    6. System-Software
      Personalisierung, Kodierung und Zustellung von Ausweisen.
    7. Material
    8. Service
  - dezentrale Kartenproduktion
    1. Sonstige bürgerliche Ausweise und Lizenzen.
    2. Sigma Direct-to-Card-System
    3. Artista Retransfersystem
    4. System-Software
      Personalisierung, Kodierung, Bereitstellung und Analyse.
    5. Material
    6. Service
  - Identitätsüberprüfung als Dienstleistung (Identity Verification as a Service)
    Unsere IDVaaS-Lösung ermöglicht die Fernüberprüfung der angegebenen Identität einer Person für Einwanderungs- oder Grenzverwaltungsdienste sowie die Bereitstellung digitaler Dienste.
    Mehr erfahren
- Cloud Security Posture Management
  - 1. CloudControl Enterprise für AWS
      Sichern und gewährleisten Sie die Konformität von AWS-Konfigurationen über mehrere Konten, Regionen und Verfügbarkeitszonen hinweg.
    2. CloudControl Enterprise für Container
      Sicherheitskonformität und Umgebungshärtung für Container und Kubernetes mit VMware Tanzu- und Red Hat OpenShift-Plattformen.
    3. CloudControl Enterprise für Swift
      Erfüllen Sie die Compliance-Anforderungen des Swift-Kundensicherheitsprogramms und schützen Sie dabei virtuelle Infrastrukturen und Daten.
    4. CloudControl Enterprise für vSphere und NSX
      Umfassende Compliance, Multi-Faktor-Authentifizierung, sekundäre Genehmigung, RBAC für VMware vSphere NSX-T und VCF.
    5. CloudControl Stiftung für vSphere
      Umfassende Compliance für VMware vSphere, NSX-T und SDDC sowie zugehörige Workload- und Management-Domains
  - 30-tägige Testversion von CloudControl
    Entrust CloudControl bietet umfassende Sicherheit und automatisierte Compliance über Virtualisierungs-, Public Cloud- und Container-Plattformen hinweg. Gleichzeitig werden die Transparenz erhöht und Risiken für unbeabsichtigte Ausfallzeiten oder Sicherheitslücken verringert.
    Kostenlose Testversion starten
- Schlüsselverwaltung und Verschlüsselung
  - 1. KeyControl für KMIP und Geheimnisse
      Verwalten Sie alle Ihre Geheimnisse sowie Verschlüsselungsschlüssel und bestimmen Sie, wie häufig die Schlüssel wechseln und wie oft sie geteilt werden – sicher und in großem Umfang.
    2. KeyControl BYOK
      Erstellen und verwalten Sie Verschlüsselungsschlüssel vor Ort und in der Cloud. Verwalten Sie den Lebenszyklus Ihrer Schlüssel und behalten Sie die Kontrolle über Ihre kryptografischen Schlüssel.
    3. KeyControl für die Datenbankverschlüsselung
      Lässt sich für ein sicheres Lebenszyklusmanagement Ihrer TDE-Verschlüsselungsschlüssel mit Ihrer Datenbank integrieren.
    4. KeyControl für Sicherung und Wiederherstellung
      Lässt sich mit Ihrer Sicherungs- und Wiederherstellungslösung integrieren, um ein sicheres Lebenszyklusmanagement Ihrer Verschlüsselungsschlüssel zu gewährleisten.
  - 1. DataControl für Azure
      Datenverschlüsselung, Multi-Cloud-Schlüsselverwaltung und Workload-Sicherheit für Azure.
    2. DataControl für AWS
      Datenverschlüsselung, Multi-Cloud-Schlüsselverwaltung und Workload-Sicherheit für AWS.
    3. DataControl für IBM Cloud
      Datenverschlüsselung, Multi-Cloud-Schlüsselverwaltung und Workload-Sicherheit für IBM Cloud.
  - 30-tägige Testversion von KeyControl
    Die Verschlüsselung mittels VMware vSphere und vSAN erfordert einen externen Schlüsselmanager, während KeyControl als VMware Ready zertifiziert ist und empfohlen wird. KeyControl ermöglicht es Unternehmen, alle ihre Verschlüsselungsschlüssel in großem Umfang zu verwalten und unter anderem zu bestimmen, wie oft sie diese wechseln und wie sie sicher geteilt werden.
    Jetzt kostenlos testen
- Hardware-Sicherheitsmodule (HSMs)
  - nShield as a Service
    1. Abonnementbasierter Zugang zu dedizierten nShield Cloud HSMs.
  - nShield HSMs
    1. nShield Connect
      Vernetzte Geräte, die kryptografische Schlüsseldienste für dezentrale Anwendungen bereitstellen.
