- 综合排序
- 最热优先
- 最新优先
- 来自专栏SSL加密
新规要求OV 代码签名证书私钥强制硬件存储,“软证书”即将停发!
1、新颁发证书2023 年 06 月 01 日起,新颁发的OV代码签名证书及私钥,必须存储并安装在FIPS 140 2级以上、Common Criteria EAL 4级以上或同等认证级别的令牌或硬件安全模块 (HSM)上。 和EV代码签名证书一样,有三个选项供选择:使用沃通配置的硬件令牌使用您自己准备的硬件令牌安装在硬件安全模块(HSM)上硬件令牌和HSM设备必须经过FIPS 140 2级以上、Common Criteria EAL 4级以上或同等级别认证;要使用硬件安全模块(HSM),您必须提交包含审计函的证明函。 4、重新颁发证书从 2023 年 06 月 01 日起,重新颁发OV代码签名证书时,证书申请者必须在受支持的硬件令牌或硬件安全模块(HSM)上安装证书。
1.2K20编辑于 2023-03-31 - 来自专栏FreeBuf
车辆内应用程序安全架构——HSM攻击说明
下面是一些常见的车辆应用程序安全点: 1.硬件安全模块(HSM) HSM是一个专用的硬件安全处理器,用于提供加密和解密等安全功能。它可以存储密钥和证书,并确保它们不会被恶意程序或攻击者访问。 HSM 我们本次文章先从这里讲起 HSM是指硬件安全模块(Hardware Security Module) 是一种专门用于提供硬件级别安全性的安全处理器。 HSM可以为不同的应用提供安全服务,如加密、解密、签名、认证、密钥生成、密钥管理等。HSM可以安全地存储密钥和证书,确保它们不会被恶意软件或攻击者访问。 HSM通常由硬件和软件两部分组成。 Metasploit包括多个Web浏览器漏洞利用模块,其中许多是针对WebKit漏洞的。 Exploit Pack:Exploit Pack是另一个广泛使用的渗透测试工具,其中包含多个Web浏览器漏洞利用模块,包括针对WebKit漏洞的模块。
1.6K20编辑于 2023-04-26 - 来自专栏code人生
PKCS#11:密码设备与应用程序的密码学接口
为了保护敏感信息、数字身份和网络通信的安全性,密码设备(如硬件安全模块HSM)与应用程序之间的安全通信和互操作性变得至关重要。 PKCS#11 接口规范PKCS#11 是一个密码设备(如硬件安全模块HSM)与应用程序之间的接口规范,定义了一组API,用于进行加密、解密、数字签名、密钥管理和其他密码学操作。 PKCS#11 函数集PKCS#11 定义了一组密码学函数,用于与密码设备(如硬件安全模块HSM)进行通信以执行各种密码学操作。 硬件安全模块(HSM):HSM是用于存储和管理密钥的硬件设备,PKCS#11是与HSM进行通信的标准接口。数字签名和认证:PKCS#11支持数字签名操作,以验证数据的完整性和来源。 硬件供应商提供的PKCS#11库:大多数硬件供应商(如Thales、Gemalto、SafeNet等)提供PKCS#11库,用于与其HSM和安全模块进行通信。
1K30编辑于 2023-10-14 - 来自专栏code人生
PKCS#11:密码设备与应用程序的密码学接口
为了保护敏感信息、数字身份和网络通信的安全性,密码设备(如硬件安全模块HSM)与应用程序之间的安全通信和互操作性变得至关重要。 PKCS#11 接口规范 PKCS#11 是一个密码设备(如硬件安全模块HSM)与应用程序之间的接口规范,定义了一组API,用于进行加密、解密、数字签名、密钥管理和其他密码学操作。 PKCS#11 函数集 PKCS#11 定义了一组密码学函数,用于与密码设备(如硬件安全模块HSM)进行通信以执行各种密码学操作。 •硬件安全模块(HSM):HSM是用于存储和管理密钥的硬件设备,PKCS#11是与HSM进行通信的标准接口。•数字签名和认证:PKCS#11支持数字签名操作,以验证数据的完整性和来源。 •硬件供应商提供的PKCS#11库:大多数硬件供应商(如Thales、Gemalto、SafeNet等)提供PKCS#11库,用于与其HSM和安全模块进行通信。
1.5K30编辑于 2023-10-19 - 来自专栏云计算D1net
如何使用KMaaS应对多云密钥管理挑战
