ماژول امنیتی سختافزاری (به انگلیسی: Hardware Security Module، به اختصار HSM) نوعی از پردازندهٔ رمزی امنی است که مدیریت کلیدهای دیجیتال و شتاب پردازندههای رمزنگاری را از لحاظ خریدهای دیجیتال / ثانویه به منظور تأمین قوی اعتبار برای دسترسی به کلیدهای حیاتی برای برنامههای کاربردی سرور را هدف قرار دادهاست. آنها دستگاههای فیزیکی هستند که به طور مرسوم در قالب یک کارت پلاگین یا دستگاههای امنیتی تیسیپی/آیپی خارجی آمدهاست که میتواند مستقیما به سرور یا کامپیوتر هدف کلی متصل شده باشد.
اهداف HSM (الف) نسل امن پردازنده، (ب) ذخیره سازی امن پردازنده، (ج) استفاده از مواد حساس و دادههای رمز نگاری، (د) تخلیه سرور نرم افزار کامل برای رمزنگاری نامتقارن و متقارن هستند. HSMها حمایت منطقی و فیزیکی این موارد را برای جلو گیری از استفاده غیر مجاز و دشمنان بالقوه فراهم میکنند. به طور خلاصه، آنها با ارزش بالایی از کلیدهای رمز نگاری حفاظت میکنند.
مواد رمزنگاری به کار گرفته شده توسط اکثر HSMs نامتقارن هستند جفت کلید (و گواهینامههای) در رمزنگاری کلید عمومی مورد استفاده قرار میگیرد. برخی از HSM هاهمچنین میتوانند کلیدهای متقارن و دیگر اطلاعات را به صورت خودکار اداره کند. بسیاری از سیستمهای HSM وسیلهای برای پشتیبان گیری مطمئن از کلیدهایی استفاده میکنند که در شکل پیچیده توسط سیستم عامل کامپیوتر و یا در شکل خارجی با استفاده از کارت هوشمند و یا برخی از مشخصه امنیتی به کار برده میشود. HSMها هرگز نباید اجازه صادرات اسرار در فرم پروندههای متنی ساده، حتی هنگام انتقال بین HSMها یا انجام عملیات پشتیبان گیری دهند.
بسیاری از سیستم HSM نیز شتاب دهنده رمزنگاری سخت افزاری دارند. آنها معمولا نمیتوانند از راه حلهایی که فقط به صورت نرم افزاری برای انجام عملیات با کلید متقارن هستند تداخل عملکرد داشته باشند. با این حال، با اجرای محدوده از شماره ۱ تا ۷،۰۰۰ RSA ۱،۰۲۴ بیتی، HSM میتواندبه صورت offload پردازنده قابل توجهی برای انجام عملیات نامتقارن کلید ارائه کنند. از آنجا که استفاده از کلید آراسای ۲،۰۴۸ بیتی از سال ۲۰۱۰ [نیازمند منبع] توصیه شدهاست، کارایی در اندازه کلیدیهای بزرگتر روز به روز مهمتر میشود.
از آنجا که HSMs اغلب بخشی از یک ماموریت زیر ساختهای حیاتی مانند زیرساخت کلید عمومی یا برنامه بانکداری آنلاین هستند، HSMها به طور معمول میتواند برای دسترسی به بالا به صورت خوشهای باشد. برخی از HSMs ویژگی منابع تغذیه دوگانه با قابلیت تداوم کار به صورت پیوسته را دارند
تعداد کمی از HSMهای موجود در بازار دارای قابلیت و توانایی اجرای ماژولهای اجرایی توسعه یافته ویژه در بین [ویرایش] محوطه امن HSMهارا دارند. چنین توانایی مفید است، برای مثال، در مواردی که الگوریتمهای خاص و یا منطق کسب و کار است که باید در یک محیط امن و کنترل شده اجرا شود. ماژولهای اجرا میتوان در زبان بومی سی، در دات نت، جاوا و یا زبانهای برنامه نویسی دیگر توسعه یافت. در حالی که سود کد برنامه خاص ارائه تضمین امنیت را فراهم میکند، این موتورهای اجرا وضعیت FIPS HSM یا ضوابط مشترک وضعیت اعتبار را دچار میکنند.
