내장형 하드웨어 암호화 모듈, Thales nShield Solo HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.03 20:54 / 카테고리 : nCipher HSM (Thales-HSM )


nShield Solo 시리즈는 Solo+ 및 새로운 Solo XC 모델로 구성되어 있으며, 독립형 서버 및 어플라이언스에 내장되는 PCIe 카드로 설계된 고 보장 보안 솔루션 입니다.


nShield Solo 시리즈는 최고의 성능 요구사항을 만족 시키기 위해 전용 암호화 오프로드 및 가속기능을 제공합니다. nShield Solo는 탈레스 Security World 구조를 완전히 지원하며 높은 보안성과 높은 편의성의 이상적인 조합을 제공합니다. 따라서, 듀얼컨트롤 등의 보안 정책 결정 및 실행을 쉽게 도와주며 위험 부담이 큰 관리 업무를 자동화 할 수 있습니다.


nShield Solo nShield HSM 제품군 전체와 완벽히 호환되며, 기존 제품과의 혼용 운용 및 요구 성능 증대에 따른 확장이 쉽습니다. 고객의 강력하고 Mission-critical 한 커스텀 알고리즘을 HSM 경계 안에서 보호할 수 있도록 Solo XC 시리즈는 CodeSafe(nShield 고유의 실행시간 환경)를 제공합니다. nShield Solo+ FIPS 140-2 인증을 획득하였습니다.




nShield Solo의 특장점

- 성능 향상을 위한 전용 임베디드 장비

- 대량의 기업 트랜젝션 트래픽 지원 및 가속화

- HSM을 통해 실행 시간 환경에서 강력한 커스텀 애플리케이션들을 보호할 수 있습니다.





보안 기능

nShield HSM 과 탈레스 Security World 구조는 여러 기술을 통합하여 다음과 같은 여러 계층의 보안 기능을 제공합니다.


물리적 보안

- 응용 프로그램 및 호스트 운영 체제에서 암호화 프로세스와 키를 분리 할 수 있는 전용 카드 기반 보안 모듈

- CodeSafe 사용을 통해 보안에 민감한 응용 프로그램 코드 부분을 호스트 서버에서 HSM으로 옮겨와서 HSM의 물리적 보안으로 보호되는 위변조 방지 응용프로그램 "샌드박스"로 안전하게 실행할 수 있는 옵션 기능.

- 내부 회로를 보호하기 위한 에폭시 포팅 및 장치에 대한 직접적인 무단 접근을 감지하는 보안 레이블 등의 대책이 적용 된 물리적 공격 방지 기능

- 하드웨어 모니터링을 통해 공격 시도를 감지



논리적 보안

- 스마트 카드를 사용하는 사용자 인증 기능은 보안 강도가 약하고 고통으로 자주 사용되는 패스워드 방식으로 부터 벗어날 수 있도록 합니다. 

- 응용 프로그램의 "수퍼 유저" 또는 루트 권한의 관리자가 광범위한 권한을 갖게 되는 소프트웨어 기반 시스템과는 달리, 탈레스 Security World는 HSM 관리자와 HSM에서 보호하는 키의 사용을 승인하는 키 관리자 사이의 역할을 명확히 분리합니다.

- 키 복구 작업과 같이 신중한 작업을 수행하기 위한 접근 제어 기능인 듀얼 컨트롤을 지원합니다. 이러한 상호 감시 기법은 악의적인 내부자 위협을 최소화 합니다. 듀얼 컨트롤은 자유로운 구성 설정이 가능하며, HSM 내에서 엄격히 수행됩니다.

- CodeSafe 의해 보호되는 응용 프로그램에 대해서 강력한 무결성 검증 및 정책 실행을 보장합니다.



운영상의 특징

nShield 제품군 HSM과 Security World 키 관리 아키텍처는 여러 중요한 키 관리 작업을 자동화하고, 용량 및 성능에 대한 제약을 제거하여 보안과 편리함을 동시에 제공합니다. 

- 기존 데이터백업, 복제 및 파일 공유 등의 방법을 이용하여 안전하고 자동화된 응용 프로그램 키의 공유, 배포 및 백업을 수행하는 강력한 기능을 통해 HSM의 실제 적용 및 운용에 발생되는 여러 비용들을 최소화함으로써 HSM 설치 및 관리 작업을 크게 단순화합니다.

- 원격 관리는 HSM 관리자 및 운영자가 그들의 사무실에서 멀리 떨어진 곳에 설치되어 있는 HSM들을 관리할 수 있도록 하여 비용을 절감합니다

- 다양한 애플리케이션 및 시스템, 그리고 애플리케이션 선두 업체의 광범위한 사전 테스팅 프로그램을 지원하는 표준 API를 지원함으로써 도입 위험 부담을 최소화합니다.

- 암호화 처리의 가속 및 리소스 집약적인 작업의 오프로드를 통해 클라이언트 시스템의 전체적인 성능을 향상시킵니다.

- 무제한의 키 저장 용량은 높은 확장성을 제공 키 저장을 위한 고가의 백업 전용 하드웨어 또는 키 백업 전용 HSM의 필요성을 없애는 백업 기술을 제공합니다

- HSM을 통합 구성하여 로드-밸런싱 및 장애 복구 기능을 통해 복원력 높은 네트워크를 구축할 수 있습니다



지원되는 암호화 알고리즘

◈ 대칭

   - AES(128, 192 및 256비트)

   - Aria(128, 192 및 256비트)

   - Camelia(128, 192 및 256비트)

   - Triple DES(112, 168비트)


◈ 비대칭

   - RSA(1024, 2048, 4096, 8192비트)

   - Diffie-Hellman

   - DSA

   - ECC 제품군 B


◈ 해싱

   - SHA-1, SHA-2 (224, 256, 384 및 512비트) 


