Bei CSS geht es darum, Kunden bei der Verwaltung ihrer Public Key Infrastructure (PKI) zu unterstützen. Wir empfehlen unseren Kunden stets, ihre wichtigen privaten Schlüssel auf Hardware Sicherheitsmodulen (HSMs) zu speichern, da es ohne HSM schwierig ist, ihre Schlüssel vor Malware oder falsch konfigurierten Sicherheitsfunktionen in ihrem Betriebssystem zu schützen. Es hat sich herausgestellt, dass es einen weiteren guten Grund gibt, der aufgrund seiner extremen Seltenheit nicht oft in Betracht gezogen wird: CPU-Fehler.
Ein solches Ereignis macht gerade die Runde in den technischen Nachrichten. The Register berichtet über eine Schwachstelle in Intel-Prozessoren, die möglicherweise unberechtigten software Zugriff auf den Kernel-Speicher ermöglicht. Der Kernel-Speicher ist ein vom Betriebssystem geschützter Speicher, der sensible Sicherheitsinformationen wie private Schlüssel enthält. Bemerkenswert ist, dass es sich um ein Problem in der CPU selbst handelt und nicht um einen software Fehler im Betriebssystem. Patches sind sowohl für Windows- als auch für Linux-Betriebssysteme in Vorbereitung, aber bis diese Patches verfügbar sind und eingesetzt werden, ist die große Mehrheit der Computerplattformen potenziell anfällig. Diese Patches umgehen die Schwachstelle auf Kosten der Leistung.
Der Grund für die Existenz von HSMs ist die Bereitstellung eines speziellen hardware , dessen einziger Zweck es ist, privates Schlüsselmaterial zu schützen und grundlegende kryptografische Berechnungen durchzuführen. Es ist einfach nicht möglich, diese Aufgabe auf einem Allzweckcomputer sicher durchzuführen, da die Angriffsfläche viel zu groß ist.
Zu den bestehenden Risiken von Bugs, Malware und Fehlkonfigurationen, die bei allgemeinen Computern (Windows- und Linux-Servern und -Workstations) bestehen, können wir nun auch CPU hardware -Fehler hinzufügen.
Kurzum: Verwenden Sie ein HSM!