    2. nShield Solo
      Auf PCI-Express-Karten basierende HSMs.
    3. nShield Edge
      Persönliche, über USB angeschlossene Desktop-HSMs.
  - Verwaltung und Überwachung
    1. Überwachung mit nShield
    2. Remote-Verwaltung mit nShield
  - CodeSafe
    1. SDK zur Sicherung von sensiblem Code innerhalb eines nach FIPS 140-2 Level 3 zertifizierten nShield HSM.
    2. Post-Quantum SDK
  - Software-Optionspakete
  - Compliance und Zertifizierungen
  - Warum Sie ein HSM brauchen
    1. Erfahren Sie alle Details darüber, welche Möglichkeiten Ihnen Hardware-Sicherheitsmodule in puncto Sicherheit und Kosteneinsparungen bieten ...
    2. Mehr erfahren
  - Anwendungsfälle
- TLS/SSL-Zertifikate
  - JETZT KAUFEN
    1. Zertifikate kaufen
    2. Zertifikate verlängern
  - TLS/SSL-Zertifikate
  - Qualifizierte Zertifikate
  - Vertrieb und Services
- Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM)
  - Produkte
    1. Identity as a Service
      Cloud-basiertes IAM
    2. Identity Enterprise
      On-Premise-IAM
    3. Identity Essentials
      On-Premise-MFA-Lösung für Windows-Benutzer
    4. APIs und SDKs
  - Idaas Integrationen - Identity as a Service mit Entrust
  - Referenzen
  - Identity Access Management für Mitarbeiter
  - Verbraucher und Bürger
  - Testen Sie Entrust Identity as a Service 60 Tage lang kostenlos
    Entdecken Sie die Identity-as-a-Service-Plattform, die Ihnen Zugang zu erstklassiger MFA, SSO, adaptiver risikobasierter Authentifizierung und einer Vielzahl fortschrittlicher Funktionen bietet, die nicht nur die Sicherheit der Benutzer gewährleisten, sondern auch zu einem optimalen Benutzererlebnis beitragen.
    Jetzt kostenlos testen
- Elektronisches und digitales Signieren
  - EU Qualified Trust Services
    Wir sind nicht nur seit Jahren Mitglied der Adobe Approved Trust List (AATL), sondern auch ein European Qualified Trust Service Provider für die Ausstellung von eIDAS-qualifizierten Zertifikaten für qualifizierte Signaturen, erweiterte Siegel, PSD2-Zertifikate und QWACs.
    Mehr erfahren
  - Digitale Signatur als Dienst
  - Digitale Signaturzertifikate
  - Infrastruktur für digitale Signaturen
- Public-Trust-Zertifikate
  - Geprüfte Markenzertifikate (VMCs) für BIMI
    Zeigen Sie Ihr offizielles Logo in E-Mail-Mitteilungen. Laden Sie unser Whitepaper herunter und erfahren Sie alles, was Sie über VMCs und den BIMI-Standard wissen müssen.
    Mehr erfahren
  - TLS/SSL-Zertifikate erwerben und verlängern
    1. Zertifikate kaufen
    2. Zertifikate verlängern
  - Signaturzertifikate
  - Qualifizierte Zertifikate
    1. PSD2 – Qualifizierte elektronische Siegelzertifikate
  - Vertrieb und Services
- Public-Key-Infrastruktur
  - PKI as a Service
    1. Anwendungsfälle
    2. Post-Quantum PKIaaS
  - PKI-Produkte
  - Managed Services
  - Verwaltung der Zertifikatlaufzeit
  - Kryptographisches Exzellenzzentrum
    1. PKI-Integritätsprüfung
    2. Kryptografischer Gesundheitscheck
  - Jetzt Post-Quantum PKI as a Service testen
    Machen Sie sich bereit für PQ. PKIaaS PQ bietet Kunden zusammengesetzte und reine Quanten-Certificate-Authority-Hierarchien.
    Jetzt testen
- Internet der Dinge (IoT)
  - Berechtigungsprüfungen und Bereitstellung
  - Verwaltung von Maschinenidentitäten
  - Studie zu globalen PKI- und IoT-Trends
    Erfahren Sie, wie Unternehmen PKI einsetzen und ob sie auf die mit einer sichereren, stärker vernetzten Welt einhergehenden Geschäftsmöglichkeit vorbereitet sind.
    Mehr erfahren
- Verwaltung von Maschinenidentitäten
  - Lebenszyklusmanagement
  - Berechtigungsprüfungen und Bereitstellung
  - The State of Machine Identity Management
    Eine aktuelle Umfrage von IDG hat die Komplexität von Maschinenidentitäten und die Anforderungen von IT-Führungskräften für eine Verwaltungslösung aufgezeigt.
    Whitepaper herunterladen
- Post-Quantum
  - Ausgabe und Bereitstellung
