Vertrauenswürdige Plattformmodule

Ein vertrauenswürdiges Plattformmodul (TPM) ist ein Hardware-Chip auf der Hauptplatine des Computers, auf dem für die Verschlüsselung verwendete kryptografische Schlüssel gespeichert sind. Viele Laptops enthalten ein TPM, aber wenn das System es nicht enthält, ist es nicht möglich, eines hinzuzufügen. Nach der Aktivierung bietet das Trusted Platform Module vollständige Festplattenverschlüsselungsfunktionen. Es wird zur "Wurzel des Vertrauens" für das System, Integrität und Authentifizierung für den Startvorgang bereitzustellen. Festplatten bleiben gesperrt / versiegelt, bis das System eine Systemüberprüfung oder Authentifizierungsprüfung abgeschlossen hat.

Das TPM enthält einen eindeutigen eingebrannten RSA-Schlüssel, der für die asymmetrische Verschlüsselung verwendet wird. Darüber hinaus können andere im Verschlüsselungs- und Entschlüsselungsprozess verwendete Schlüssel generiert, gespeichert und geschützt werden.

Hardware-Sicherheitsmodule

Ein Hardware-Sicherheitsmodul (HSM) ist ein Sicherheitsgerät, das Sie verwenden können Hinzufügen zu einem System zum Verwalten, Generieren und sicheren Speichern von kryptografischen Schlüsseln.

Hochleistungs-HSMs sind externe Geräte, die über TCP / IP mit einem Netzwerk verbunden sind. Kleinere HSMs werden als Erweiterungskarten geliefert, die Sie auf einem Server installieren, oder als Geräte, die Sie an Computeranschlüsse anschließen.

Einer der bemerkenswerten Unterschiede zwischen beiden besteht darin, dass HSMs austauschbare oder externe Geräte sind. Im Vergleich dazu ist ein TPM ein in das Motherboard eingebetteter Chip. Sie können einem System oder einem Netzwerk problemlos einen HSM hinzufügen. Wenn ein System jedoch nicht mit einem TPM geliefert wurde, ist es nicht möglich, später einen hinzuzufügen. Beide bieten sichere Verschlüsselungsfunktionen durch Speichern und Verwenden von RSA-Schlüsseln.

Quelle: https://blogs.getcertifiedgetahead.com/tpm-hsm-hardware-encryption-devices/

Entschuldigung, aber ich denke, es gibt einige Lücken in dieser Konversation:

1. TPMs können später nicht hinzugefügt werden : False. Viele moderne Motherboards enthalten einen Header, zu dem nachträglich ein TPM hinzugefügt werden kann. Besuchen Sie Amazon und sehen Sie sich die TPM-Modulkarten für MSI, Asus und andere Motherboards an.
2. HSMs werden normalerweise entfernt oder an das Netzwerk angeschlossen : False. HSMs können in eine Reihe von Hardware eingebettet werden, von FIPS 140-3-kompatiblen Rack-Mount-Gehäusen über PCI-E-Karten, USB-Sticks bis hin zu MicroSD-Karten.
ol>

Der Hauptunterschied besteht in der Verwendung. TPMs sollen eine Hardware-Vertrauensbasis bereitstellen, um sicheres Computing zu ermöglichen, indem eine sichere Schlüsselspeicher-Enklave mit minimalen kryptografischen Funktionen bereitgestellt wird, hauptsächlich im Bereich der Signatur und Signaturüberprüfung. Jemand hat die primären Anwendungsfälle skizziert ... Speicherung von Laufwerkverschlüsselungsschlüsseln und Validierung von Signaturen auf Bootloadern, Kerneln und Gerätetreibern. Beachten Sie, dass ein Großteil davon ohne ein TPM (Secure Boot mit BIOS, das Windows WHQL unterstützt, einschließlich Standard-Microsoft-Schlüsseln) und eine kennwortbasierte Festplattenverschlüsselung erreicht werden kann. TPMs kosten normalerweise zwischen 7 USD (als Teil der Stückliste für ein benutzerdefiniertes Board) und 15 USD (als steckbares Modul für Änderungen nach dem Markt). TPMs können Smartcard-Lesegeräte / virtuelle Smartcards enthalten.

