3 Die Schnittstelle: der Schlüssel zur Anwendung Schutz des Sicherheitsbereiches vor Befehlen mit egal welchen Parametern oder vor Befehlsfolgen. Dies bedeutet, dass auch wenn der Code auf dem Host-System kompromittiert oder fehlerhaft ist, dies keine Auswirkung auf das HSM und die kritischen Daten hat. Übersicht über die aktuellen Schnittstellen für HSM Kommen wir nun zu den aktuell existierenden HSM-Schnittstellen. Zunächst stellen wir Ihnen die international standardisierten Schnittstellen vor. PKCS#11 Cryptographic Token Interface Standard Bei diesem Standard (auch Cryptoki genannt) handelt sich um eine API zu Hardware Sicherheitsmodulen im weitesten Sinne, welche kryptografische Informationen speichert und kryptografische Operationen ausführt. Grundsätzlich handelt es sich bei den PKCS um Public Key Cryptography Standards, die ab 1991 von den RSA-Laboratorien entwickelt wurden. Der PKCS#11 wurde bis zur Version 2.30 von RSA Labs entwickelt. Ab 2013 übernahm die Organisation for Advancement of Structured Information Standards (OASIS) die Weiterentwicklung. Diese Schnittstelle ist die derzeit noch am meisten verbreitete generische Schnittstelle für den Zugriff auf Sicherheitsmodule im weiteren Sinne. Vorteile: Einer der wesentlichen Vorteile der PKCS#11-Schnittstelle ist die Interoperabilität zwischen Anwendung und Sicherheitsmodul. Des Weiteren bietet der PKCS#11 einen universellen Ansatz sowohl für symmetrische als auch asymmetrische kryptografische Verfahren. Nachteile: So schön die oben angesprochene Interoperabilität auch sein mag: Viele Hersteller haben bei der Umsetzung des PKCS#11 Erweiterungen, sogenannte Vendor definied mechanisms, eingebaut und somit den Vorteil der Herstellerneutralität ad absurdum geführt. Auch hat der Standard eine so hohe Komplexität entwickelt, dass gerade Angriffe auf die Schnittstelle durch Abfolgen von Befehlen 23
HSM_fuer_Dummies
To see the actual publication please follow the link above