    1. PKI as a Service (PQ)
    2. PQ-Standards und -Forschung
  - Kryptographisches Exzellenzzentrum
    1. Krypto-Gesundheitscheck
    2. PKI-Integritätsprüfung
  - Sind Sie auf die Bedrohung des Post-Quanten-Computing vorbereitet?
    Erkennen Sie, wo Ihr Weg zur Post-Quanten-Bereitschaft startet, indem Sie unsere Bewertung durchführen.
    Beginnen Sie die Bewertung
- Partner
  - Werden Sie Entrust-Partner
    Unsere Partnerprogramme können Ihnen helfen, sich von der Konkurrenz abzusetzen, Ihren Umsatz zu steigern und die Kundenbindung zu erhöhen. Treten Sie einem oder mehreren unserer Entrust-Partnerprogramme bei und positionieren Sie Ihr Unternehmen und Ihre Marke strategisch, damit sie für möglichst viele Kunden sichtbar ist.
    Mehr erfahren
  - Partnerverzeichnis
    Suchen Sie nach Partnern auf der Grundlage von Standort, Angeboten, Vertriebskanälen oder Technologie-Allianzpartnern.
    Nach einem Partner suchen
  - Programme
  - Partner-Logins
- Support und Service
  - Support kontaktieren
  - TrustedCare
    Produkt-Downloads, technischer Support, Marketing-Entwicklungsfonds.
    Mehr erfahren
  - Wissensdatenbank für digitale Sicherheit
    Leitfäden, Whitepapers, Installationshilfe, FAQs und Tools für Zertifizierungsdienste.
    Mehr erfahren
  - Wissensdatenbank für Ausgabesysteme
    Technische Hinweise, Produktbulletins, Benutzerhandbücher, Produktregistrierung, Fehlercodes und mehr.
    Mehr erfahren
  - Professionelle Dienstleistungen – PKI
  - Kryptographisches Exzellenzzentrum
    Bauen Sie Best Practices auf und definieren Sie Strategien, die in Ihrer individuellen IT-Umgebung funktionieren.
    Mehr erfahren
  - Maßgeschneiderte kryptographische Lösungen
    1. Codesignierung
    2. Integration von HSM-Anwendungen
  - Produktbereitstellungsdienste
  - Servicepakete
  - Training
- Ressourcen
  - Wissensdatenbank für Ausgabesysteme
    Technische Hinweise, Produktbulletins, Benutzerhandbücher, Produktregistrierung, Fehlercodes und mehr.
    Mehr erfahren
  - Wissensdatenbank für digitale Sicherheit
    Leitfäden, Whitepapers, Installationshilfe, FAQs und Tools für Zertifizierungsdienste.
    Mehr erfahren
  - Cybersecurity Institute
    Erhalten Sie wichtige Einblicke und Informationen zu Sicherheitskonzepten in unserem Trust Matters-Newsletter, in Erklärvideos und dem Cybersecurity Institute Podcast.
    Mehr erfahren
- Über Entrust
  - Seit 1969 sichern wir eine Welt in Bewegung
    Wir haben sichere Verbindungen über den ganzen Planeten und sogar bis in den Weltraum aufgebaut. Wir haben mit unseren Technologien für den Kartendruck und die Kartenausgabe zuverlässige Debit- und Kreditkartenkäufe ermöglicht. Mit unseren Lösungen für die Grenzkontrolle haben wir für sicheres, internationales Reisen gesorgt. Wir haben mit unseren SSL-Technologien für sichere Erlebnisse im Internet gesorgt. Wir haben Netzwerke und Geräte mit einem umfassenden Angebot an Authentifizierungsprodukten geschützt.
    Erfahren Sie mehr über unsere Geschichte
  - Cybersecurity Institute
    Erhalten Sie wichtige Einblicke und Informationen zu Sicherheitskonzepten in unserem Trust Matters-Newsletter, in Erklärvideos und dem Cybersecurity Institute Podcast.
    Mehr erfahren
- Kaufen
  - Zertifizierungsdienste-Portal von Entrust
    Bestehende Kunden der Entrust-Zertifizierungsdienste können sich anmelden, um Zertifikate auszustellen und zu verwalten oder zusätzliche Dienstleistungen zu erwerben.
    Mehr erfahren
  - Entrust-Zertifizierungsdienste für den Einzelhandel
    Neue einzelne Zertifikate kaufen.
    Mehr erfahren
  - Zertifizierungsdienste-Partnerportal von Entrust
    Bestehende Partner können neue Kunden beliefern und den Bestand verwalten.
    Mehr erfahren
  - Verbrauchsmaterialien für die Sofortausgabe von Finanzkarten
    1. Anmeldung für registrierte Kunden
    2. Zugriff anfordern
- Entrust durchsuchen
  - Suche:

