Yubico 4またはHSMとしてのNitrokey

一般に、YubikeyまたはNitrokeyを使用できますが、HSMが何を実行するかによって異なります。両方のベンダーの製品により、ユーザーはデバイスに保存されている秘密鍵にアクセスできません。 Nitrokey HSMだけが、m-of-nアクセス保護、キーポリシーなどの高度なキー管理機能を備えています。これは通常、プロのHSMに期待されています。詳細は Nitrokey HSMファクトシート を参照してください。 Yubikey HSMもあり、その名前は同様の機能を示唆していますが、AFAIKはそうではなく、OTPの使用に非常に固有の機能を含んでいます。

Yubikeyのボタンを使用して、署名操作を行うことができます。ユースケースによっては、これが有利な場合があります。プロフェッショナルHSMは、リモートまたは専用の信頼できるコンピューターで使用できます。そのような場合、ボタンは不要です。

HSMが提供する必要のある保護の程度によって異なります。 Smartcard-HSM（Nitrokey HSMの実装）は、キーを解放せずにドングルで暗号化操作を提供しますが、サポートされているのは、私が見つけたものからの外部プログラマビリティのみです。

この問題は、HSMがキー自体を侵害から保護する一方で、認証情報が提供されている場合、キーを使用から保護できないことです。ホストを介してソフトウェア認証を使用する場合、キーロガーを介して侵害される可能性があるか、または次にデバイスを認証するときにハックによってアクションが送信される可能性があります。

一方、プログラム可能なHSMを使用すると、実行できる操作の定義や、より安全なマナーでの状況など、カードで実行できるより多くの暗号化操作が可能になります。これにより、不正使用を困難にするキーの使用をさらに保護できるため、セキュリティのレベルが向上しますが、プログラム可能なHSMははるかに高価なデバイスです。