随着多数企业利用加密技术保护信用卡持有人资料,法国安全市场巨头泰雷兹集团(Thales Group)提出了一种硬件安全模块(Hardware Security Modules,HSM)解决方案,以保护所有加密系统的核心——基础密钥管理系统。据泰雷兹集团电子安全公司Thales eSecurity产品战略副总裁Richard Moulds称,全球约70%的信用卡和借记卡交易都是通过泰雷兹加密系统进行的。美国信用卡公司Visa是泰雷兹的一家主要客户,采用了泰雷兹HSM作为其基本基础设施的一部分,以保护基于Visa卡的交易。泰雷兹于2008年收购了加密解决方案提供商NCipher并获得了HSM技术,目前正与多家加密和标记化供应商密切合作。但是,为什么没有更多的公司加紧部署HSM以加密信用卡持有人资料呢?是HSM过于昂贵而且难以维护吗?还是更多的公司正在利用服务提供商保护信用卡资料,最终将所有的信用卡持有人资料外包给服务提供商进行保护?Moulds就这些问题接受了我们的采访,并指出了支付行业未来的挑战。以下为访谈内容:
泰雷兹2008年收购了NCipher,这似乎是泰雷兹密钥管理和加密硬件的起源。这部分业务是独立运营,还是被集成到现有的一些安全产品系列中?
Richard Moulds:不可否认,收购NCipher壮大了泰雷兹的企业产品家族。但是,泰雷兹早已进入加密领域,最著名的可能就是我们在支付网络中的领先地位。全球约70%的信用卡和借记卡交易都是通过泰雷兹加密系统进行的。最近有许多关于使用端到端加密保护PCI DSS(支付卡行业数据安全标准)数据和信用卡持有人资料的谈论,但是我们往往忘记了一个事实:由于整个支付基础设施的发展,我们已经对输入到点销售设备和ATM机的PIN(个人识别码)号码实现了端到端的加密和保护。因此,泰雷兹一直在全球支付加密和支付安全领域保持领军地位。从根本讲,收购NCipher所能够达到的目标,只是将我们的业务范围从支付市场扩展到更广泛的金融服务市场。
部署支持PCI(支付卡行业)法规遵从加密的HSM能带来什么好处?HSM似乎违背了支付卡行业的发展方向,它是不是也与整个云计算趋势背道而驰呢?
Moulds:你认为HSM似乎与外包服务和云计算的整体发展方向不一致,这一观点很有意思。不过,我可以理解你的观点。很多时候当提到云计算时,我们总是想到云计算有许多运营效益,具有很高的灵活性和很多的优点,但云计算或任何服务产品的缺点之一就是,你放弃了一定程度的控制权。你未必确切知道服务器在处理哪些交易,磁盘和备份磁带究竟包含什么数据?云计算只是一种折中的解决方案。有时,你可能会为了灵活性而放弃了可见性。
当谈到加密时,我们讨论的是真实的基础设施级安全。正是这些称之为密钥的东西支撑着整个基础设施。如果你部署了一个用于加密你的存储环境的系统,或者部署了一个用于加密来自点销售设备的数据的系统,则这些系统的一些关键部分将是到密钥,并需要得到真正的保护。你需要知道这些密钥存储在什么地方,是否曾经为这些密钥创建过副本,你还需要对哪些曾经访问过这些密钥的管理员一清二楚。在审核这些系统中的加密方案时,审计人员的第一要务就是弄清“这些密钥存储在什么地方、哪些人负责管理这些密钥以及哪些人有权修改这些密钥?”因此,虽然服务提供商的服务非常周到,但是有些东西,尤其是一些核心的安全基础设施,你确实不希望将其托付给服务提供商。你希望这些核心的安全基础设施部署在尽可能少的地方。有些东西就应该严格地隔离和封锁。
如果我们是一家一流的大型公司,而且我们希望部署HSM,那么我们是否需要在每个单点卫星定位系统中都部署HSM,是否有比这更简单的方法?