◈ 인증

   - FIPS 140-2 Level 2 및 Level 3 

   - Solo XC 는 FIPS-pending Common Criteria EAL4+ (AVA_VAN.5)

   - UL, CE, FCC

   - RoHS, WEEE


◈ 지원되는 운영 체제

   - Windows

   - Linux

   - 레드햇 리눅스 엔터프라이즈

   - Solaris

  - IBM AIX

  - HP-UX

  - AIX LPARs



Thales Solo HSM에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

암호화 키 관리. 글로벌 시장 1위 Thales HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.03.02 12:03 / 카테고리 : nCipher HSM (Thales-HSM )


행자부, 개인정보유출사고 방지를 위해 점검 대상 2배 이상 확대

몇년간 지속적으로 이슈가 되고 있는 개인정보유출사고는 아직도 많은 개선이 이루어지지 않고 있습니다. 카드 3사 개인정보유출사고 부터 시작하여 유명 쇼핑몰, 포털사이트 계정 해킹사고 등이 있습니다. 큰 사고 이후, 기업과 기관에서는 개인정보유출방지를 위한 많은 노력들을 기울이고 있습니다.


하지만, 최근에 벌어지고 있는 아시아나 홈페이지 해킹 사고를 시작으로 조직적으로 해킹 그룹들이 한국의 공공기관 및 기업에 대한 대규모 해킹을 기획하고 있기에 더 철처한 대비가 필요합니다.


이러한 배경으로 인해, 행정자치부에서는 한국인터넷진흥원과 협력하여 올해 3월 부터 민간분야 300개 기업을 대상으로 개인정보 보호실태 일제점검을 실시합니다. 아직도 개인정보보호 위반사항이 많은 만큼, 올해 부터 점검 대상을 기존에 비해서 2배 이상 확대 실시할 것을 예고하고 있습니다.


기존의 점검 대상인 300개 기업 이외에도, 5대 분야 총 300개 기업을 추가로 선정하고, 상반기와 하반기로 나누어서 150개 업체를 점검을 실시합니다. 이번 점검에서는 개인정보가 많이 다루어지는 대학, 병원, 건설, 제고, 배송, 유통, 숙박, 레저 등의 다양한 업종과 기업들이 포함되어 있습니다. 


주요 점검 사항은 아래와 같습니다.

- 개인정보 수집근거 및 동의방법 준수여부

- 재화 및 서비스의 홍보나 판매 권유 시 별도 동의 여부

- 개인정보 암호화 조치 등 안전조치 의무 준수 여부

   * 상기에 명시된 내용 외 총 15개 항목

※ 해당 기업은 제공되는 매뉴얼에 따라 점검표 및 증적자료를 4월 21일까지 KISA에 제출하여야 합니다.


많은 기업들은 개인정보 안전조치를 위해 컴플라이언스 준수, 강력한 암호화 솔루션 도입, 데이터 암호화 쪽으로 초첨을 맞추고 있습니다. 위에 방법들은 개인정보보호를 위해서는 반드시 필요한 제도적, 기술적인 보안 조치입니다. 


기업과 기관들은 개인정보를 안전하게 암호화 하였으니 문제가 없다고 생각합니다. 그러나, 아무리 강력한 암호화라도 이를 복호화 할 수 있는 암호화 키에 대한 접근과 관리가 철저하지 않다면 아무런 소용이 없습니다. 아무리 좋은 금고라도 금고키를 아무나 사용할 수 있거나 절취할 수 있으면 단단한 금고 안에 있는 중요한 자산들의 안전은 없는 것이나 마찬가지 입니다.


암호화 키 관리는 암호화 조치 작업시에 반드시 고려해야 할 안전조치입니다. 최근에는 이러한 암호화 키 관리에 대한 관심을 갖는 공공기관과 기업이 많아지면서 암호화 키 관리가 가능한 보안 솔루션에 대한 관심도 높아지고 있는 추세입니다.



암호화 키 관리, 안전하게 하는 방법은?

암호화 키 관리를 위한 최적화된 솔루션으로는 하드웨어 암호화 모듈인 HSM(Hardware Security Module)이 있습니다. HSM은 암호화 키를 별도의 하드웨어에서 관리하도록 하여 외부의 공격으로부터 암호화된 데이터와 암호화 키를 분리할 수 있으며 권한 분리 및 키 생성 및 관리에도 사용되기 때문에 많은 공공기관과 대기업에서 도입하고 있는 추세입니다.




Thales e-Security의 HSM은 H/W 기반의 암호연산이 가능하여 키 생성 및 전자서명, 키 저장 및 백업 까지 모든 것이 가능합니다. 이는 호스트 서버의 암호연산 부하를 경감하고, 서버 가용성을 증대시킬 수 있습니다.  


또한, 암호화 키 접근 및 제어에 관한 것들을 관리 할 수 있습니다. 

1. 관리자 권한의 강력한 분리 기능

2. 관리자를 위한 강력한 인증 기능

3. 상호 감독을 위한 강력한 이중 통제 기능

4. 성능 증대를 위한 프로세싱 분리 기능

5. 물리적 보호를 위한 변조 방지 기술 적용


이를 통해 비대칭형 암호 연산에 사용되는 개인키를 하드웨어 방식으로 보안 처리 할 수 있으며 안전한 관리가 가능합니다.

