Pourquoi un HSM est-il nécessaire pour protéger les certificats de CA (plutôt qu'un jeton USB régulier)?
Les jetons USB typiques (Nitrokey, YUBIKEY ...) permettent à un utilisateur de tous les jours de stocker des clés PGP et de les utiliser pour chiffrer le courrier électronique, le disque dur et ainsi de suite.
Les mêmes fournisseurs proposent également des produits distincts appelés HSMS ( Nitrokey HSM , YUBIHSM ). L'étui d'utilisation suggéré est la protection des certificats de l'autorité de certification. Ils ont également un facteur de forme de jeton USB.
Pourquoi un matériau différent est-il requis pour ce cas d'utilisation?
[Ceci est la spéculation basée sur le site Web du fournisseur - je n'ai aucune expérience directe avec ces appareils]
Ma spéculation est qu'une version HSM spécialisée du périphérique n'est pas requise , mais comme elle est conçue pour ce cas d'utilisation spécifique, il aura plus de fonctionnalités. adapté à ce cas d'utilisation. Beaucoup comme comment vous n'avez pas besoin un marteau à conduire dans des ongles; Vous peut Utilisez la poignée d'un tournevis.
Prenant la fiche de comparaison de produits de nitrokey à titre d'exemple, nous pouvons voir que les périphériques d'utilisateur final prennent en charge une large gamme d'applications utilisateur finales telles que PGP et 2FA/OTP, un gestionnaire de mots de passe intégré, un stockage USB crypté sur l'appareil, etc. . Pendant ce temps, le HSM prend uniquement en charge les claviers cryptographiques, peut contenir de nombreuses autres claviers et dispose de fonctionnalités spécifiques pour la gestion des clés PKI/CA.
