Seguridad física

El HSM Dinamo utiliza mecanismos de seguridad física para impedir el acceso a su interior, garantizando así su integridad al impedir el uso, modificación o sustitución no autorizados de los componentes del HSM. El mecanismo utilizado muestra, resiste, detecta y responde a los intentos de manipulación.

El HSM dispone de un circuito supervisor que registra y responde a las violaciones del límite criptográfico. La respuesta del HSM es independiente del modo de funcionamiento configurado: si el dispositivo se enciende, la Server Master Key se destruirá en la memoria volátil y el dispositivo se apagará inmediatamente; si el dispositivo se apaga, el circuito supervisor registrará la violación. Este circuito dispone de una batería interna para mantener la memoria volátil que almacena los parámetros de seguridad críticos; un subcircuito de gestión de la alimentación hace que la carga de la batería sólo sea necesaria cuando el dispositivo está desconectado de la fuente de alimentación de CA y, en caso de violación, se desconecta la batería.

Tras la activación del HSM después de la violación, el operador será notificado del evento y tendrá la opción de continuar operando. El estado TAMPERED queda registrado y sólo puede ser eliminado por el fabricante del HSM.

El borde criptográfico es de acero, un material rígido y resistente que es opaco a la luz visible. Cualquier intento no autorizado de acceder a su interior (como taladrar o cortar el material) provocará daños evidentes en el HSM, lo que demostrará la existencia de una brecha.

Las ranuras de ventilación están construidas con piezas desplazadas para impedir el acceso físico de sondas o la observación indebida del interior.

La única forma autorizada de acceder físicamente al interior del HSM es retirando la tapa superior de mantenimiento. Esta tapa está protegida por sensores que detectan los intentos de retirada. La activación de estos sensores inicia inmediatamente el proceso de destrucción de la información no cifrada de la memoria y de apagado del HSM si está encendido; si el equipo está apagado, el circuito supervisor registrará la violación. El dispositivo también dispone de un sensor de temperatura para los niveles superior e inferior.