1. 전 세계 HSM 시장 점유율 1위 글로벌 기업

2. 가장 까다로운 방위 사업 쪽 보안에서 우수성을 입증한 기업

3. S/W Based 모듈보다 뛰어난 보안성 및 운영상의 장점 보유

4. 암호 키가 HSM 속에서 생성되어 저장되기 때문에 물리적으로 키 값에 대한 강력한 보호가 가능

5. 하드웨어 키 보호 시스템은 논리적으로 접근이 불가능하며, 물리적 접근시 키 값이 삭제 처리되어 안전

* FIPS 104-2 Level 3 및 CC EAL 인증을 받은 전용 장치로 안전성을 검증

6. 백업으로 인한 키 관리의 어려움을 해결

7. 암호 키 분실에 대비한 중앙집중적인 암호화 키 관리가 가능

8. 내부자에 의한 암호 키 탈취에 대한 취약점을 해결



Thales HSM 제품 군 소개

1. 일반적인 어플리케이션과 연동이 가능한 강력한 암호화 키 보호 및 관리 

2. 네트워크 접속형(외장형)으로 설치가 간편

3. 암호키에 대한 물리적 분리 가능

[카탈로그 보기] [상세스펙 보기]



1. 일반적인 어플리케이션과 연동이 가능한 강력한 암호화 키 보호 및 관리 

2. 서버 내장형으로 공간 활용 우수

3. PCI-E 슬롯에 장착되어 빠른 처리 속도 보장

4. 암호키에 대한 물리적 분리 가능


1. 지불결제 및 카드발급에 특화된 암호화 장비

2. 주요 국제 카드 표준에 보안 요구사항 만족

3. 유명 카드회사 브랜드 지원

[카탈로그 보기] [상세스펙 보기]





암호화 키 관리와 Thales HSM에 대해서 더 궁금한 점이 있으시면 아이마켓코리아 담당자에게 연락주시기 바랍니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

HSM를 활용한 DB암호화 키 관리 방안

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.11.24 13:46 / 카테고리 : nCipher HSM (Thales-HSM )


DB 암호화 키 관리의 필요성

DB암호화용 키 관리는 이제 선택이 아닌 필수가 되었습니다. 첫째로 암호화 만으로는 개인정보의 안전성을 보장하지 못합니다. 그 이유는 암호화된 정보의 안전성은 암호 알고리즘과 키 관리가 결정적인 역할을 담당하기 때문입니다. 


그리고, 정보보호관리체계(ISMS) 인증제도 및 PCI 데이터 보안표준 등에서는 이미 암호 키 관리에 대한 요구조건을 따로 명시하였습니다. 금융보안연구원이나 KISA에서는 DB암호화시 암호키 관리에 대한 가이드를 안내하고 있습니다.  


암호 키를 안전하게 저장하기 위해서 몇몇 기능 요건들이 보장되어야 합니다.

 기요건 

 설명

비고 

 가용성

 ◈ 암호 키는 유효기간 동안 항상 사용 가능해야 한다. 

이중화

 무결성

 물리적 매커니즘

 ◈ 저장된 암호 키에 대한 접근을 제한할 수 있는 암호모듈이나 운영 시스템

HSM

 암호 매커니즘

 ◈ 안전한 무결성 매커니즘 (예:MAC, 디지털 서명)

HSM

 기밀성

 ◈ 다음의 매커니즘들 중 하나 이상을 사용하여 저장

  - KS X ISO IEC 18033-3

  - KS X ISO IEC 19790의 보안 수준 2 이상의 인증된 보호 장비를 사용

  - 안전한 저장매체에 접근권한을 두어 저장

HSM



금융보안연구원에서는 암호기술 활용 가이드를 제시하며, 안전한 암호기술을 활용하기 위한 가이드라인을 아래와 같이 제시하였습니다. 


- 키 생성 : HSM에서 마스터 키 생성

- 키 분배 : HSM에서 제공하는 키 교환 알고리즘 활용

- 키 저장 : HSM에서 안전하게 키 저장

- 키 사용 : HSM에서 제공하는 권한분리 기능 활용

- 키 백업 및 복구 : HSM을 통한 간편한 키 백업과 복구



HSM 도입, 암호화를 위해서 반드시 필요합니다.

여기에서 보듯이, 암호화 키를 안전하게 생성, 분배, 저장, 사용, 백업/복구를 위해서는 반드시 암호화키 관리 전용 장비인 하드웨어 암호화 모듈 (HSM)을 사용하여야 한다는 것을 금융보안연구원에서도 권고하고 있습니다.


HSM 내부에서 생성된 키는 관리자 조차 유출이 불가능하며, 애플리케이션 단에서 암호화 키를 직접 접근하지 않으며 키는 HSM 밖으로 복호화된 상태로는 노출되지 않습니다. 




신뢰성 있는 보안장비 중에서도 암호화 키 관리 장비인 HSM은 믿을 수 있는 제품을 써야합니다.

Thales 그룹은 100년이상의 회사 업력으로 까다롭다는 방위산업 분야를 선도하는 글로벌 그룹입니다. 2013년에는 매출이 16조원에 임직원 56,000명, 56개의 해외지사를 보유하고 있습니다. 


방산분야의 노하우를 통해서 암호화 시장에서는 40년 이상의 업력을 가지고 선도하고 있습니다. 특히, 제일 까다로운 분야 중 하나인 Payment HSM 시장에서 80%의 시장점유율(VISA, MASTER)을 가지고 있으며 Thales Korea는 20년 전에 설립되어 국내에서 활발하게 활동하고 있습니다. 


Thales HSM을 도입함으로써 안전하게 편리한 키 보호환경을 구축할 수 있습니다.

HSM에서 생성되는 키는 절대로 평문 형태로 외부에 노출되지 않습니다.

 Security World라고 하는 키 관리 매커니즘을 통해서 키 생성부터 사용 및 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리할 수 있습니다.

 HSM의 관리 및 사용은 FIPS Lv3의 요구를 충족하는 Two Factor 인증을 거쳐야 합니다.

 인증 수단에서 사용되는 ACS(Administrator Card Set)와 OCS(Operation Card Set)는 권한분리 (K-of-N) 매커니즘을 지원합니다. 



또한, 다양한 키 길이에 따른 RSA 전사서명 생성을 측정하고 HSM 밴더에서 제공하는 최고 사양 모델을 사용합니다.  



