Skip to content
Latchkey

O Que É um Hardware Security Module? Chaves Que Nunca Saem

Um hardware security module (HSM) é um hardware dedicado e resistente a violação que armazena chaves criptográficas e executa operações de forma que as chaves nunca o deixem em texto puro.

Um hardware security module, ou HSM, é o padrão-ouro para proteger chaves criptográficas. Em vez de deixar uma chave de assinatura ou criptografia em software, onde pode ser copiada, um HSM mantém a chave dentro de um hardware resistente a violação e executa a operação criptográfica internamente. A chave nunca aparece em texto puro fora do dispositivo, e é por isso que os HSMs guardam as chaves mais sensíveis.

Como um HSM protege as chaves

A chave privada é gerada dentro do HSM e nunca é exportada. Para assinar ou descriptografar, você envia os dados; o HSM executa a operação e retorna o resultado. Como a chave nunca deixa o hardware, uma aplicação comprometida não consegue roubá-la.

O que o torna confiável

  • Resistência a violação: ataques físicos disparam a destruição da chave.
  • Isolamento: as chaves nunca existem em texto puro fora do dispositivo.
  • Auditabilidade e controle de acesso sobre quem pode invocar operações.

Onde os HSMs são usados

Os HSMs protegem as chaves de maior valor: raízes de autoridade certificadora, chaves de assinatura de código e chaves mestras de criptografia. Provedores de nuvem oferecem serviços gerenciados de HSM para que as equipes obtenham proteção de nível de hardware sem operar o dispositivo por conta própria.

HSMs em CI/CD

Quando um pipeline assina releases ou imagens de container, manter a chave de assinatura em um HSM (ou serviço gerenciado respaldado por HSM) significa que o pipeline pode solicitar assinaturas sem nunca ter a chave bruta. Um runner comprometido não consegue exfiltrar uma chave que nunca possui.

HSMs versus chaves em software

Uma chave em software, por melhor que seja criptografada em repouso, é descriptografada na memória para ser usada, onde pode potencialmente ser lida. Um HSM nunca expõe a chave, elevando o nível de "difícil de roubar" para "impossível de extrair", o que importa mais para as chaves que ancoram a confiança.

Assinatura respaldada por HSM e runners

Com a assinatura respaldada por HSM, o runner envia os dados a serem assinados e recebe de volta uma assinatura, nunca tocando na própria chave. Combinado com runners isolados e efêmeros (como os runners gerenciados da Latchkey), o material de assinatura permanece totalmente fora do alcance do ambiente de build.

Principais conclusões

  • Um HSM armazena chaves em hardware resistente a violação e executa criptografia internamente.
  • A chave nunca deixa o dispositivo em texto puro, de modo que não pode ser exfiltrada.
  • A assinatura respaldada por HSM permite que pipelines obtenham assinaturas sem nunca ter a chave.

Guias relacionados