HSMs haben normalerweise zwei primäre, eng verwandte Funktionen. Die erste Funktion sind hardwarefähige / beschleunigte kryptografische Funktionen, einschließlich Verschlüsselung, Entschlüsselung, Schlüsselgenerierung, PRNG-Funktionen und zugehörige Signatur- / Signaturvalidierungsfunktionen. In der Regel handelt es sich dabei um Hardware, die durch integriertes FPGA oder ASIC (oder eine Kombination) beschleunigt wird. Die zweite Funktion ist normalerweise ein Smartcard-Leser mit / ohne virtuelle Smartcard für die Schlüssel- / Zertifizierungsspeicherung mit erweitertem (PIN) -basiertem Schutz. Die Integration der beiden bietet ein leistungsstarkes Modell für die Verwendung von Hardware zum Generieren eines nicht exportierbaren Zertifikats, das in die virtuelle Smartcard eingebettet ist. HSMs können von Zehntausenden von Dollar (für chassisbasierte Lösungen) über Tausende von Dollar (für PCIE-Karten) bis zu Hundert Dollar (USB) bis 10 Dollar (für H-SDC-Versionen) reichen.

Nach meiner Erfahrung werden TPMs hauptsächlich für die Schlüsselspeicherung verwendet, HSMs werden hauptsächlich für die hardwarebeschleunigte Kryptografie mit Schlüsselspeicherung verwendet.

TPMs sind sehr genau spezifizierte Teile in Bezug auf Funktion und Sicherheitsstufe ( https://www.trustedcomputinggroup.org).

Es hat eine feste Funktion, ist a Eher kostengünstiger und dennoch hochsicherer Chip (weniger als 2,00 USD). Ziel ist es, als „Wurzel des Vertrauens“ auf einer Plattform zu dienen. Außerdem sind sie getestet und zertifiziert, um einer definierten Anzahl von Seitenkanal- / Beobachtungsangriffen, semi-invasiven / Fehlerangriffen und sogar invasiven Angriffen standzuhalten.

Im Gegensatz dazu sagt der Begriff HSM im Wesentlichen nur „Hardware-Sicherheitsmodul“ und dies führt zu einer Mehrdeutigkeit und Vielfalt von Interpretationen.

Traditionell ist ein HSM ein Modul, das optimiert ist, um AES-, RSA- oder ECC-Schlüssel und -Zertifikate mit sehr hoher Leistung zu generieren. Stellen Sie sich vor, Sie betreiben einen Webserver, der in der Lage sein soll, schnell Hunderte oder Tausende von https-Sitzungen (SSL / TLS) einzurichten. Dies erfordert eine massive Kryptoleistung (d. H. Schlüsselgenerierung). HSMs machen das - sehr schnell! Sie sind nicht unbedingt gut gegen Angriffe geschützt, da sie normalerweise in einer sicheren Umgebung betrieben werden. Sie sind jedoch in der Regel so verpackt, dass sie manipulationssicher und nachweisbar sind. Großer Unterschied zu TPMs: Diese Module kosten ab 1000 US-Dollar. Es ist speziell entwickeltes Silizium mit geringem Volumen und wird z. auf PCIexpress-Karten, auf denen der Kunde die erforderliche Leistung skalieren kann, indem er mehrere HSMs an sein Motherboard / Rack anschließt. Der TPM-Markt liegt nördlich von 100 Mio. Stück / Jahr. Und per Definition ist 1 TPM an die Plattform gebunden (= meistens gelötet).

Andere Formen von „HSM“ -Interpretationen: Einige verwenden den Begriff HSM mehrdeutig, z. Selbst für die TrustZone der ARM-A-Serie oder für alles, wo ein dedizierter Sicherheitsprozessor in einer allgemeineren (Multi-Core-) CPU vorhanden ist.

TPMs überprüfen, ob auf dem Computer nur signierter Code ausgeführt wird. Es ist normalerweise ein Motherboard eingebaut.

HSM wird zum Speichern von privaten oder symmetrischen Schlüsseln für die Verschlüsselung verwendet. Normalerweise handelt es sich um eine separate Netzwerkentfernung.

TPM-Chips sind häufig in ein Motherboard eingebettet, aber nicht immer. HSM sind fast immer extern.

Mein Motherboard unterstützt das Hinzufügen eines TPM-Chips über einen Header.

TPM-Dose Replizieren Sie einige HSM-Funktionen, aber ein HSM kann ein TPM nicht ersetzen. TPM ermöglicht eine Vertrauensbasis zum Booten.