HSM, las “Cenicientas” de la seguridad de la informaciónPor Ricardo Trujillo, Solutions Specialist, SafeNet.
Los HSM están presentes en una gran cantidad de operaciones de la seguridad TI y de la vida diaria, como el uso de la tarjeta BIP de Transantiago; y aunque no los vemos, o no tienen interfaces gráficas de alta complejidad y colorido, son imprescindibles para el procesamiento seguro de los datos.
A diferencia de las soluciones más famosas, como son IDS, IPS, firewalls, VPN gateways, etc, los Hardware Security Modules (HSM o Módulos de Seguridad en Hardware) son componentes poco conocidos pero de suma importancia en el procesamiento seguro de la información.
Vienen en diferentes factores de forma, dispositivos de red, dispositivos USB o tarjetas PCI/PCIe, pero todos tienen dos funciones específicas: proteger los componentes secretos, tales como llaves privadas de firma digital, llaves secretas para criptografía, vectores de inicialización de tarjetas de crédito y débito, llaves derivadas de sesión para cajeros automáticos y terminales de punto de venta (POS), y acelerar esto co-procesando las operaciones criptográficas.
Los grandes grupos
Se puede decir que los HSM son al mismo tiempo una caja fuerte electrónica y un motor de criptografía.
Así como hay diferentes factores de forma, hay dos grandes grupos de HSM de acuerdo a su funcionalidad: los HSM de propósito general y los HSM para transacciones financieras electrónicas (EFT).
Los HSM de propósito general utilizan un lenguaje normalizado, generalmente PKCS#11, pero no están exentos de interactuar con JAVA, XML y otros lenguajes cibernéticos.
Los HSM financieros son, en términos generales, un HSM de propósito general al que se le carga una personalización que le permite responder a un grupo de comandos y estándares de común aplicación en las soluciones de transacciones financieras electrónicas. Algunas normas como ANSI e ISO (X.9, X.17), algunas normativas de la industria (DUKPT, Base 24) y grupos de comandos bancarios regionales (AMB), forman parte del arsenal de herramientas de un HSM financiero. Los anteriores son algunos ejemplos de los muchos que se ofrecen.
Cada vez que se realiza una compra con tarjeta de débito, el NIP es encriptado y desencriptado varias veces, por HSM financieros. Cada vez que un banco utiliza la red de Swift para realizar una transacción interbancaria en divisas, varios HSM de Swift intervienen. Cada vez que una autoridad certificadora firma una lista de revocación o emite un certificado, hay un HSM de por medio. Cada vez que un vehículo con TAG pasa por un arco de cobro de peaje en la autopista o un buque por el Canal de Panamá, hay un HSM procesando la transacción.
En todas partes
Los HSM están presentes, tras bambalinas, en una gran cantidad de operaciones diarias de la seguridad de TI y de la vida cotidiana, como puede ser el uso de la tarjeta BIP de Transantiago, tarjetas que son inicializadas en su fabricación por unos vectores que se protegen dentro de un HSM. La autenticación robusta también los requiere para el almacenamiento de sus semillas criptográficas, ya que el storage solo en software agrega riesgos a la operación.
En resumen, no los vemos, no son “estrellas” de la seguridad, no tienen interfaces gráficas de alta complejidad y colorido (de hecho, muchos de ellos solo tienen una interfaz de línea de comando), pero sin ser una solución en sí, ya que son solo un componente, son piezas imprescindibles para el procesamiento seguro de los datos.
Los ataques de hoy están orientados a las llaves criptográficas (SSL, certificados, autenticación, etc) de manera que la única forma de protegerse es a través de hardware, y los módulos de seguridad de hardware hacen ese trabajo.