Thales nCipher HSM은 FIPS 140-2 인증을 받은 제품으로 최고의 안정성을 보장합니다. 



Thales HSM 제품 라인업

키 관리 용도의 Thales HSM 제품은 네트워크 접속형과 PCIe 고속 슬롯을 사용하는 내장형 모델이 있습니다. 

Thales nShield Connect Model (접속형)


 구분

 nShield Connect 500+ 

 nShield Connect 1500+ 

 nShield Connect 6000+ 

 인증

 FIPS 140-2 Level 3 인증

 지원 알고리즘

 - 공개키 : RSA, DH, DSA, 

지원 API 

 - PKCS #11, Microsoft CryptoAPI / CNG, Java JCE, OpenSSL, nCore (옵션) 

초당 RSA 서명 건수 

- RSA 10204 bit : 최대 500TPS

- RSA 2048Bit : 최대 140 TPS

- RSA 1024bit : 최대 1500TPS

- RSA 2048bit : 최대 450TPS

- RSA 1024bit : 최대 5000TPS

- RSA 2048bit : 최대 2700TPS 

Fail Over

Load Balancing 및 Fail-Over 지원 (2대 이상), 이중화 시 HSM 간 동기화 지원

통신방식 

 TCP/IP 통신 기반의 Gigabit Ethernet Interface



Thales nShield Connect Model (내장형)


 구분

 nShield Connect 500+ 

 nShield Connect 6000+ 

초당 RSA 서명 건수 

 - RSA 1024bit : 최대 500TPS
 - RSA 2048bit : 최대 140TPS

 - RSA 1024bit : 최대 5000TPS

 - RSA 2048bit : 최대 2700TPS

 인증

 - FIPS 140-2 Level 2 or Level 3 인증

 지원 알고리즘

 - 공개 키 : RSA, DH, DSA, KCDSA(옵션), ECDSA(옵션), ECDH(옵션), El-Gamal

 - 대칭 키 : AES, ARIA (옵션), 3DES, SEED (옵션), Arcfour, CAST, MD5 HMAC, SHA-1, SHA-224/256/384/512 등

 지원 API

 - PKCS #11, Microsoft CryptoAPI/CNG, Java JCE, OpenSSL, nCore (옵션)

Fail Over

 - Load Balancing 및 Fail-Over 지원 (2대 이상), 이중화 시 HSM 간 동기화 지원

통신방식 

 - PCI Express



암호화 키 관리를 위한 전용장비인 Thales HSM 제품군에 대해서 도입문의 및 견적 상담은 아래의 아이마켓코리아 IT 담당자에게 연락주시면 친절하게 상담해드립니다.



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

ISMS 2.0 인증 및 보안관리를 위한 암호화 키 관리 대책

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.11.14 17:10 / 카테고리 : nCipher HSM (Thales-HSM )


최근 ISMS 2.0 (정보보안관리체계)에 인증 문의가 많이 오고 있습니다. ISMS에서 특히 암호 통제 부분에 있는 암호키 관리 분야에 대한 문의가 많은데요. 암호 통제 부분을 준수하기 위한 체크리스트와 ISMS 대응 방안을 알려드리겠습니다.



ISMS 인증, 암호화 키 관리는 필수

정보보안관리체계는 총 13개 분야 중에서 암호 통제 부분에서는 복호화에 필요한 암호키 관리에 대한 내용이 주를 이룹니다. 암호 사용데 대한 암호키를 안전하게 관리하는 부분과 이를 지키기 위한 정책들에 대한 내용으로 설명할 수 있습니다.


[자료출처 : KISA 참조]



1. 암호 정책 수립

암호 통제 분야의 첫번째 사항은 암호 정책 수립에 관련된 사항입니다. 암호화시 필요한 정책과 이를 충실하게 이행 하였는지를 점검하는 부분이 많으며, 컴플라이언스 준수에 초점이 맞추어져 있습니다. 자세한 내용은 아래와 같습니다. 


ISMS 암호 정책 수립 점검 사항

1. 개인정보 등 중요정보의 전송 및 저장 시 안전한 보호를 위한 암호 정책을 수립, 이행하고 있는가?

2. 서비스 이용자 및 내부 사용자 (임직원 등) 비밀번호 저장 시 암호화 정책을 수립, 이행하고 있는가?

3. 중요정보 저장 시 암호화 정책을 수립, 이행하고 있는가?

4. 정보통신망을 통해 중요정보를 송수신하는 경우 암호화 정책을 수립, 이행하고 있는가?

5. 조직 내 중요정보를 개인용 컴퓨터(PC 등)에 저장할 경우 암호화 정책을 수립, 이행하고 있는가?



2. 암호키 생성 및 이용

암호 통제 분야의 두번째 분야는 암호키 생성 및 이용에 관한 내용입니다. 암호화를 하기 위해서는 알고리즘이 필요하고 알고리즘을 이용해 암호화를 하게 됩니다. 이를 복호화 하기 위한 열쇠가 바로 암호화 키 입니다. 


아무리 강력한 암호화 알고리즘이라고 해도 암호화 키 관리가 되지 않아 쉽게 변형되고 탈취당한다면, 암호화 한 데이터는 평문이나 다름없게 됩니다.  그렇기에 해당 내용은 암호키에 대한 생성부터 폐기까지에 대한 내용을 담습니다.


▣ 암호키의 적절한 보안관리를 하여야 한다.

▣ 암호키는 모든 변경으로부터 보호되어야 한다.

▣ 수동 또는 자동적인 암호키 이용 과정을 포함하여야 한다.


- 암호키 생성, 이용, 보관, 배포, 복구, 파기 등에 관한 절차를 수립, 이행하고 있는가?