云计算对传统的加密管理方法带来挑战 在以往,组织内部使用的硬件安全模块(HSM)通过提供可防篡改的物理安全设施保护数据。 物理附加服务(如HSM)的实施不受客户的直接控制。因此,客户可以使用云服务提供商提供的硬件安全模块(HSM)产品。 对于PaaS和SaaS,硬件安全模块(HSM)是不可选择的,除非云服务提供商提供这些服务,其基础设施也超出范围。这意味着从客户的角度来看,无法通过云计算提供商使用API进行密钥管理服务。 根据云密钥管理即服务(KMaaS)产品的不同,可以通过密钥管理互操作性协议(从密钥管理服务器请求密钥的标准)通过使用云计算提供商提供的存根模块的REST API来请求密钥,例如使用密钥管理服务的公钥加密标准 例如,如今使用物理HSM的组织可能会发现存储在其中的密钥无法导出。而这是大多数HSM的默认设置,因为加密操作是在设备本身中执行的。
2.9K10发布于 2021-01-05 物联网数据增长迅速,安全仍是最大障碍
强大的加密来源于由像硬件安全模块(HSM,Hardware security module的质量源产生的强大的加密密钥,HSM可以用于创建,存储和管理加密密钥。 作为HSM的一个模块,公司可以在生产过程中使用真随机数字生成器将每个单独的数字密钥插入到半导体中。 硬件安全模块 -- 考虑到到2020年会有数十亿通过无线连接的设备,启用物联网数据的安全通信是行业的优先事项。数据应该只能保存在经过加密的数据库上。 此前,使用HSM意味着在购买和维护物理设备的前提下--无论是作为PCI卡或者是安装在机架上的设备。如同其他迁移至云端的商业服务,现在你可以以HSM作为服务模型通过云端获得HSM的全部优势。 这当然是硬件安全模块最适合使用的地方,这种技术被业内其他厂商采用只是时间问题。
1.2K60发布于 2018-04-27腾讯云 T-Sec 密钥管理系统 (KMS) 核心能力与应用实践概要
一、 产品定位与核心亮点 腾讯云 T-Sec 密钥管理系统 (Key Management Service, KMS) 是一款基于硬件安全模块 (HSM) 的密钥全生命周期管理与数据加密服务。 该服务旨在解决不同行业客户在特定业务场景下面临的数据安全与密钥管理核心痛点: 金融/保险行业客户:面临严格的行业监管合规要求(如香港保监会IA、金管局HKMA),需确保业务系统云化迁移过程中的数据安全,并满足FIPS-140-2等硬件安全认证标准 功能框架 产品采用集群化高可用架构,通过云API 3.0对外提供服务,底层依赖多机房部署的HSM集群(含双机房冷备份),确保服务与设备的高可用性。 2. 荣誉背书 底层硬件加密模块支持FIPS-140-2认证(国际)与国密型号证书(国内),满足金融级合规要求。 解决方案:采用KMS独享版服务,为其提供独占的HSM集群,并与COS, CFS, TDSQL, CBS等云产品集成加密。 成效:满足了云上数据加密需求并通过了合规审查。
24010编辑于 2026-04-29- 来自专栏芯智讯
安谋科技推出新一代智能汽车安全解决方案“山海”S20F
汽车安全要求HSM(Hardware Security Module,硬件安全模块)已成为智能汽车的安全基础,也是行业的默认标准。 作为一款面向智能汽车SoC的HSM(硬件安全模块)产品,“山海”S20F可提供包括CPU处理器、对外通信单元、存储器等在内的完整HSM子系统,更好地满足功能安全要求,同时还支持灵活的定制化配置,以应对不同车载计算场景对于信息安全强度的多样化需求 在汽车电子行业,HSM是一种被广泛认可的信息安全模块实现方式,其作为安全可信根的角色也得到业内的普遍认同与应用。 “山海”S20F由安谋科技本土研发团队历时两年所打造,是一款既满足EVITA HSM规范,又支持功能安全能力的信息安全产品,默认符合EVITA HSM Full信息安全等级的定义标准,既可以覆盖ADAS “山海”S20F硬件架构 相较于前两代“山海”产品,新一代“山海”S20F不仅提供硬件加解密引擎,还能配置CPU处理器以及对外通信单元、存储器等多种辅助元件,形成具有完整信息安全能力的HSM子系统,帮助客户快速完成车载
33610编辑于 2023-11-16 什么叫代码签名证书?
