HSM (Hardware Security Module)

1. HSM (Hardware Security Module)의 개념

개념용도
암호화 인프라 및 프로세스를 보호하기 위해 암호키를 물리적으로 안전하게 저장, 관리하는 하드웨어 보안 장치PKI Root 및 CA 서명키 보호
SSL/TLS 마스터 암호화 키 보관
– 전송/저장 데이터 암호화 키 보호
– ID 자격 증명 생성 및 인증
  • 일반적으로 H/W 및 S/W를 포함하는 암호화 모듈 요구사항 및 표준으로 NIST FIPS 140-2 인증 준수
  • 국내 암호모듈 안전성 검증제도(KCMVP)를 통해 1~4단계 보안 등급 부여

 

2. HSM의 동작 과정 및 기술 요소

(1) HSM의 동작 과정

#단계세부 과정
암호화 요청– 요청자는 HSM에 암호화 작업 요청
– 디지털 인증서 서명 등
인증서에 서명– 개인키 기반 인증서에 서명
– HSM 내 고립 환경에서 수행
암호화 결과 제공– HSM은 암호화 결과를 요청자에게 제공
– 서명된 디지털 인증서 등

(2) HSM의 기술 요소 (KCMVP 모듈검증 대상)

구분기술 요소주요 암호 알고리즘 / 특징
메시지 기밀성 / 무결성블록 암호– ARIA, SEED, LEA, HIGHT, 
– 기밀성(ECB, CBC, CFB, OFB, CTR), 기밀성/인증(CCM, GCM)
해시 함수– SHA-2/3, LSH
– SHA-224/256/384/512, LSH-224/256/512
메시지 인증– 해시함수 기반 HMAC
– 블록암호 기반 CMAC, GMAC
난수발생기– 해시함수 기반 Hash_DRBG, HMAC_DRBG
– 블록암호 기반 CTR_DRBG
암호키 관리공개키 암호– RSAES
– 공개키 길이: 2048, 3072, 해시함수: SHA-224, SHA-256
전자서명– RSA-PSS, KCDSA, EC-KCDSA, ECDSA
– 공개키 길이: 2048, 3072, 해시함수: SHA-224, SHA-256
키 설정– DH, ECDH
– 공개키 길이: 2048, 개인키 길이: 224, 256
키 유도– KBKDF, PBKDF
– HMAC, CMAC, HMAC
  • 사용 유형에 따른 HSM의 종류로 PCI 기반 HSM, 단독형 네트워크 연결 HSM, USB 기반 HSM, Cloud HSM 등 존재

 

3. 사용 유형에 따른 HSM의 종류

사용 유형종류특징
하드웨어 내장형내장형 PCI 기반 HSM– 서버 혹은 보안 시스템 내 PCI 타입으로 장착
– API 인터페이스 규약(PKCS#11) 사용
네트워크 연결 HSM– HSM 전용 Appliance 장비로 고성능 필요 시 사용
– PKCS#11 라이브러리와 장비 간 전용 TCP/IP 통신
이동식 및 Cloud 서비스형USB기반 HSM– 휴대형 USB 형태로 일반적으로 보안 토큰으로 통칭
– 개인이 소장하여 공인인증서 보관, 전자지갑의 용도
Cloud HSM– Cloud 서비스에서 관리형 HSM 서비스로 사용
– 기반 인프라 환경에서 PKCS#11 인터페이스 사용
  • 상기 HSM 종류 외 반도체 기반 HSM 등이 있으며, GDPR, eIDAS, PCI DSS, HIPAA 등 다양한 보안 규정 및 표준을 준수하기 위해 적절한 HSM 적용 필요

 
[참고]

  • ENTRUST, 하드웨어 보안 모듈(HSM)
  • MDS인텔리전스그, 암호키 관리를 위한 HSM(Hardware Security Module)
  • 한국인터넷진흥원(KISA), 암호모듈 검증대상 암호알고리즘

콘텐츠 사용 시 출처 표기 부탁 드리고, 댓글은 큰 힘이 됩니다^^