- 암호키 생성 후 암호키는 별도의 안전한 장소에 소산 보관하고 암호키 사용에 관한 접근 권한 부여를 최소화 하고 있는가?

- 암호키 변경에 관한 정책을 수립, 이행하고 있는가?




암호키 관리, 안전하게 할 수 있는 방안은?

위에서 설명 하였듯이, 암호키 관리를 안전하게 하는 것은 매우 중요합니다. 보안 규정에 따른 컴플라이언스 준수도 매우 중요하지만, 기술적인 조치를 통해서 이중, 삼중으로 관리하는 것이 안전합니다. 특히, 해커나 공격자 들은 데이터베이스 서버에 침투하여 해킹을 시도하는 만큼 암호키를 데이터와 물리적으로 같은 곳에 보관하는 것은 매우 위험한 행위입니다.


반드시, 암호키를 안전하게 보관하고 관리할 수 있는 암호키 관리 전용장비를 사용하여 물리적으로 완전히 분리된 저장소에 보관하고 관리되어야 합니다. 


암호키를 보관하고 관리할 수 있는 전용장비로는 HSM이 있습니다. HSM은 Hardware Security Module의 약자로써 하드웨어 암호화 모듈을 말합니다. 


HSM은 암호화의 성능을 증폭시켜주고 서버의 리소스를 분담하여 효율성을 증가시키는 기능을 하지만, 가장 중요한 역할은 암호화 키 생성부터 파기에 관한 모든 부분을 관리하는 암호키 관리에 있어서 중요한 역할을 담당하며, 데이터베이스 서버와 물리적으로 분리된 저장소를 가지고 있습니다. 


가장 신뢰성이 요구되는 암호화 장비 중에서 암호키를 관리하는 장비인 만큼, 제조사는 중요합니다. Thales e-security는 가장 까다롭다는 방산 분야에서 정보보안을 전담하는 계열사로 최상의 안정성을 보장합니다. 


글로벌 기업으로써 세계 각지의 대기업 및 기관, 정부를 비롯한 각지에 Thales HSM이 도입되었으며 GPHSM 분야에서 점유율 1위를 차지하고 있습니다. 또한, FIPS 140-2, CC 인증 등의 국제 표준을 준수하는 우수한 장비입니다.



HSM 장비란?

암호화 키를 생성하고 저장하는 역할을 하는 전용장비로 인증보안, 서명, 암호화 키 관리 등 다양한 분야에서 활용되는 암호화키에 대한 생성, 교환, 백업, 저장, 파기 등 전반적인 관리 기능을 안전하고 편리하게 하는 전용 장비


HSM의 특징과 기능

1. 하드웨어 기반의 암호연산과 관리 기능을 제공합니다. 각종 키 생성, 전자서명, 키 저장 및 안전한 백업을 보장합니다. 

2. 호스트서버의 암호연산 부하를 경감하고 서버 가용성을 증대시킵니다.

3. 키에 사용에 대한 정책을 시행할 수 있습니다. (권한 분리, 인증, 이중통제, 변조방지 등)

4. 비대칭형 암호연산에 사용되는 개인 키를 하드웨어 방식으로 보안하고 관리합니다.


HSM 도입 효과

1. 소프트웨어 기반 암호화 모듈보다 뛰어난 보안성과 운영상의 장점을 가져갈 수 있습니다.

2. 암호키가 HSM속에서 생성되고 저장되기 때문에 키 값에 대한 강력한 보호가 가능합니다.

3. 하드웨어 키 보호 시스템은 논리적으로 접근이 불가능하고, 물리적인 접근시 키 값이 삭제됩니다.

4. 백업으로 인한 키 관리의 어려움과 분실에 대비한 중앙집중적인 키 관리가 가능해집니다.

5. 내부자에 의한 암호화 키 탈취의 취약점을 해결할 수 있습니다.


Thales HSM 장비는 접속과 관리가 편리한 네트워크 외장형 타입과 적은 공간을 차지하고 데이터 엑세스 속도가 뛰어난 PCIe 전송방식의 내장형 타입이 있습니다. 모든 장비는 MS-SQL과 Oracle을 지원합니다.


1. 외장형 타입 - Thales nShield Connect 

제품 상세 보기 : http://sns4u.net/imk/download/nShield_Connect.pdf


2. 내장형 타입 - Thales nShield Solo

제품 상세 보기 : http://sns4u.net/imk/download/nShield_Solo.pdf


Thales HSM에 대한 도입/견적 문의, 도입 후 ISMS 2.0 인증 대응 문의사항 아래 아이마켓코리아 담당자에게 연락 주시기 바라며, 도입 전에 1개월 시험적으로 사용도 가능합니다. 



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

홍채인식, 생체인증 기술도 암호 키 보안이 중요

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.08.11 15:23 / 카테고리 : nCipher HSM (Thales-HSM )


국내 유명 신형 스마트폰에 들어간 기술 중 하나가 이슈입니다. 그 기술의 이름은 바로 홍채인식 기술입니다. 홍채인식 기술은 말그대로 비밀번호 대신에 개인의 가진 고유한 비밀번호인 홍채를 통해서 개인비밀번호를 대체하고 은행권, 카드 결제시 인증 수단으로 사용하는 것입니다. 매우 편리하고 보안성도 뛰어나기 때문에 앞으로 많은 활용이 기대되는 기술입니다. 




생체인증의 종류는 매우 다양합니다. 지문인증, 안면인증, 정맥인식 기술, 홍채인증, 음성인증, 심장박동 인증 우리가 생각하는 이상의 다양한 생체인증 방식이 존재합니다.


특히, 핀테크 도입에 열을 올리고 있는 금융권에서 가장 도입을 서두르고 있는 분야로써 생체인증은 핀테크로 대변되는 금융시장에 가장 필수적인 요소가 되고 있습니다. 국내에서는 먼저 우리은행이 홍채인증 자동화 기기를 도입하고 기업은행에서도 홍채 인증 기술을 활용하고 있습니다. 