硬件安全模块(HSM)和云签名:对于组织管道,您可以将私钥存储在本地HSM上,或者使用托管的、基于云的HSM签名服务,但并不是所有CA都支持,需要注意的是支持的CA机构都存在文件签名次数限制。
10200编辑于 2026-06-04- 来自专栏深度学习与python
WhatsApp 是如何实现端到端加密备份的?
如果选择的手动输入的密码,那么密钥将会被保管在一个基于硬件安全模块(HSM)组件开发的备份密钥库之中,HSM 是专门为这类需求开发的安全组件,可以用于存储密钥。 客户端与基于 HSM 的备份密钥库将会交换加密信息,其内容将不会被 ChatD 本身访问。 基于 HSM 的备份密钥库将会位于 ChatD 的后端,为备份的加密密钥提供高度可用和安全的存储。 WhatsApp 为超过 20 亿人提供服务,该产品的核心挑战之一是确保基于 HSM 的备份密钥库能够可靠地运行。 备份同样可以由密码保护,密钥将会被存储到一个基于 HSM 的备份密钥库中。 基于 HSM 的备份密钥库以及加密 / 解密流程 如果 WhatsApp 账户的所有者选择使用输入密码来对端对端备份的数据进行保护,基于 HSM 的备份密钥库会将其存储并保管。
1.5K20发布于 2021-12-01 - 来自专栏数据库与数据安全实战
你的车机被"拆箱"了——车载软件防逆向与License授权的工程实践
而它们面临的威胁不是网络入侵,而是:逆向分析:通过JTAG/SWD调试口提取固件,用IDAPro、Ghidra等工具反汇编,还原算法逻辑代码盗用:将核心算法模块剥离后移植到竞品车型,或卖给零部件供应商功能破解 方案二:代码虚拟化(针对核心算法)对于价值最高的算法模块(如感知融合算法、路径规划核心逻辑),采用代码虚拟化保护:将核心代码编译为自定义虚拟机指令集运行时由虚拟机引擎解释执行攻击者即使获得了二进制,也只能看到虚拟机字节码 ├──验证License签名(公钥预置于HSM)├──核对VIN绑定关系├──检查有效期└──写入安全存储区(功能标志位)关键设计原则:功能标志位必须存储在HSM安全存储区,不能存在普通FlashLicense (核心模块)低实施复杂度低中中适用对象车机App/中间件核心算法License授权逻辑典型场景全车机软件ADAS算法/感知融合OTA功能解锁以安当ASP产品为例,提供面向车载场景的代码混淆+虚拟化保护能力 验签必须在硬件安全区域(TEE/HSM)执行,这是底线。坑3:OTA订阅功能没考虑撤销场景用户退订后,如果车端没有License撤销机制,订阅功能实际上无法真正关闭。
10710编辑于 2026-06-11 - 来自专栏AI SPPECH
148_硬件安全与固件保护技术:从防篡改设计到安全启动的实战指南——从物理防护到软件安全的系统教程
RAM) 配置存储器(EEPROM) 通信接口: 串行接口(UART、SPI、I2C) 调试接口(JTAG、SWD) 网络接口(Ethernet、Wi-Fi、Bluetooth) 安全元件: 硬件安全模块 (HSM) 可信平台模块(TPM) 安全飞地(TEE) 1.2.2 硬件安全的关键特性 嵌入式处理器和安全元件提供多种硬件安全特性: 安全启动: 验证启动代码的完整性 确保系统从可信状态启动 支持链状验证 多个行业标准和规范定义了硬件安全的要求: FIPS 140-2/3: 密码模块安全要求 定义了四个安全级别 广泛应用于政府和金融领域 Common Criteria: 国际认可的安全评估标准 比较结果决定是否继续 3.2.2 安全存储和密钥管理 安全存储和密钥管理对于安全启动至关重要: 密钥存储机制: 一次性可编程(OTP)存储器 电子保险丝(eFuse) 安全飞地(TEE)存储 硬件安全模块 (HSM) 密钥管理策略: 密钥生成和注入 密钥更新和轮换 密钥备份和恢复 密钥撤销机制 防篡改存储: 检测存储器访问 防止未授权读取 提供数据完整性保护 3.2.3 安全引导加载程序 安全引导加载程序是安全启动的关键组件