Was ist ein Hardware-Sicherheitsmodul (HSM)?

Hardware-Sicherheitsmodule (HSMs) sind besonders manipulationssichere Geräte, die kryptografische Prozesse schützen, indem sie Schlüssel, die zur Ver- und Entschlüsselung von Daten sowie zum Erstellen digitaler Signaturen und Zertifikate genutzt werden, generieren, schützen und verwalten. HSMs sind nach höchsten Sicherheitsstandards getestet, validiert und zertifiziert, einschließlich FIPS 140-2 und Common Criteria. Entrust ist mit der Produktfamilie nShield General Purpose HSM ein weltweit führender Anbieter von HSMs.

HSMs ermöglichen Organisationen Folgendes:

Einhalten und Übertreffen etablierter und neue regulatorischer Standards für Cybersicherheit, einschließlich DSGVO, eIDAS, PCI DSS, HIPAA usw.
einen höheren Grad an Datensicherheit und Vertrauen zu erzielen
ein hohes Serviceniveau und die Flexibilität des Unternehmens zu erhalten

Video ansehen – Was sind Hardware-Sicherheitsmodule? (3:18)

Was ist HSM-as-a-Service oder Cloud-HSM?

HSM-as-a-Service ist eine abonnementbasierte Lösung, bei der Kunden ein Hardware-Sicherheitsmodul in der Cloud nutzen können, um ihr kryptographisches Schlüsselmaterial getrennt von vertraulichen Daten zu generieren, darauf zuzugreifen und es zu schützen. Das Service-Angebot bietet in der Regel das gleiche Maß an Schutz wie eine lokale Bereitstellung, ermöglicht aber mehr Flexibilität. Kunden können CapEx in OpEx umwandeln. Sie zahlen nur für Services, wann und wenn sie diese benötigen.

nShield-as-a-Service verwendet dedizierte nShield HSMs, die nach FIPS 140-2 Level 3 zertifiziert sind. Die Lösung bietet denselben vollständigen Satz an Funktionen wie lokale nShield HSMs kombiniert mit den Vorteilen eines Cloud-Dienstes. Damit können Kunden entweder ihre Cloud-First-Ziele erfüllen oder einen Mix aus On-Premise- und As-a-Service-HSMs einsetzen, wobei die Wartung der As-a-Service-Anwendungen vom Fachpersonal bei Entrust übernommen wird.

Video ansehen – Was ist nShield-as-a-Service? (3:06)

Warum sollte ich ein HSM verwenden?

Kryptografische Vorgänge wie Verschlüsselung und digitale Signaturen sind wertlos, wenn die privaten Schlüssel, die sie verwenden, nicht gut geschützt sind. Angreifer sind heute viel raffinierter in ihrer Fähigkeit geworden, private Schlüssel aufzufinden, die gespeichert sind oder verwendet werden. HSMs sind der Goldstandard für den Schutz privater Schlüssel und zugehöriger kryptografischer Vorgänge und setzen die von der verwendenden Organisation festgelegten Richtlinien für Benutzer und Anwendungen durch, die auf diese Schlüssel zugreifen können. HSMs können mit vielen verschiedenen Arten von Anwendungen verwendet werden, die Verschlüsselung oder digitale Signierung durchführen. Die Top-10-Anwendungsfälle für HSMs aus der 2021 Ponemon Global Encryption Trends Study (Mai 2021) sind in der folgenden Abbildung dargestellt.