또한, 지문 인증은 지금 많이 보편화된 방식으로 농협과 국민은행에서 사용하고 있는 방식이며, 각종 프리미엄급 스마트폰에도 탑재된 기술입니다.


고유 정보를 사용하는 만큼 보안의 대한 우려도 적지 않습니다. 특히 생체정보는 고유한 정보이기에 한번 복제해서 도용당하면 바꿀 수도 없는 정보입니다. 그렇기 때문에 사고가 나면 치명적이며 기업에서는 고객의 생체정보는 주민등록번호 보다 훨씬 더 안전하게 보호해야 할 의무가 있습니다.


특히, 생체인증 방식 중에 하나인 지문인증 방식은 스마트폰에서 지문을 인증하면 이를 별도의 보안키로 변환하여 은행 서버에 저장한 뒤 인증을 할 때마다 검증하는 방식으로, 이 역시 보안 키 강탈 등에 의한 허위 인증까지는 막을 수가 없습니다. 그렇기 때문에 은행 서버에 저장된 별도에 보안 키에 대한 관리가 아주 중요합니다. 


암호화 알고리즘도 중요하지만 암호화 키에 대한 보관과 관리, 보호가 매우 중요해졌습니다. 이런 역할을 수행하는 보안 솔루션으로는 HSM이 있습니다. 보안 장비는 신뢰가 매우 중요합니다. 많이 사용하고 입증된 솔루션을 사용하는 것이 가장 안전한 보안 솔루션 도입의 지름길입니다.


[Thales e-security의 nShield PCIe Type HSM]


Thales e-Security의 HSM은 전 세계 GPHSM 시장의 70%를 점유하고 있는 글로벌 보안기업으로 다양한 기업과 군사기관 등의 보안 솔루션을 도입한 우수한 보안 전문 업체입니다.



탈레스의 HSM은 우수한 보안성과 빠른 속도로 자체 처리가 가능하여 서버에 대한 부하도 줄일 수 있습니다. 별도의 암호 키 저장소를 가지고 있기 때문에 최근 많은 보안 사고가 발생하는 서버가 해킹을 당해도 물리적으로 완전히 분리된 HSM에 암호화 키를 저장함으로써 데이터가 복호화되어 유포되는 사태를 막을 수 있습니다.


설치 방식에 따라서 네트워크 접속형과 내장형이 존재하며 각각의 장단점이 존재합니다. 네트워크 접속형은 설치와 확장에 용이하며, 내장형은 PCIe 슬롯에 장착되기 때문에 빠른 속도와 안정성을 가지고 있습니다. 



PCI DSS와 같은 규제를 준수하기 위해서는 HSM 장비는 반드시 필수적인 요소입니다. 공개 키 기반으로 신원 관리와 데이터베이스, 웹패브릭과 DNS보안확장, 그리고 코드 서명(코드 사이닝)까지 보호할 수 있습니다. 



암호화 장비의 안전성을 평가하는 척도로써 국제 인증을 많이 보게 됩니다. Thales HSM은 FIPS 140-2 등의 양한 국제 인증을 받아 그 신뢰성을 인정받았습니다. Thales HSM 솔루션이 받은 인증은 아래와 같습니다.


안전 및 보안, 환경에 대한 규제

- UL, CE, FCC 인증

- RoHS, WEEE

- FIPS 140-2 Level 2 및 Level 3, NIST SP 800-131A

- CC EAL4+



[Thales HSM FIPS 140-2 인증서]




Thales HSM은 다양한 상용 암호 알고리즘을 지원합니다.


 분류

 세부 내용

 비대칭 공개키 알고리즘

 RSA (1024, 2048, 4096), Diffie-Hellman, DSA. El-Gamal, KCDSA, ECDSA, ECDH

 대칭키 알고리즘

 AES, ARIA, Camellia, CAST, DES, PRPEMD160 HMAC, SEED, Triple DES

 Hash/Message Digest

 SHA-1, SHA-2 (224, 256, 384, 512bit)

 기타

 Brainpool 및 사용자 정의 커브를 포함하여 ECC를 완벽히 지원하는 완전한 Suite B 구현







Thales nShield HSM (PCIe Type)을 도입하기 전에 1개월 정도 무료체험을 할 수 있는 프로모션을 진행하고 있습니다. 견적 및 프로모션 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

TDE, KMIP 기기 호환, 보메트릭 암호 키 관리 솔루션

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.07.14 15:22 / 카테고리 : 보메트릭 암호화 솔루션




보메트릭 키 관리 솔루션 - 보메트릭 데이터 시큐리티 플랫폼

암호 키 관리 (Key Management)를 위한 솔루션인 보메트릭 데이터 시큐리티 플랫폼(Vormetric Data Security)은 엔터프라이즈 암호화 키 관리를 통한 보안, 운영 효율 및 규제 준수 향상을 위한 최적의 솔루션입니다.



보메트릭 데이터 시큐리티 플랫폼은 보메트릭 트랜스페이런트 인크립션(Vormetric Transparent Encryption)과 보메트릭 애플리케이션 인크립션(Vormetric Application Encryption)을 위한 엔터프라이즈 암호화 키 관리 뿐만 아니라, 써드파티 암호화 키 중앙화 및 안전한 인증서 저장을 제공합니다. 



보메트릭 데이터 시큐리티 플랫폼은 TDE(Transparent Database Encrytion), KMIP 호환 기기를 위한 고가용성, 표준 기반 엔터프라이즈 암호화 키 관리를 제공합니다. 그리고 편리한 인증서 관리 및 볼팅(Vaulting) 기능을 제공합니다. 엔터프라이즈의 암호화 키 관리를 통일 함으로써 시스템 간의 정책 일관성을 보장하고, 교육 및 유지보수 비용을 절감 할 수 있습니다.








