通过基于USB的硬件安全模块减少现场SWaP

　　数字密钥是建立安全网络的核心概念，在数据中心应用中与战术战场边缘一样重要。虽然加密（crypto）对不同的功能使用对称和非对称密钥，但在本专栏中，我们将重点介绍非对称加密，其中使用不同的密钥进行锁定和解锁。

　　非对称加密方法具有许多优点，例如准确验证谁发送了特定消息。非对称加密最常见的用途是公钥基础设施 （PKI） 应用程序。在非对称加密中，有公钥和私钥。公钥可以自由分发，用于验证实体（例如个人或服务器）的身份。私钥需要保持私有，以防止该实体被模拟。

　　公钥和私钥由证书颁发机构 （CA） 提供。实体创建证书签名请求后，将其传递给 CA。验证请求者的身份后，CA 将向实体颁发其公钥和私钥作为 X.509 证书。

　　CA 可以是主要的互联网公司，例如威瑞信或 GoDaddy，也可以是由组织管理的服务器。每个操作系统都有一个证书存储，其中记录了受信任的 CA;微软，苹果，RedHat和其他公司已经审查了主要的CA，但组织可以从此列表中添加或删除CA。在典型的美国陆军系统上，所有互联网 CA 都将被删除，并替换为一组国防部 （DoD） 批准的 CA。

　　硬件安全模块 （HSM） 是一种保护加密密钥材料和/或加速加密操作的设备。这些设备通过 PCIe 或 USB 以物理方式或通过网络逻辑连接到 CA。HSM 为证书颁发机构等应用程序或用于文件或数据库加密的应用程序提供加密安全密钥生成和安全密钥存储以及加密服务。这些应用程序使用行业标准（以及特定于供应商）、库和 API 进行集成。使用 HSM 可以确保在发生服务器泄露时，用于保护重要信息的关键材料不会受到损害，这有助于组织和机构降低其运营风险。

　　使用 HSM 可防止意外复制和分发加密密钥，从而防止加密密钥处理不佳。它通过安全地将加密密钥存储在硬件上来防御远程攻击并消除私钥的远程提取。在SWaP（尺寸、重量和功率）至关重要的情况下，传统的HSM可能会占用比完成任务所需的更多空间。

　　小型 YubiHSM 2 器件使用经过验证的安全元件、广泛的加密功能、现代算法和密钥长度实现安全的密钥存储和操作。它还为密钥管理和密钥使用提供基于角色的访问控制，从而可以控制使用密钥执行哪些操作以及由谁执行。防篡改设备采用低功耗纳米外形封装，可网络共享。

　　这种基于 USB 的设备通过 M of N 包装密钥备份和恢复提供了额外的控制和密钥材料层，这需要多方将他们的密钥部分放在一起进行操作。它可以与各种应用程序集成，包括 CA、VPN 解决方案、文件系统和数据库加密、通过 YubiHSM KSP、PKCS#11 和本机库的接口。它还通过留下可验证审计跟踪的操作为用户提供防篡改的审计日志记录，所有这些都经过 NIST 验证，符合 FIPS140-2 级别 3。

　　对于通常不需要高容量HSM的战术硬件，可以简单地移除较大的HSM并替换为YubiHSM2，从而有效地释放系统中的两个插槽。然后，这些插槽可用于添加对另一个网络的支持，而无需扩展到第二种情况。

　　这种超小型HSM的一些首批应用已部署在NSA批准的机密商业解决方案（CSfC）解决方案中，这些解决方案使用两层商业加密，例如PacStar安全无线指挥所（SWCP），这是美国陆军项目经理战术网络（PM TN）注册的WLAN指挥所系统。该系统包括SIPRnet和NIPRnet（绿色）网络。

　　审核编辑：郭婷