Welchen Wert bietet ein HSM?

HSMs verbessern und erweitern die Sicherheit einer breiten Palette von Anwendungen, die Verschlüsselung und digitale Signaturen durchführen. In der nachstehenden Tabelle wird der Mehrwert von HSMs für eine Reihe der häufigsten Anwendungsfälle beschrieben.

Anwendungsfälle

Anwendungsfälle Cloud und Container/Kubernetes

Anwendungsfälle Public-Key-Infrastruktur

Anwendungsfälle Verwaltung von privilegiertem Zugriff und Geheimnissen

Anwendungsfälle Verschlüsselung und Tokenisierung

Anwendungsfälle Schlüsselverwaltung

Anwendungsfälle Digitale Signaturen und Codesignierung

Anwendungsfälle TLS/SSL-Anwendungen (ADCs, Firewalls usw.)

Anwendungsfälle Identität und Authentifizierung

Anwendungsfälle Zahlungen

Wert von HSM für den Anwendungsfall

Cloud und Container/KubernetesBehalten Sie die Kontrolle über Schlüssel und Daten in der Cloud; sichern Sie containerisierte Anwendungen

Public-Key-InfrastrukturSchutz wichtiger PKI-Root- und CA-Signierschlüssel

Verwaltung von privilegiertem Zugriff und GeheimnissenBekämpfung von Insider-Bedrohungen und Vereinfachung des Zugriffs auf Geheimnisse für DevOps

Verschlüsselung und TokenisierungVerbesserter Schutz von Verschlüsselungsschlüsseln für Daten bei der Übertragung und Speicherung

Key Management ServiceDurchsetzung von Schlüsselverwaltungsrichtlinien über mehrere Clouds und Anwendungen hinweg

Digitale Signaturen und CodesignierungSchutz von Schlüsseln, die die Integrität von Software gewährleisten und rechtsverbindliche Transaktionen ermöglichen

TLS/SSL-Anwendungen (ADCs, Firewalls usw.)Sichere Master-TLS/SSL-Verschlüsselungsschlüssel

Identität und AuthentifizierungVertrauenswürdige Anmeldedaten erstellen

ZahlungenSchutz der Schlüssel, mit denen Anmeldetaten für Zahlungen erstellt und signiert werden

Was ist Root of Trust?

Root of Trust ist eine Quelle, der innerhalb eines kryptografischen Systems standardmäßig vertraut wird. Hardware-Root-of-Trust- und Software-Root-of-Trust-Komponenten sind von Natur aus vertrauenswürdig, was bedeutet, dass sie von Natur aus sicher sein müssen. Die sicherste Implementierung von Root of Trust umfasst in der Regel ein Hardware-Sicherheitsmodell (HSM), das Schlüssel erzeugt und schützt und kryptografische Funktionen in einer sicheren Umgebung ausführt.

Erfahren Sie mehr über Root of Trust.

Was versteht man unter Zufallszahlengenerierung?

Die Zufallszahlengenerierung bezieht sich auf die von einem Algorithmus oder Gerät erzeugten Zufallszahlen. Es ist wichtig, dass kryptografische Schlüssel mit einer zertifizierten Quelle von Zufallszahlen erstellt werden, was bei softwarebasierten Systemen eine Herausforderung darstellt.

Wenn die Quelle der Entropie für einen Zufallszahlengenerator aus softwarebasierten Messungen abgeleitet wird, kann nicht garantiert werden, dass die Entropie nicht vorhersehbar ist oder beeinflusst werden kann. Ein HSM verwendet eine hardwarebasierte Entropiequelle für die Zufallszahlengenerierung, die verifiziert wurde, um unter allen normalen Betriebsbedingungen eine gute Entropiequelle zu bieten. Dies ist wichtig für Anwendungsfälle wie BYOK (Bring Your Own Key), mit dem Benutzer Schlüssel erstellen und verwalten können, die sie zu Cloud-Dienstanbietern hochladen.