70510编辑于 2025-11-16 数字钱包管理工具:加密资产的终极保险箱
技术痛点: 开发环境与生产环境密钥混淆 缺乏硬件安全模块(HSM)集成方案 教训:私钥必须物理隔离,开发阶段就要建立密钥分级制度。2. 开发者工具箱:钱包安全架构关键技术 模块1:私钥安全架构(分层确定性钱包设计)// 使用BIP-39+44+85标准构建多链HD钱包import { HDNodeWallet, Mnemonic } from "ethers";// 硬件级助记词生成(需HSM支持)const mnemonic = Mnemonic.fromEntropy(hsm.generateSecureEntropy(256)); / 灾难恢复:分片存储于AWS KMS/Azure Key Vault 模块2:跨链操作引擎(最优路径算法)def calculate_cross_chain_route(user_op: UserOperation 中 风险防控 Fireblocks API + Forta OpenZeppelin Defender 低 团队协作 板栗看板Web3模块
32310编辑于 2025-07-22T-Sec 密钥管理系统 KMS 概要
腾讯云安全云鼎实验室 TENCENT SECURITY YUNDING LAB 一、产品定位与核心亮点 技术定义 T-Sec 密钥管理系统(KMS)是腾讯安全云鼎实验室推出的安全管理类服务,使用第三方认证的硬件安全模块 (HSM)生成和保护密钥,帮助用户轻松创建和管理密钥,满足多应用多业务密钥管理需求,符合监管和合规要求。 商业差异化卖点 安全合规:HSM 获 FIPS-140-2 认证及国密合规,满足《密码法》《网络安全法》、PCI DSS、SOC 等国内外标准。 高可用低成本:单地域多机房部署,HSM 多机房集群+双机房冷备份;云 API3.0 分地域接入(统一域名+地域独立域名);无需自建密钥管理基础设施。 产品优势 安全合规:HSM 获 FIPS-140-2 认证及国密合规;满足《密码法》《网络安全法》、PCI DSS 等标准。
20310编辑于 2026-04-30- 来自专栏林德熙的博客
SignTool 使用 SafeNet eToken 硬证书进行代码签名
现在软件代码签名已经不能用 pfx 软证书了,需要搭配 FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件,如 USB 令牌、硬件安全模块 HSM 等才能完成签名 2022 年 11 月 15 日起,即使是 OV 代码签名证书,也需要将私钥存储在FIPS140-2 Level2、Common Criteria EAL4级以上或者同等认证级别的硬件,如 USB 令牌、硬件安全模块 HSM 等。 我司购买的证书刚好最近差不多快过期了,续签的证书从原本的很方便的 PFX 软证书,换成使用带 HSM 硬件设备的硬证书 换成带 HSM 硬件设备的硬证书之后,依然可以使用 SignTool 进行自动化签名
