HSM: Sicher ist sicher
Masterkey und Schlüsselgenerierung sind das Herzstück einer jeder Key-Management-Lösung. Darum setzen wir beim Hardware Security Module auf CH-Power.
Gastbeitrag von Robert Rogenmoser, CEO Securosys: Qualität und Zuverlässigkeit, geht das überhaupt? Ursprünglich erschienen im Securosys-Blog.
"Ist das gut? Wird es lange halten?" Diese Fragen werden manchmal direkt an uns gerichtet, manchmal stehen sie unseren Kunden einfach ins Gesicht geschrieben. Letztendlich will jeder wissen, wie wir nicht nur die Sicherheit, sondern auch die Qualität und Zuverlässigkeit unserer Produkte garantieren können.
Wie stellen wir also sicher, dass unsere Kunden die besten Produkte in ihren Rechenzentren haben? In diesem Blog werde ich Ihnen einen Einblick geben, wie wir die Qualität und Sicherheit unserer Produkte kontrollieren - von der Herstellung bis zur Inbetriebnahme in den Rechenzentren unserer Kunden.
Präzisionstechnologie, Made in Switzerland
Zur Überraschung vieler stellen wir unsere Produkte in der Schweiz her. Der Bau unserer Hardware-Sicherheitsmodule (HSMs) in der Schweiz hat viele Vorteile. Wir können die Produktion persönlich überwachen und in Echtzeit eingreifen. Die Kommunikation ist einfach und klar, weil wir die gleiche Kultur und Denkweise wie unsere Hersteller haben. Zudem ist die Schweizer Fertigung als die beste der Welt anerkannt. Die Ausnahme von dieser Regel ist natürlich, wenn man in Deutschland ist, wo sie behaupten, sie sei nur fast so gut wie ihre eigene. So oder so, Swiss Made hat weltweit einen starken Klang.
Die physischen HSM-Boxen von Securosys werden von unseren Vertragsherstellern GPV und Enics an zwei verschiedenen Standorten in der Schweiz gebaut. Sie betreiben ähnliche Montagelinien wie die Flextronics der Welt, nur in kleinerem Umfang. Da fast alles automatisiert ist, sind unsere Herstellungskosten nur geringfügig höher als in Taiwan oder Shenzhen. Unsere Reaktionszeit, um zu den Produktionslinien zu gelangen, wird jedoch in Stunden statt in Tagen gemessen, was ein grosser Vorteil ist.
Die Herstellung in der Schweiz ist zwar etwas teurer, aber die Vorteile sind reichlich vorhanden
Mehrstufige Qualitätssicherung
Nachdem ein HSM komplett montiert wurde, wird es mit einer speziellen Testsoftware überprüft, um zu bestätigen, dass alle Komponenten wie vorgeschrieben funktionieren. Unsere Produktionspartner setzen das HSM dann in einen speziellen Ofen für den so genannten "Burn-In", einen temperaturbeschleunigten Alterungsprozess, ein. Dort werden alle Komponenten während mehrerer Nieder- bis Hochtemperaturzyklen beansprucht. Eventuelle Ausfälle werden an die Fertigungslinie zurückgeschickt.
Die Einheiten, die das Testverfahren bestehen, werden an den Hauptsitz von Securosys in Zürich versandt. Dort wird jede Box wieder geöffnet und teilweise zerlegt. Wir wollen sicherstellen, dass während des Transports keine unerwünschten Komponenten hinzugefügt wurden. Um dies zu dokumentieren, fotografieren wir die Leiterplatte jeder Einheit.
Selbst wenn sie nicht an eine Stromversorgung angeschlossen sind, prüfen die Securosys Primus HSMs ständig auf Manipulation.
Die neuesten Firmware- und Software-Versionen werden erst dann hochgeladen, wenn die Box diese Prüfung bestanden hat. Eine Lithiumbatterie, die über zehn Jahre hält, wird hinzugefügt und das HSM aktiviert. Ein digitales Siegel wird von den eigenen echten Zufallszahlengeneratoren des HSM erzeugt. Es wird intern gespeichert und auch über einen sicheren Kanal an den Kunden gesendet. Dank der langlebigen Lithiumbatterie laufen die HSMs mit einem Überwachungssystem, das auch bei nicht eingestecktem Stecker auf Manipulation prüft. Sollte es zu irgendeiner Art von Manipulation kommen, wird das interne digitale Siegel gelöscht. Der Kunde kann das Vorhandensein des digitalen Siegels bei der Inbetriebnahme des HSMs überprüfen. Kurz gesagt, jeder Versuch, das HSM zu öffnen und während des Transports oder der Lagerung zu manipulieren, wird sofort bemerkt und dem Bediener des Geräts gemeldet.
Der Härtetest
Bevor wir die Box an unseren Kunden schicken, führen wir noch einen weiteren Test durch, um die Zuverlässigkeit weiter zu erhöhen. Jedes HSM wird zwei bis drei Tage lang mit maximaler Leistung betrieben, während es sich auf einem speziellen Rack befindet. Wie beim "Burn-In" hilft uns dieser "Einlauf"-Prozess, Schwachstellen zu finden, die möglicherweise von der Fertigung übrig geblieben sind. Nachdem dieses Verfahren erfolgreich durchlaufen wurde, wird erwartet, dass alle Einheiten viele Jahre lang, weit über das Ablaufdatum der Garantie hinaus, laufen können.
Bevor wir ein HSM an unsere Kunden schicken, wird jede Box einer grösseren Belastung ausgesetzt als alles, was sie während ihres tatsächlichen lebenslangen Betriebs ertragen soll.
HSMs müssen die höchsten Sicherheitsanforderungen erfüllen. Dazu gehören sowohl FIPS als auch Validierungen und Zertifizierungen nach Common Criteria. Darüber hinaus möchten Käufer oft eine eigene Überprüfung des Quellcodes und der Entwürfe durchführen - etwas, das Securosys im Gegensatz zu anderen Unternehmen der Branche seinen Kunden anbietet.
HSMs müssen nicht nur die höchstmögliche Sicherheit erreichen - sie müssen auch die bestmögliche Zuverlässigkeit erreichen. Niemand will gezwungen sein, ständig seine Sicherheitsausrüstung auszutauschen. HSMs sind Unternehmensprodukte. Deshalb gehen wir bei Securosys weit über die typischen Standards und Verfahren der Elektronik hinaus!