Hardware-Sicherheitsmodule (HSM) werden unter anderem in den Hintergrundsystemen des elektronischen Zahlungsverkehrs zur Durchführung sensitiver kryptographischer Operationen verwendet. Die physischen Sicherheitseigenschaften des HSM beeinflussen dabei die Anforderungen an die Einsatzumgebung. Bei starken physischen Sicherheitsmechanismen kann weitgehend auf organisatorische Sicherheitsmaßnahmen verzichtet werden, während die Umgebung bei schwachen physischen Sicherheitsmechanismen hohen Sicherheitsmaßstäben genügen muss.
Kriterien für den Einsatz in elektronischen Zahlungssystemen von Hardware-Sicherheitsmodulen werden unter anderem von der Deutschen Kreditwirtschaft (DK) und von der Payment Card Industry (PCI) definiert. SRC ist als Gutachter bei der DK und bei PCI zur Begutachtung von HSMs akkreditiert.
Unsere Kompetenz
SRC erstellt Sicherheitsgutachten zu Hardware-Sicherheitsmodulen und unterstützt so Hersteller von Sicherheitsmodulen, Netzbetreiber und Acquirer beim Nachweis der an sie gestellten Sicherheitsanforderungen. Mitarbeiter von SRC haben eine Vielzahl von Sicherheitsuntersuchungen von Hardware und der Software von HSMs durchgeführt. Aufgrund unserer Kenntnis aller Aspekte des Zulassungsverfahrens decken wir nicht nur Schwachstellen auf, sondern führen unsere Kunden erfolgreich zum Ziel: der termingerechten Zulassung ihrer Komponente.
Grundsätzlich besteht die Möglichkeit, die Begutachtungsprozesse unterschiedlicher Verfahren zu kombinieren, so dass sich für den Hersteller Synergieeffekte ergeben. So lässt sich z.B. eine PCI HSM-Evaluierung um Prüfungsaspekte der DK erweitern.
Falls eine FIPS-140–2‑Zertifizierung benötigt wird, arbeitet SRC mit einem Partnerlabor zusammen, das unter Berücksichtigung der Prüfungsergebnisse von SRC die für eine FIPS-140–2‑Zerfifizierung benötigten zusätzlichen Tests durchführt.
Unser Angebot
SRC begutachtet
- Hardware und Software des HSM,
- Systemkonzepte, kryptographische Verfahren, Zufallszahlengeneratoren und Protokolle,
- Halbleiter (u.a. Prüfung der Resistenz gegenüber Seiten-Kanal-Angriffen, wie z. B. Simple Power Analysis SPA und Differential Power Analysis DPA),
- Organisatorische Maßnahmen während der Entwicklung, der Produktion und dem Betrieb von HSMs.