亞利安王添龍:以堅實的硬體加密打造企業安全基石

以一個電信業者的實際案例來說明,該業者的資訊機房有諸多網站伺服器,前端有負載平衡設計,並用硬體加密模組存放金鑰,即便駭客攻破負載平衡取走了憑證,試圖用憑證冒充電信業者的網站,但由於憑證處於加密狀態,因而讓駭客無法成功冒充,電信業者也因此獲得保護。

(本文為 2018 網路資訊「無邊界網路安全研討會」新竹場之會後報導)

「由於軟體容易有漏洞、可能被破解的顧慮,因此至關重要的金鑰一定要用硬體方式存放。」亞利安科技資安技術支援部經理王添龍說明硬體加密模組 (Hardware Security Module , HSM) 在今日資安工作中的重要性,這也正是為什麼亞利安科技要將 HSM 解決方案的領導品牌 Thales 引進台灣。

亞利安科技資安技術支援部經理王添龍

王添龍以目前最受網站普遍運用的 SSL 加密為例,因為 SSL 安全協定存在多種漏洞,所以建議改用 TLS 協定,但 TLS 也陸續發現若干問題,不得不提升成 TLS 1.1 版、1.2 版等。由此顯見軟體加密防護有其限制,需要透過硬體來達到更完善的防護。

以一個電信業者的實際案例來說明,該業者的資訊機房有諸多網站伺服器,前端有負載平衡設計,並用硬體加密模組存放金鑰,即便駭客攻破負載平衡取走了憑證,試圖用憑證冒充電信業者的網站,但由於憑證處於加密狀態,因而讓駭客無法成功冒充,電信業者也因此獲得保護。

由此可知 HSM 價值無可取代,且一般通用型的 HSM 有多種類型可供企業選擇,以 Thales 為例,即有 USB 介面型、網路型及內接插卡型,型號分別為 nShield Edge、nShield Connect 及 nShield Solo,均達到 FIPS 140-2 Level 3 及 CC EAL 4+的防護等級認證。

除電信機房的案例外,王添龍也舉了很多生活化的例子,如中國大陸微信 WeChat 原本是沒有加密的,但到了香港後,依據其金融法規必須加密,特別是在手機發紅包的金融轉帳支付上。導入 HSM 後,從手機端的帳密登入後便開始加密,到銀行內網中運作時依然保持加密狀態,而密碼的比對也是在 HSM 內執行,藉此達到高安全的 E2EE 防護要求。

更知名的例子是 Apple Pay:Apple Pay 是運用 HSM 產生代碼,將代碼層層傳遞,從店家到收單機構、再從收單機構到 NCCC 信用卡中心、最終到 Visa Token 服務進行驗證比對,比對正確才通知發卡銀行進行後續刷卡消費程序。其他新興的電子消費也都需要 HSM,包含第三方支付、無卡提款、手機推播簡訊驗證等。

除了新興支付外,HSM 也在許多新技術的應用層面上展現需求價值,例如 IoT 物聯網環境中如何驗證新加入的裝置是合法裝置?從另一裝置傳送過來的程式更新是否該接受?同樣可透過 HSM 達到安全防護及驗證。

此外,諸多對產品組裝製造流程更為講究的知名國際企業,也都針對自身出廠的產品核發憑證,確保是官方產品出貨,而不是被代工廠仿造生產,甚至在尚未組裝為成品前的料件、半成品階段就導入憑證,而 HSM 所提供的這些安全機制,也同樣能延伸到工業 4.0、智慧城市的發展。

王添龍強調,即便不放眼未來新興應用,企業在面對法遵合規日趨嚴格的壓力下也應該評估採用 HSM,如歐盟頒佈實施的 GDPR,或針對支付卡產業要求的 PCI DSS 等,都必須對金鑰進行嚴密管控。

如前所述,大型品牌企業在生產組裝階段都已導入憑證驗證,與其關連的上游廣大零件供應商、組裝代工商等勢必也要導入同樣的安全機制,否則難以爭取到新訂單,因此,HSM 逐漸成為企業業務營運的必要,而非僅在未來新興應用中才需要。

過去 Thales HSM 產品大多只用於金融單位,但隨著各種新技術應用的普及,對於金鑰管理、保護的需求勢必逐步增加,而 Thales 的廣泛支援性,可保管防護市面上多數軟硬體所核發的金鑰,因此相信未來還有相當大的成長空間。

關於我們

自 1990 年創刊 UXmaster 雜誌,1991 年獲得美國 LAN Magazine 獨家授權中文版,2006 年獲得 CMP Network Computing 授權,2009 年合併 CMP Network Magazine 獨家授權中文版,2014 年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT 人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2022 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416