Bescherm je encryptiesleutels met een HSM

Door Pasqualle Verwoerdt

Het versleutelen van berichten wordt al sinds de tijd van de oude Grieken uitgevoerd. Tegenwoordig doen we dat met name aan de hand van computers en noemen we het encryptie. Maar slaan we de bijbehorende sleutels wel goed op?

Nu onze samenleving op alle vlakken verder digitaliseert en onze privacy een steeds groter goed wordt, is de afhankelijkheid en noodzaak voor cryptografie exponentieel toegenomen. Je kunt data het beste beschermen door deze te versleutelen. Dit wordt door overheid, en bedrijfsleven onderstreept.

Meer afhankelijkheid

Helaas vertrouwen de meeste organisaties de opslag en uitgifte van deze cruciale sleutels en certificaten aan software toe. Dit is geen verstandige keuze als je je bedenkt dat sleutelmateriaal in software pseudowillekeurig wordt gegenereerd. Er zijn tal van voorbeelden waarbij crypto-analisten en cybercriminelen in staat zijn om vrij eenvoudig delen van een sleutel in software aan te vallen, waardoor uiteindelijk de hele sleutel kan worden achterhaald. De gevolgen zijn dan niet te overzien. Op dat moment maak je je misschien nog wel het minste zorgen om het melden van de security breach aan de autoriteiten. De continuïteit van het bedrijf staat dan op het spel.

Door (gecertificeerde) hardware te gebruiken voor sleuteluitgifte en -opslag kunnen we dit voorkomen. Bij het gebruik van een Hardware Security Module (HSM) staat het sleutelmateriaal namelijk onder het regime van de HSM. Buiten de HSM staat alleen een “associatie” en NIET de sleutel zelf. Deze sleutel zit ten alle tijden veilig opgeslagen in de gecertificeerde hardware. Zo wordt elk risico tot een minimum beperkt.

Goed huisvaderschap

Vanuit “goed huisvaderschap” is het gebruik van HSM’s in deze tijd eigenlijk een no-brainer. Daarnaast biedt het ook uitkomst om te voldoen aan regelgeving als de AVG en GDPR. Daarin wordt er zeker 19 keer gesproken over Encryption of Pseudonimisatie. Er wordt dus sterk de nadruk gelegd op protectie van de Data zelf.

De definitie van dataprotectie die men aanhoudt is: Pseudonimisatie / encryptie + key management + access control. Dat is ook logisch als je je bedenkt dat het pseudonimiseren of encrypten van data een veel betere strategie is dan het koortsachtig voorkomen van een lek. De impact van een inbreuk of lek wordt geminimaliseerd omdat de data is encrypt en niet meer bruikbaar voor onbevoegden. In combinatie met goed key management en access control kan worden aangetoond dat men “in control” is aan de interne organisatie en aan de externe instanties.

In het kader van goed huisvaderschap en aangescherpte regelgeving moeten we bouwen aan een fundamentele en effectieve security basis door de HSM centraal te stellen binnen de infrastructuur als Trust Anchor. Vanuit deze gedachte kunnen alle verschillende toepassingen die we kennen en certificaten of sleutels die we gebruiken of genereren, gecentraliseerd in de HSM worden gegenereerd en opslagen (met name de private key’s).

Begin laagdrempelig

De toepassing van een HSM is voor elke organisatie haalbaar, maar begin laagdrempelig en/of op de plek waar de meeste pijn zit. Van daaruit kan de HSM stap voor stap gaan dienen als Trust Anchor voor allerlei toepassingen.

Encryptie toepassen is altijd de beste keuze, maar maak dan ook de juiste keuze als het gaat om aanmaak en opslag van onze sleutels en certificaten. Met de HSM als een Trust Anchor kunnen we de exponentiële groei aan sleutels en certificaten op het allerhoogste niveau beveiligen.

Schrijf je hier in voor de nieuwsbrief

Encryptie in de toekomst

Pasqualle Verwoerdt
Business Manager High Grade Security

LinkedIn

Avensus Nederland BV

Almere

Delft

Wilt u op de hoogte blijven van het laatste nieuws? 
Schrijf u dan in voor onze driemaandelijkse mailing!

mautic is open source marketing automation