我觉得我失去了一些东西。我知道 HSM 可以为您的密钥、加密数据等提供 100% 的防弹保护。但是,在您访问 HSM 并将您的秘密复制到用户内存后,如何防止攻击者窃取您的敏感数据呢?或者例如,只使用相同的 API 来访问模块?应用程序身份验证如何工作?如果它基于一些简单的东西,比如密码,为什么攻击者不能从内存中窃取密码,登录到 HSM 并得到他想要的东西?另外,如果内核受到损害,我认为它可以侦听或篡改进程与 HSM 之间的任何通信,对吧?
您对此的担心是正确的 - HSM 并不是万能药,能够验证和使用 HSM 的受感染服务器是真正的风险,正如 Diginotar 所证明的那样。
应用程序身份验证如何工作?
不同的 HSM 提供不同的身份验证选项,例如物理令牌(例如智能卡)、物理密码输入、逻辑令牌(在内存密钥中)、用户定义的自定义解决方案等。
但是,在您访问 HSM 并将您的秘密复制到用户内存后,如何防止攻击者窃取您的敏感数据呢?
理想情况下,当使用 HSM 实施解决方案时,敏感密钥永远不会暴露在 HSM 外部 - 您让 HSM 使用密钥(例如进行签名/加密),而不是让 HSM 为您提供密钥。
登录HSM并得到他想要的东西?
HSM 允许您保护密钥,以便无法从 HSM 导出它们(即使您拥有用户/管理员的所有凭据)。
另外,如果内核受到损害,我认为它可以侦听或篡改进程与 HSM 之间的任何通信,对吧?
是的; 应用程序和 HSM 之间可能存在受加密保护的通道,但最终,具有受损内核的计算机应被视为攻击者控制的计算机 - 计算机可以合法执行的任何操作,攻击者都可以非法使用。