보메트릭 기업 소개

보메트릭은 2001년에 설립하여 Fortune이 선정한 30대 기업 중 17개 기업을 비롯하여, 전세계 1,600개 이상의 고객을 확보하고 있는 보안 솔루션 전문 기업입니다. 또한, 국내에서는 300여개의 고객사가 보메트릭의 암호화 솔루션을 사용하고 있습니다. 그리고, 2014년에서는 Deloitte Technology Fast 500에 2년 연속 선정된 보안 솔루션 업체이기도 합니다. (참고자료 자세히 보기)





보메트릭 키 매니지먼트(Vormetric Key Management)의 이점

1. 키 관리 단순화 - 엔터프라이즈 암호화 키 관리와 인증서 저장 솔루션을 통합 할 수 있습니다.

2. FIPS 140-2 인증 - 보메트릭 데이터 시큐리티 매니저는 HSM(Hardware Security Module)로써 레벨 2 및 레벨 3 인증과 함께 제공됩니다.

3. 다운타임 감소 - 고가용성 및 인증서 및 암호화 키 만료 미리 알림을 통해 애플리케이션 및 사용자 다운타임을 줄입니다.

4. 리포팅 중앙화 - 규제준수 보고서를 통합 생성하고 암호화 키 및 인증서 사용에 대한 감사를 간소화합니다.

5. 표준 API 지원 - 프로그램 암호화 키 관리 및 대량의 키 볼팅(Vaulting)을 위해 OASIS PKCS#11 및 KMIP API를 활용합니다.

6. 멀티테넌트 운영 - 데이터 보안 정책, 데이터 암호화 키, 감사 로그의 분할 관리를 위한 역할기반 운영을 지원 합니다. 

7. TDE(Transparent Database Encryption) - Oracle 및 Microsoft SQL Server를 위한 암호화 키 관리를 통합합니다.



제품 옵션 #1 Key Agent - TDE의 암호 키 관리

- 보메트릭의 DSM이 TDE의 암호 키를 관리하는 Network HSM의 역할을 수행

- 해당 서버에 Vormetric Key Agent 설치 필요 (라이선싱 : Agent가 설치되는 서버 단위)




제품 옵션 #2 KMPI 클라이언트의 키 관리

- Key Management Interoperability Protocol 지원

- KMIP를 통해 서드파티 암호화 장비의 암호화 키 관리

- KMIP 호환 NAS, Backup Drive 등과 연동

- KMIP 클라이언트를 Vormetric DSM에 등록하여 키 연동 (라이선싱 단위 : DSM에 등록되는 클라이언트 수)



제품 옵션 #3 Vault - 각종 키 및 전자인증서의 관리


- Web GUI, CLI 툴, SOAP API를 통해 업로드 된 각종 키 및 전자인증서 관리

  (라이선싱 단위 : DSM에 키를 등록하거나 조회하는 클라이언트 (일반 PC 또는 App 서버 등) 개수



지원 환경

 구 분 

 세부 내용

 Key Agent

 - Oracle TDE (11g R2): AIX, HPUX, Solaris, RHEL, SLES

 - Oracle 12c TDE (12.1.0.2): RHEL 6, Oracle Enterprise Linux 6

 - MS-SQL (2008/2012/2014) TDE: Windows 2008 이상

   * 상세 사항 Release Note 참조

 KMIP

 - Client 장비가 KMIP 1.1 이상을 지원하는 경우라면 기타 제약 사항 없음

 Vault

 - TLS 프로토콜을 지원하는 Web Browser 지원 환경 (IE 11, Chrome, Firefox 등)

 - CLI 툴의 경우 : AIX, HPUX, Solaris, RHEL, SLES, Windows 운영체제 지원

 - SOAP 표준을 지원하는 개발 언어



FIPS-140-2 인증과 TDE를 지원하는 보메트릭 키 관리 솔루션에 대한 문의는 하단의 아이마켓코리아 담당자에게 연락주시기 바랍니다.


(주) 아이마켓코리아
윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

SSL보안 (Secure Sockets Layer), 안전하게 구축하는 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.12 14:51 / 카테고리 : nCipher HSM (Thales-HSM )



2014년도에 미국 시장조사업체인 가트너에서는 2017년에 사이버 공격의 50% 이상은 접속보안층인 SSL(Secure Sockets Layer)로 암호화된 네트워크 트래픽을 통해서 해킹 공격이 이루어질 것으로 전망하고 있습니다.


글로벌 인터넷 사업자 들은 개인정보보호와 웹서비스 속도 향상, 트랜잭션 안정성 등 여러가지 목적을 위해서 SSL 프로토콜을 의무화 하는 등 암호화 트래픽 확산을 주도하고 있습니다. SSL 암호화 방식은 주요 검색서비스, 포털서비스, 소셜네트워크, 은행, 증권, 게임 사이트 등 개인정보와 자산이 관리되는 웹서비스에 사용되고 있습니다.

국내에서도 SSL 프로토콜의 도입이 사이버 공격으로부터 든든한 방어막 역할을 할 것이라고 생각하여 정보통신망법 개정 등 법안에 SSL 보안서버 도입을 의무화, 확대하였습니다. 하지만, 정작 SSL에 통신에 사용되는 인증 키 관리에 대한 보안을 취약한 곳이 많습니다. 


SSL 프로토콜이 안전하다고 하여도 결국에는 SSL 인증서의 마스터 키가 탈취 당하거나 위변조 된다면, SSL 프로토콜의 무결성과 안정성을 신뢰할 수 없게 됩니다.




SSL 공격 원리와 방어 방법

SSL을 사용하여 보안 마스터 키와 거기에 결부 통신을 위협하는 조직의 신원을 증명하는 SSL 인증서에 의존하고 개별 세션에 대해 고유한 암호화 키를 얻을 수 있습니다. 


