Indice

Objetivos. ............................................................................................................................................ 3
1. Mdulo de Seguridad en Hardware (HSM). .................................................................................... 4
1.1 Por qu se utilizan HSM? ......................................................................................................... 5
1.2 Estndares que cumplen los HSM ............................................................................................. 6
2. Modelos y Fabricantes de HSM ....................................................................................................... 6
Thales and Security ......................................................................................................................... 6
SafeNet. ........................................................................................................................................... 8
Futurex. ........................................................................................................................................... 9
Sun Crypto Accelerator. .................................................................................................................. 9
ARX. ............................................................................................................................................... 10
Bibliografa. ....................................................................................................................................... 11











Objetivos.


General.

Elaborar un trabajo de investigacion sobre la tecnologa Modulo de seguridad en
hardware(HSM).


Especficos.

Investigar sobre el uso y aplicaciones de esta tecnologa.
Investigar los diferentes fabricantes de esta tecnologa.
Hacer una comparativa de los diferentes modelos en el mercado y determinar cual esla
mejor opcin.









1. Mdulo de Seguridad en Hardware (HSM).

Son dispositivo de seguridad que contiene los certificados PKI (Infraestructura de claves pblicas)
imprescindibles para SWIFTNet y que genera firmas para el trfico. El uso de los HSM es
obligatorio para todo el trfico activo de FIN, InterAct y FileAct.
Nos ayudan en entornos donde hay necesidad de trfico pesado, nos generan claves pblicas y
esto nos permite hacer rutinas con un grado de variedad muy alto como por ejemplo las
contraseas de acceso a diferentes certificados.
Que proteccin nos ofrecen:
Permiten asegurar la generacin
El almacenamiento
La utilizacin de claves criptogrficas, ya que proporcionar una proteccin lgica y fsica
contra el acceso no autorizado.
El dispositivo aumenta significativamente la seguridad en comparacin con los certificados
basados en disco, por lo siguiente:
La clave privada y las firmas digitales se generan dentro del HSM
La clave privada se almacena cifrada dentro del HSM
Existen tres diferentes opciones para satisfacer las necesidades de los clientes:
1) Tokens de HSM
2) Tarjetas de HSM
3) Terminales HSM
Las primeras dos opciones son personalizadas exclusivamente los usuarios de bajo volumen que
gestionan una cantidad limitada de certificados. Y nos ofrecen facilidad de uso y portabilidad.
La tercera opcin son dispositivos que pueden compartirse en red y nos ofrecen escalabilidad y
resiliencia. Estn disponibles con tres cantidades diferentes, para satisfacer las necesidades de
nuestros clientes de bajo, medio y gran volumen.
La instalacin y la configuracin de los HSM estn integradas en el SWIFTNet Link. El SWIFTNet
Link activa las operaciones de firma del HSM y supervisa su correcto funcionamiento.


1.1 Por qu se utilizan HSM?


Rendimiento: Aparte de que nos permite la generacin y custodia de la contrasea de los
certificados, efectan las operaciones criptogrficas, que suelen ser tareas que consumen
muchos ciclos de CPU), mediante un procesador aparte, de manera que libera al servidor
de ese tipo de tareas.
La efectividad de los mdulos HSM, es mayor en criptografa de clave pblica (o
asimtrica), que en criptografa simtrica. En las sesiones SSL se hace uso de ambos tipos
de criptografa: al principio de la sesin se utiliza clave pblica o asimtrica y una vez
negociada la clave a utilizar, se utiliza clave simtrica.

Seguridad: Para los servidores web que llevan a cabo su funcin mediante el protocolo
criptogrfico SSL, los certificados de clave pblica como el que contiene la clave privada
(key) son almacenados en el sistema de ficheros del mismo.
Los permisos de los ficheros se ajustan para permitir que solo el usuario que ejecuta el
servidor web pueda tener acceso protegiendo as el ingreso a los ficheros. Sin embargo, si
dicho servidor se viese comprometido, sera posible sacar esos certificados fuera del
mismo pudiendo suplantar el servidor por parte de un usuario malicioso dando lugar a un
mega-phising. Para realizar lo antes mencionado no se efecta tan fcilmente ya que el
certificado de clave privado est protegido mediante una clave. Podemos realizar las
siguientes opciones:
El arranque del servidor web
Le introducimos la contrasea mediante la entrada estndar
Lo configuramos sin contrasea

La otra opcin, es utilizar un mdulo HSM para custodiar dicha contrasea, como se indicaba
anteriormente. De esta forma, si el servidor es comprometido remotamente, pueden llevarse los
certificados, pero no la contrasea que los protege, puesto que se encuentra en el HSM. De la
misma manera, si no tenemos HSM configurado, la contrasea que protege el certificado, en algn
momento se encuentra en memoria, de manera que haciendo un dump de la misma podemos dar
con la contrasea. Utilizando mdulos



