Vertrauenswürdige Verifizierung von HSM-Schlüsseln und Zeitstempeln

Key Attestation von Securosys reduziert die Kosten für die Verleihung und Verteilung von öffentlichen Zertifikatsschlüsseln erheblich und steigert somit den Anwendungsbereich der digitalen Identität massiv.

Anwendungen digitaler Identitäten, die qualifizierte Zertifikate und Signaturen benötigen, müssen die Zertifikatsschlüssel auf vertrauenswürdige Weise ausgestellt bekommen. Zurzeit sieht die Vorgehensweise so aus, dass die Schlüsselzertifizierungsverfahren geprüft und das Audit von der Zertifizierungsstelle genehmigt wird. Die Identitätsschlüssel müssen dann sicher verteilt werden. All dies ist kostspielig und nicht skalierbar und erfordert das Vertrauen, dass der geprüfte Prozess auf alle neu generierten Schlüssel konsistent angewendet wird.

Das neue SECUROSYS Key Attestation Feature bietet eine kryptographische Überprüfung des Schlüssels und seiner Attribute mit einer von unserem Root-Zertifikat ausgehenden Chain-of-trust. Dies ermöglicht es, den Prüfprozess der Schlüsselzeremonie zu automatisieren und vertrauenswürdige digitale Identitätsschlüssel in praktisch unbegrenztem Umfang auszustellen.

Wie es funktioniert

Jedes Primus HSM ist mit einem CC EAL4+-zertifizierten Keystore ausgestattet, der ein werkseitig installiertes Root-Zertifikat und einen Root-Schlüssel schützt. Das Gerät erstellt dann seinen eigenen intermediären (Geräte-)Schlüssel, und sein Zertifikat wird mit dem Root-Key signiert. Der Interimsschlüssel wird dann zum Signieren von Bescheinigungs- und Zeitstempelschlüssel verwendet, die für jede Partition erstellt werden. Der Bescheinigungsschlüssel wird zur Überprüfung der Schlüsselherkunft (d.h., dass ein neuer Schlüssel auf dem jeweiligen HSM erzeugt wurde) und der Schlüsselattribute verwendet. Der Zeitstempelschlüssel wird für die Erzeugung qualifizierter Signaturen oder für die Anwendung zeitbasierter Schlüsselattribute verwendet.

Auf diese Weise können die Anwendungen für digitale Identitäten automatisch Identitäten für Benutzer oder Geräte erzeugen und qualifizierte Signaturen mit diesen Identitäten verifizieren, ohne dass zusätzliche Verfahren oder externe Behörden eingesetzt werden müssen. Gleichzeitig wird der Herkunftsnachweis und der Hardwareschutz garantiert, und zwar zu praktisch null Grenzkosten und einer unbegrenzten Bandbreite, die für IoT- und personalisierte Identitätsanwendungen benötigt wird.

Das Root-Zertifikat ist auf unserer Website und sein Hash auf unserem Support-Portal verfügbar, so dass jeder Benutzer die Zertifikatskette überprüfen und kontrollieren kann.

Vorteile

Einfache Integration
  • Verifizierung der Herkunft von Root-Schlüsseln und Zertifikaten ohne Overhead
  • Identitäts- und Signaturschlüssel werden niemals ausserhalb des HSM offengelegt
  • Qualifizierte Signaturen für digitale Identitäten mit unbegrenztem Umfang durchführen
Leistungsfähigkeit und Zuverlässigkeit der Anwendung
  • Hardware-beschleunigte digitale Signierung, bis zu 4000 RSA 2048-Bit-Signaturen pro Sekunde
  • Handhabung grösserer Schlüsselgrössen ohne gravierende Leistungseinbussen
  • Hohe Verfügbarkeit und Redundanz

ÜBER DIE SECUROSYS HSM SERIE

Skalierbare und flexible Lösungen

Angebot anfordern

Informieren Sie sich über unsere Lösung für die Schlüsselbeglaubigung.

Hardware Security for the Software Challenges of Tomorrow

Informieren Sie sich über unsere Lösung für die Schlüsselbeglaubigung.

Hardware Security for the Software Challenges of Tomorrow