ماژول های امنیت سخت افزاری (قسمت سوم)

استانداردها و معیارهای مرتبط با HSM (بخش اول)

استانداردها از اهمیت زیادی برخوردارند چرا که به تعریف عملکردها، روش­ ها و معیارهای سنجش متداول می پردازند. استانداردها، اعتبار و کارآیی محصولات را افزایش داده و این اطمینان را برای کاربران ایجاد می­ کنند که محصولات با درجه قابل قبول از کیفیت تولید می­ شوند. از سوی دیگر، استانداردها راهکار­هایی را ارائه می ­دهند که از سوی متخصصین در حیطه­ های مربوطه ارزیابی شده و مورد قبول جمع گسترده ­ای از کاربران قرار دارد. از این رو، در دنیای امنیت اطلاعات، به ویژه در حوزه ماژول­ های امنیتی نیز رعایت نیازمندی­ ها و الزامات تعیین شده در استانداردها کاملاً از سوی تولیدکنندگان و مصرف­ کنندگان مورد توجه قرار می­ گیرد.

مجموعه استانداردهای پردازش اطلاعات فدرال (FIPS) توسط مؤسسه NIST تهیه و منتشر می­ شود. این مجموعه، حاوی استانداردها و دستورالعمل ­هایی می­ باشد که بر اساس قوانین مدیریت فنآوری اطلاعات و امنیت کامپیوتر دولت ایالات متحده آمریکا تنظیم شده است. در این مجموعه، استاندارد FIPS 140 الزامات امنيتی مورد نياز يك ماژول رمزنگاری را تعريف می­ كند. اولین نسخه این استاندارد با نام FIPS 140-1 در سال 1996 و نسخه فعلی آن یعنی FIPS 140-3 در سال 2020 منتشر شد. در حال حاضر نسخه FIPS 140-2 همه گیری بیشتری در میان تولیدکنندگان محصولات امنیتی دارد. استاندارد FIPS 140-2 چهار سطح را بر اساس سطوح كيفی امنيتی مشخص مي كند كه بخش نسبتاً وسيعی از كاربردها و انواع محيط­ هايی را پوشش می دهد كه ماژول امنیتی ممکن است در آن­ ها مورد استفاده قرارگيرد. هر کدام از این سطوح شامل 11 نيازمندی امنيتی مربوط به طراحی امن و مسائل مربوط به پياده ­سازی و اجرای ماژول های رمزنگاری است که عبارتند از مشخصات ماژول امنیتی، درگاه ­ها و واسط­ های ارتباطی ماژول، نقش­ ها و وظایف آن ها، خدمات و مکانیزم احراز هویت، مدل حالت متناهی، امنیت فیزیکی، محیط اجرایی، مدیریت کلید رمزنگاری، سازگاری/تداخل الکترومغناطیسی، خودآزماها، تضمین طراحی و کاهش خطر حملات نامشخص را شامل می شود. جدول ‏3‑1 به اختصار حداقل امنیت مورد نیاز در هر سطح را ارائه می­دهد. با مراجعه به متن استاندارد می­ توان اطلاعات کاملی را در این خصوص بدست آورد.

در حقیقت، FIPS 140 یک استاندارد شناخته شده جهانی جهت احراز اصالت HSM ها و هر ابزار رمزنگاری می ­باشد. اما، این احراز اصالت به این معنا نیست که محصول مورد نظر کاملاً ایمن است. با این وجود، اگر یک محصول HSM مورد تأیید قرار گیرد آنگاه این اطمینان وجود دارد که حداقل یک مجموعه قابل قبول از آزمایش­ های امنیتی بر روی آن دستگاه توسط متخصصین مجرب در آزمایشگاه ­های مجاز FIPS اجرا شده و صحت عملکرد ماژول تحت این آزمون­ ها مورد بررسی دقیق قرار گرفته است. بنابراین یک معیار مهم در انتخاب HSM درک سطوح تأییدیه FIPS و ارزیابی هزینه های دستیابی به آن در مقابل ارزش اطلاعاتی می­ باشد که امنیت آن می بایست تأمین شود.

با وجود اين كه استاندارد FIPS 140 خارج از ایالات متحده و کانادا شناخته شده نیست،‌اما این استاندارد در سایر کشورها هم مقبولیت بالایی دارد و محصولات مورد تأیید اين استاندارد در بسیاری كشورها مورد استفاده قرار می گيرند. بر این اساس، استاندارد ISO/IEC 19790، در خصوص نیازمندی های امنیتی برای ماژول­ های رمزنگاری، بر پایه FIPS 140-2 در ماه مارس سال 2006 از سوی سازمان ISO به عنوان یک استاندارد جهانی منتشر شد.

در قسمت بعد به معرفی یک استاندارد مطرح دیگر در مورد ماژول های رمزنگاری با هدف واسط کاربری خواهیم پرداخت