Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 3
HSM в аккредитованных удостоверяющих центрах используются не в последние годы, а уже лет 15. Или Вы хотите сказать, что корневой сертификат в АУЦ хранится на ПАК КриптоПро УЦ в реестре Windows?
А ещё HSM используются у операторов фискальных данных (ОФД), хоть их и не так много, как АУЦ.
HSM (Hardware Security Modules) действительно используются в аккредитованных удостоверяющих центрах (АУЦ) уже много лет, причем не только последние годы, а действительно минимум 15 лет и более. HSM служат надежным средством защиты конфиденциальной информации, включая закрытые ключи, корневые сертификаты и другие критически важные криптографические данные, что является неотъемлемой частью надежной инфраструктуры открытых ключей (PKI).
Однако утверждение о том, что корневой сертификат АУЦ хранится исключительно в реестре Windows, не совсем корректно. Корневые сертификаты удостоверяющих центров могут храниться и распространяться различными способами, включая специализированные аппаратные устройства, такие как ПАК КриптоПро УЦ, или иные сертифицированные HSM-решения, предназначенные для безопасного хранения и управления криптографическими ключами и сертификатами. Они не всегда располагаются непосредственно в реестре Windows, а чаще в изолированном и специализированном хранилище, обеспечивающем повышенную защиту и управление жизненным циклом сертификатов.
Что касается операторов фискальных данных (ОФД), безусловно, HSM также активно используются ими для обеспечения безопасности и целостности хранимых данных, что подчеркивает важность применения аппаратных модулей безопасности не только в удостоверяющих центрах, но и в других сферах, где требуются высокие стандарты защиты информации.
Вы серьёзно считаете, что ПАК КриптоПро УЦ - это "железка"? :)
Это не так
Обычно в АУЦ набор серверов и нигде не прописано обязательно использовать HSM. Я работал от ранних до актуальных версий ПАК КриптоПро УЦ и могу сказать, что при наличии УЗ локального администратора Windows можно спокойно из реестра забрать корневой сертификат и никто ничего не увидит (если конечно нет наложенных средств защиты, которые логируют действия, но обычно такого не делают, т.к. считают, что серверы в закрытом контуре). На самом деле корневой сертификат можно утянуть и из КриптоПро HSМ, но для этого его нужно вывести из штатного режима и иметь к нему физический доступ (недоступность HSM в десяток минут заметят).
Но на бумаге всё хорошо, модели угроз подгоняются, аккредитация выдаётся. А АУЦ страхуют риски.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность по ГОСТу: процесс интеграции HSM отечественного производства