1.2 Estndares que cumplen los HSM

El estndar FIPS proporciona criterios para evaluar los mdulos de seguridad ya sean hardware,
software, o una combinacin entre ambos. Este estndar fue desarrollado colaborativamente por
las siguientes agencias: el NIST (Instituto Nacional de Estndares y Tecnologa de los Estados
Unidos), la NSA (Agencia Nacional de Seguridad de los Estados Unidos) y el CSE (Establecimiento
de Seguridad de las Comunicaciones de Canad). Los dispositivos de seguridad se evalan en un
ndice que va desde FIPS 140 Nivel 1 a FIPS 140 Nivel 4, aunque pueden desarrollarse estndares
ms altos en el futuro. El Nivel 4 es para los entornos de seguridad ms rigurosos.
Todos los modelos de HSM que comercializamos cumplen con el estndar FIPS 140-2 Level 2 y
Level 3. Tambin cumplen con el estndar Common Criteria EAL 4+ y con la Directiva sobre la
restriccin de uso de sustancias peligrosas en equipos electrnicos (RoHS).
2. Modelos y Fabricantes de HSM

Thales and Security

proporcionan un ambiente a prueba de manipulaciones endurecido para realizar el procesamiento
seguro de cifrado, proteccin de clave, y gestin de claves. Con estos dispositivos se pueden
implementar soluciones de alta seguridad de aseguramiento que satisfacen ampliamente
establecidos y estndares emergentes de la diligencia debida para los sistemas criptogrficos y
prcticas al mismo tiempo mantener un alto nivel de eficiencia operativa. Utilice nuestros sitios y
monumentos histricos, con una amplia variedad de productos de software comercial y en la
empresa o los sistemas de software desarrollados a medida. Para prcticamente cualquier sistema
que emplea la criptografa en la forma de cifrado y las firmas digitales, una Thales HSM le
permitir superar las vulnerabilidades de seguridad y los retos de rendimiento asociados
tpicamente con slo software de criptografa. Con los HSM de Thales, usted compra slo la
capacidad que necesita y puede escalar su solucin fcilmente como sus necesidades evolucionan.






Algunos productos:

Shield Connect desde Thales e-Security es un mdulo de seguridad de hardware conectado a red
de alto rendimiento (HSM) que proporciona servicios criptogrficos seguros como recurso
compartido para los casos de aplicacin distribuida y mquinas virtuales. Con nShield Connect, las
organizaciones tienen una forma costo-efectiva para establecer los niveles adecuados de controles
fsicos y lgicos para sistemas basados en servidor en la criptografa basada en software es
inadecuada. Apoyando plenamente la arquitectura Thales Seguridad Mundial.
Conectado a red de alto rendimiento HSM
Proporciona servicios criptogrficos seguros como recurso compartido para las instancias de
aplicaciones distribuidas y mquinas virtuales
Caractersticas redundantes de hardware y es adecuado para los centros de datos de alta
disponibilidad.


nShield Solo de Thales e-Security es una solucin de seguridad de aseguramiento rentable, de alta
entregado como una tarjeta PCI o PCIe diseado para empotrar en los servidores o dispositivos
independientes.Este mdulo de seguridad de hardware integrado en servidor (HSM) ofrece
capacidad de descarga y aceleracin criptogrfica dedicada a satisfacer las ms altas exigencias de
rendimiento.

HSM superar las vulnerabilidades inherentes de la criptografa basada en software.
La arquitectura de gestin de claves Potente minimiza los costes operativos, incluyendo los
informes de cumplimiento.
Factor de forma integrado para la mejora del rendimiento dedicado.
Asla las funciones crticas de seguridad y minimiza IT interdependencias.
Proporciona la certificacin FIPS 140-2 para los proveedores de dispositivos con altos
requerimientos de aseguramiento.

SafeNet.

Soluciones de encriptacin de SafeNet le permiten proteger y controlar los datos confidenciales,
ya que se expande en volumen, tipo y ubicacin, desde el centro de datos y entornos virtuales y la
nube al tiempo que mejora el cumplimiento y la visibilidad de la gobernanza y la eficiencia a travs
de la gestin centralizada y la aplicacin de polticas.


Luna SA est diseado con la seguridad de sus claves criptogrficas en mente, y es la opcin para
las empresas que requieren una seguridad slida para las claves criptogrficas.
Como un mdulo de seguridad de hardware de propsito general (HSM), Luna SA se puede
integrar fcilmente en una amplia gama de aplicaciones para acelerar las operaciones
criptogrficas, asegure el ciclo de vida de clave de cifrado, y acta de una base de confianza para
toda su infraestructura de cifrado.