다른 암호화 키뿐만 아니라 SSL 마스터 키를 보호해야 합니다. SSL 키를 훔친 공격자는 실제 사이트 행세를하고 트래픽을 읽을 수 있습니다. SSL 솔루션의 보안 키의 보안에 직접 관계하기 때문에 높은 보증을 필요로하는 기업과 정부기관은 SSL 키와 SSL 연결 프로세스를 보호하기 위해 추가적인 조치를 필요로 하는 경우가 있습니다. 




높은 수준의 보안성을 취득하기 위한 효과적인 방법은 하드웨어 보안 모듈 (HSM)에서 SSL 암호화 키를 보호하는 것입니다. HSM과 같은 전용 암호화 하드웨어는 물리적인 방식(하드웨어 방식)으로 안전한 저장소에 SSL 인증키를 분리시켜서 저장하고 관리할 뿐만 아니라, 웹 서버와 호스트의 암호화 처리 부하를 줄이고 성능을 크게 향상시키는 동시에 CPU 오버 헤드를 줄일 수 있습니다.





SSL 인증 키 보호, Thales nShield HSM 

Thales e-Security 제품 및 서비스 보증이 높은 고성능 SSL 암호화를 도입하여 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현 가치를 높입니다.



FIPS 140-2 레벨 3 및 공통 평가 기준 EAL4 + 인증을 받은 HSM 장비로써, SSL 암호화 / 복호화 프로세스의 무결성을 보장합니다. 

• 업무 분리를 실현하는 변조 방지 키 생성 기능과 키 관리 기능의 사용을 통해 준수보고를 용이하게 합니다.

암호화 오프로드를 통한 고 가용성 및 서버 성능의 향상을 실현합니다.

• 소량 또는 대량 통신 두 응용 프로그램에 대해서도 비용 효율적인 솔루션을 배포합니다. 속도와 제품 형상을 선택할 수있는 장점을 살려 요구에 맞는 정말 필요한 솔루션 만을 도입하는 경우에도 쉽게 업그레이드 할 수 있습니다.




SSL 마스터키 보호를 위한 솔루션, Thales HSM 

Thales e-Security는 Thales의 보안을 담당하는 사업부로써 Thales 그룹은 전세계 68,000여명의 직원과 50여 나라에 자회사를 보유한 글로벌 회사입니다. 신뢰를 최우선으로 하는 오랜 국방 관련 사업 경험을 바탕으로 군, 정부, 일반기업에 이르기까지 정보 시스템 보안 시장을 위한 최고의 기술을 자랑합니다.


Thales HSM은 글로벌 PHSM 시장의 70%, GPHSM은 40%의 점유율을 차지하고 있습니다. 

소프트웨어 기반의 운영 시스템은 많은 보안 문제점을 내포하고 있습니다. 안전하게 시스템을 운영하기 위한 철저한 보안을 위해서는 하드웨어 기반으로 시스템을 구축하는 것이 중요합니다.


 논리적 공격 

 물리적 공격

 - 악성코드 (트로이 목마 등)

 - 해커는 네트워크 상에서 정보 접근이 가능

 - 복호화 된 데이터는 메모리 상에서 탈취

 - 직원의 중요 정보 복사

 - 직원이 시스템에 백도어 프로그램 설치

 - 시스템 메모리는 절대 안전하지 않음

 - Cold Boot 공격으로 전문적인 소프트웨어

   (파일 디스크 암호화 등) 조차도 안전하지 않음.




절대로 중요하기 관리되어야 하는 암호화 키, 중요한 실행코드, 매우 민감한 데이터는 운영 시스템에서 처리하지 않아야 합니다.


Thales nShield HSM으로 개선

- 암호화 및 복호화는 HSM 내부에서 실행하게 합니다.

- SSL 세션은 HSM 내부에서 처리하도록 합니다.

- 인증 로직과 같은 중요 로직을 HSM 내부에서 처리합니다.


Thales HSM 의 종류 (내장형, 외장형)


 


 


 Model

 nShield Solo

 (500, 6000)

 nShield Connect 

 (500, 1500, 6000)

 인터페이스

 PCI, PCI Express

 2x 1 Gbit Ethernet

 Default Client 라이센스

 1

 3 

 최대 클라이언트 지원

 1

 500 Model : 10

 1500 Model : 20

 6000 Model : 100 

 PSU 및 Fan 이중화

 N/A

 2 (Hot-Swappable) 

 성능 TPS (RSA 1,024/2,048 서명 기준)

PCIe: 500/82, 6000/3000

 500/82, 1500/500, 6000/3000

 인증

 FIPS140-2 Level 2 or 3, Common Criteria EAL 4+

 FIPS140-2 Level 3, Common Criteria EAL 4+

SEE 지원 (Secure Execution Engine)

 FIPS Level 3 장비에만 적용 가능하며 중요한 알고리즘, 소스 코드 및 비즈니스 로직 등의 보호

 Load-balancing 및 Fail-over O – 모델에 상관없이 상호 지원



[nShield 제품군의 FIPS 140-2 인증서]


Thales nShield HSM Series는 FIPS-140-2 인증을 받은 제품입니다.


SSL 인증 키를 안전하게 보호하기 위한 하드웨어 보안 솔루션, Thales nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL보안, Secure Sockets Layer, FIPS 140-2, PCIe, nShield, nCipher, SSL 암호화, DB보안, 서버보안, 오라클 TDE, HSM, 하드웨어암호화모듈, Hardware Security Module, GPHSM, 보안솔루션, 보안어플라이언스, SSL 마스터키, 암호화 키 관리, 암호화 키

Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/07   »
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

방문자 통계

  • 전체 : 353,945
  • 오늘 : 170
  • 어제 : 287
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.