TPMとHSMの違いは何ですか?
TPM(Trusted Platform Module)とHSM(Hardware Security Module)は暗号プロセッサと見なされますが、正確には何が違うのですか?
それらの1つは他よりも多くの利点がありますか?
トラステッドプラットフォームモジュール
Trusted Platform Module(TPM)は、暗号化に使用される暗号化キーを格納するコンピューターのマザーボード上のハードウェアチップです。多くのラップトップコンピュータにはTPMが含まれていますが、システムに含まれていない場合、TPMを追加することはできません。 Trusted Platform Moduleを有効にすると、完全なディスク暗号化機能が提供されます。これは、システムがブートプロセスに整合性と認証を提供するための「信頼のルート」になります。システムがシステム検証または認証チェックを完了するまで、ハードドライブをロック/密閉します。
TPMには、非対称暗号化に使用される固有のRSAキーが組み込まれています。さらに、暗号化および復号化プロセスで使用される他のキーを生成、保存、保護することができます。
ハードウェアセキュリティモジュール
ハードウェアセキュリティモジュール(HSM)は、暗号化キーを管理、生成、および安全に保存するためにシステムに追加できるセキュリティデバイスです。
高性能HSMは、TCP/IPを使用してネットワークに接続された外部デバイスです。小さいHSMは、サーバー内にインストールする拡張カード、またはコンピューターポートに接続するデバイスとして提供されます。
2つの間の注目すべき違いの1つは、HSMがリムーバブルデバイスまたは外部デバイスであることです。対照的に、TPMはマザーボードに埋め込まれたチップです。 HSMはシステムまたはネットワークに簡単に追加できますが、システムにTPMが同梱されていない場合、後で追加することはできません。どちらも、RSAキーを保存して使用することにより、安全な暗号化機能を提供します。
ソース: https://blogs.getcertifiedgetahead.com/tpm-hsm-hardware-encryption-devices/
申し訳ありませんが、この会話にはいくつかのギャップがあると思います:
- TPMは後で追加できません:False。最新のマザーボードの多くには、事後にTPMを追加できるヘッダーが含まれています。 Amazonにアクセスして、MSI、Asus、およびその他のマザーボード用のTPMモジュールカードをご覧ください。
- HSMは通常削除されるか、ネットワークに接続されます:False。 HSMは、FIPS 140-3準拠のラックマウントシャーシからPCI-Eカード、USBキー、MicroSDカードまで、さまざまなハードウェアに組み込むことができます。
主な違いは使用中です。 TPMは、ハードウェアの信頼のルートを提供して、主に署名および署名検証スペースで最小限の暗号化機能を備えた安全なキーストレージエンクレーブを提供することにより、安全なコンピューティングを可能にすることを目的としています。ドライブ暗号化キーの保存と、ブートローダー、カーネル、デバイスドライバーでの署名の検証など、主要なユースケースの概要を説明した人もいます。これの多くは、TPM(デフォルトのMicrosoftキーを含むWindows WHQLをサポートするBIOSによるセキュアブート)、パスワードベースのディスク暗号化なしで実現できます。 TPMのコストは通常、7米ドル(カスタムボードの部品表の一部)から15米ドル(市場変更後のプラグ可能なモジュール)です。 TPMには、スマートカードリーダー/仮想スマートカード機能を含めることができます。
HSMには通常、密接に関連する2つの主要な機能があります。最初の関数は、暗号化、解読、鍵生成、PRNG関数、および関連する署名/署名検証関数を含む、ハードウェア対応/高速暗号化関数です。通常、これらはオンボードFPGAまたはASIC(またはその組み合わせ)によって高速化されたハードウェアです。 2番目の機能は、通常、拡張(PIN)ベースの保護を備えたキー/認証ストレージ用の仮想スマートカードの有無にかかわらず、スマートカードリーダーです。 2つの統合により、ハードウェアを使用して、仮想スマートカードに埋め込まれたエクスポートできない証明書を生成するための強力なモデルが提供されます。 HSMは、数万ドル(シャーシベースのソリューションの場合)から数千ドル(PCIEカードの場合)、数百ドル(USB)から数十ドル(H-SDCバージョンの場合)まで実行できます。
私の経験では、TPMは主にキーストレージに使用され、HSMは主にハードウェアアクセラレータ暗号化とキーストレージに使用されます。
TPMは、機能およびセキュリティレベルが提供する非常に正確に指定されたパーツです( https://www.trustedcomputinggroup.org )。
それは固定機能を備えており、かなり低コストでありながら高いセキュリティチップ(2.00ドル未満)です。目的は、プラットフォーム上で「信頼の根源」として機能することです。また、テストされ、定義されたレベルのサイドチャネル/観測攻撃、半侵入/障害攻撃、さらには侵入攻撃に耐えることが認定されています。
対照的に、HSMという用語は本質的に「ハードウェアセキュリティモジュール」を意味するだけであり、これはあいまいさとさまざまな解釈につながります。
従来、HSMは、AES、RSA、またはECCキーと証明書を非常に高いパフォーマンスで生成するように最適化されたモジュールです。数百または数千のhttps(SSL/TLS)セッションをすばやく確立できるWebサーバーを実行しているとします。これには、大規模な暗号化パフォーマンス(つまり、鍵の生成)が必要です。 HSMはこれを行います-非常に高速です!それらは通常安全な環境で運用されるため、攻撃に対して高度に保護されているとは限りません。ただし、それらは通常、改ざん耐性と証拠を提供する方法でパッケージ化されています。 TPMとの大きな違い:これらのモジュールのコストは1000ドル以上です。それは少量の特別に設計されたシリコンであり、例えばお客様がマザーボード/ラックに複数のHSMを接続することにより、必要なパフォーマンスを拡張できるPCIexpressボード上。 TPM市場は100mio PC /年の北です。そして当然のことながら、プラットフォームには1つのTPMがバインドされています(=ほとんどがはんだ付け)。
「HSM」解釈の他の形式:HSMという用語をあいまいに使用しているものもあります。 ARM-AシリーズファミリのTrustZoneや、より一般的な(マルチコア)CPUに専用のセキュリティプロセッサが搭載されている場合でも同様です。
TPMチップは多くの場合、マザーボードに組み込まれていますが、常に組み込まれているわけではありません。 HSMはほとんどの場合外部です。
私のマザーボードは実際にヘッダーを介してTPMチップを追加することをサポートしています。
TPMは一部のHSM機能を複製できますが、HSMはTPMを置き換えることはできません。 TPMは、ブートの信頼のルートを許可します。
TPMは、コンピューターが署名されたコードのみを実行していることを確認しています。通常は内蔵マザーボードです。
HSMは、暗号化のために秘密鍵または対称鍵を保管するために使用されます。通常は、別個のネットワークデバイスです。