Luna PCI-E se puede integrar directamente en un dispositivo o servidor de aplicaciones para una
solucin fcil de integrar y rentable para la aceleracin y la seguridad criptogrfica. El diseo de
hardware de alta seguridad de la Luna PCI-E asegura la integridad y la proteccin de las claves de
cifrado a travs de su ciclo de vida.
Todos operaciones de firma y verificacin digitales se llevan a cabo dentro del mdulo de
seguridad de hardware (HSM) para aumentar el rendimiento y mantener la seguridad.

Futurex.

Universalmente compatible, FIPS 140-2 Nivel 3 y seguridad de los datos validados por HSM PCI y
soluciones de proteccin contra el fraude para el procesamiento minorista y transacciones
bancarias

Tecnologa robusta para un funcionamiento 24/7/365 en los ambientes ms demandantes
La plena adhesin a las normas de auditora y de cumplimiento de la industria
Personalizable para adaptarse a cambiantes y crecientes necesidades de negocio
Capacidades de configuracin y gestin remota-First-to-market


Sun Crypto Accelerator.

Oracle's Sun Crypto Accelerator 6000 PCIe provee FIPS 140-2 nivel 3 y maximiza el rendimiento
del sistema mediante la descarga de la funciones criptogrficas de los procesadores del host.
Descripcin general
Hardware Basado en aplicacin clave de almacenamiento seguro para las organizaciones
empresariales y gubernamentales
FIPS 140-2 certificados Nivel 3
Hasta 13000 operaciones por segundo RSA con claves de 1024 bits
Hasta 1000 Mb/seg de velocidad cifrado masivo.
Clave pblica RSA / DH, con longitudes de 512 a 2 048 bits

Beneficios.
Cumple con los mandatos de cumplimiento normativo para aplicaciones de alta seguridad
Acelera las funciones criptogrficas mejorar el rendimiento del sistema
Soporta la funcin de estructura criptogrfica de Solaris para la facilidad de integracin
con las aplicaciones

ARX.

PrivateServer HSM (Servidor de Mdulo de Hardware para Seguridad)
PrivateServer is FIPS validated
PrivateServer es el mdulo de seguridad de hardware (HSM) altamente seguro (FIPS 140-2 nivel
3) y conectado a la red de ARX, que proporciona un entorno seguro para el cifrado de datos,
impresin del envo del nmero personal y ejecucin segura de una aplicacin. PrivateServer
realiza operaciones criptogrficas sensibles, almacena claves de forma segura y gestiona un gran
nmero de claves. Debido a una infraestructura flexible y altamente segura, PrivateServer permite
a los clientes y socios colaboradores desarrollar sus propios mdulos personalizados usando
lenguajes de programacin .NET que se ejecutan dentro de un HSM.
Nuevo! PrivateServer ofrece ahora un plugin EKM que permite a los proveedores integrarse en el
SQL Server 2008 de Microsoft y proporcionar funciones de cifrado como puedan ser el cifrado
masivo, el descifrado y las funciones de gestin de claves. El proveedor EKM PrivateServer es
adecuado para cualquier organizacin sujeta a las normas de seguridad de datos del sector de las
tarjetas de pago (PCI-DSS) que exigen el cifrado de informacin sensible como puedan ser los
nmeros de tarjetas de crdito.
Concedido el certificado FIPS 140-2 nivel 3.
Qu hace?
PrivateServer es un Mdulo de Hardware para Seguridad (HSM) de alto rendimiento. PrivateServer
proporciona una amplia gama de operaciones criptogrficas a servidores de aplicaciones que
utilizan el protocolo TCP/IP.
stas incluyen:
Emisin de Tarjetas EMV
Autorizaciones EMV
Preparacin de datos EMV
Autorizaciones EMV-CAP
Verificacin de identificador PIN
A quin est destinada esta solucin?
Instituciones financieras, emisores de tarjetas y organizaciones gubernamentales que requieran
despliegues relacionados con seguridad, tales como Mquina CA de Firmado , preparacin de
datos y personalizacin de tarjetas EMV, verificacin de PIN, encriptacin (cifrado) e identificacin
digital de datos.

Bibliografa.

http://www.arx.com/products/privateserver-hsm/overview/
http://www.oracle.com/us/products/networking/ethernet/crypto6000-
pcie/overview/index.html
http://www.securitybydefault.com/2009/06/hsm-hardware-security-modules-
necesidad.html
http://www.swift.com/products_services/hardware_security_module_overview?lang=es