Moulds:不,你当然不需要在每个单点卫星定位系统中部署HSM,单点卫星定位系统中可能已经采取了某种类型的加密方案。就像安全领域中的大多数事情一样,你需要在风险与安全效益之间进行某种形式的评估。评估可能会证明你正在使用一个加密系统,该加密系统能在你网络的远程边界加密数据,但是你的大多数密钥实际上仍然位于网络的中心位置。因此,真正保护密钥的HSM对你的公司来说更加重要,而且应该部署在你的数据中心。随着时间的推移,我们可能会看到HSM逐渐向网络的边界迁移。这是一种比较专业的技术。一个公司中只有比较少的人员知道如何管理这种类型的安全系统,我认为大多数人将会选择在比较接近数据中心的位置部署HSM。
您刚才提到了端到端加密,最近不少人认为端到端加密只是一个营销术语,你能介绍一下泰雷兹是如何定义端到端加密的吗?
Moulds:从根本上讲,与其说泰雷兹是一家加密技术提供商,倒不如说泰雷兹是一家真正的密钥管理技术提供商。我们的合作伙伴(例如Voltage Security公司)才是真正的加密技术提供商。我们的产品实际上是增强这些合作伙伴提供的系统的安全性,我们提供的密钥管理组件本质上是Voltage产品的补充。据我所知,术语“端到端加密”是由美国信用卡处理商和支付服务提供商Heartland Payment Systems公司最近提出来的。这又回到了我前面提出的观点。当然,在支付网络中,像PIN号码这样的数据长期以来一直是采用端到端加密技术进行保护的,我想Heartland公司完全知道这一点,因为它本身就是一家支付处理商。Heartland所谓的“端到端加密”实际上只是将同样的技术应用到保护信用卡持有人资料上而已。它的意思就是,“看,如果我们能够对用户输入到ATM机或点销售设备的PIN号码进行加密,那么我们为什么不能对信用卡持有人资料进行加密?”术语端到端加密实际上表示,让我们试试在信息被捕获的时候对其加密。
PCI DSS对密钥管理是如何规定的?
Moulds:PCI DSS对密钥管理并没有非常明确的规定。PCI DSS只是指出,应该尽可能地减少存储密钥的地方,这一要求很有道理。应该对密钥管理员进行强认证。理想的情况是,实际更改密钥管理系统的过程要求不止一名的管理员参加。建议采用一些管理员互相监督的形式。当你真正尝试部署密钥管理系统时,仅仅遵守PCI DSS指南可能还不够。你可能还需要考虑更多运营方面的问题。
在你最近委托美国信息安全研究机构Ponemon Institute实施的一项调查中,接受调查的155家合格安全性评估商(Qualified Security Assessor,QSA)中有81%的受调查对象表示需要或建议采用HSM保护加密系统。既然是这样,那为什么没有看到更多的公司部署HSM?是不是部署HSM的价格非常昂贵?
Moulds:正如我对我妻子说的那样,价格总是相对的。如果你要保护你的整个支付基础设施,而该支付基础设施每年要处理数十亿美元的交易,那么HSM的价格根本不算昂贵。你总是要在更广泛的安全投资背景下看待HSM的价格。必须承认,在相当长的一段时间里,HSM一直是一种相对专业的技术,这一点千真万确。有些公司靠购买10套左右的HSM勉强应付;多数公司并没有大规模地部署HSM。HSM设备每年的市场销售量还不到几十万。我认为我们正处在该行业的转折点。作为一种高度集中、非常专业的安全功能,全球最优秀的安全产品采购商十年来一直采购HSM并对其赞不绝口。我们现在看到,同样的最佳实践和同样的技术正被应用到更加多样化、更加主流的加密市场。这一趋势给HSM市场带来了一些压力,以使其产品适应特定客户的需求,这些客户缺乏经验,正在寻求可以使用和部署不太复杂的加密方法。我认为,HSM或强化密钥管理以及加密处理市场将发生巨大的变化:价格下降、可用性提高、用户在部署时需要考虑的因素更多。
【编辑推荐】