62910编辑于 2025-10-11 - 来自专栏数据库与数据安全实战
企业级密钥管理深度实践:从HSM硬件选型到多云KMS密钥生命周期的全链路治理
本文将从硬件安全模块(HSM)选型、云原生KMS架构设计、密钥生命周期治理三个维度,系统梳理一套可落地的企业级密钥管理方案。全文约4500字,阅读需要12分钟。 层硬件安全模块密钥安全存储、硬件级密码运算、防篡改ThalesLuna、Gemalto、FortanixL1基础设施层机柜/网络/电力物理安全、访问控制、环境监控数据中心合规(等保三级/四级)1.2各层之间的信任边界四层架构的核心设计原则是逐层信任递减 :L1→L2:物理安全基座,HSM必须部署在受控环境中。 二、HSM硬件选型:被低估的关键决策HSM是密钥管理体系的物理根基。选型失误的代价不仅是成本浪费,更可能导致整个加密体系推倒重来。 /存储/销毁策略策略文件+执行记录PCIDSS4.03.6-3.7密钥至少每年轮转、退役密钥安全删除轮转日志+销毁证明国密合规GM/T0054-2018SM系列算法使用、密钥管理规范算法合规声明+密码模块检测证书
23621编辑于 2026-06-16 - 来自专栏code人生
Hyperledger Fabric BCCSP 简介
它提供了一个统一的接口,允许系统使用不同的密码学库,包括软件实现、硬件实现以及HSM(Hardware Security Module)等。 HSM支持: BCCSP支持与HSM集成,允许将加密密钥存储在硬件安全模块中,提高密钥的安全性。
57410编辑于 2023-12-23 - 来自专栏安智客
TrustZone是如何保证硬件安全的?
通常说TEE的安全是基于硬件架构的软件保护,那么这个体现硬件安全的TrustZone到底是如何保证安全的呢?我们今天来捋一捋,首先从安全的角度上看,首先明确保护对象是什么? 当地址被送到这个检验模块,模块会去查表,看看本次访问是不是被允许,然后做相应措施。表本身和之前的动态配置一样,必须是在安全世界里面配置的。 调试模块可以被用来访问各个从设备,也可以访问和影响处理器内部资源。从设备侧的防护很容易,把调试模块当成一般的主设备处理就行。 这样的话,就只能把图形处理器从流程中挖掉,只留下相对简单也不需要生态的视频和显示模块的驱动,工作在安全世界,而GPU的输出送到显示模块,由显示模块进行混合。这是一种可行的方案,也确实有公司这么做。 在上图中,使用了ARM的核Cortex-M3和硬件安全IP CryptoCell,APB总线做了PROT位,还在SRAM/Flash和其他所有控制器上加入了地址安全检查,并启用了安全启动链。
4K30发布于 2018-07-30 腾讯云 T-Sec 密钥管理系统 (KMS) 技术架构与商业应用解析
一、 产品定位与核心亮点 技术定义:腾讯云密钥管理系统(Key Management Service, KMS)是一款安全管理类服务,其底层基于经过第三方认证的硬件安全模块(HSM)来生成和保护密钥。 自主可控:支持外部密钥导入(BYOK)及独享 HSM 集群版,满足极高监管合规要求。 产品优势能力全景扫描 第三方认证硬件级托管:使用获权威认证的 HSM 模块生成和存储 DMK/CMK,密钥绝对不以明文形式离开密码机。 采用满足 FIPS-140-2 标准的底层硬件加密模块;无缝集成云服务;实施全流程自动化管控及 1年 1 次透明密钥轮转;采用多机房无状态部署。 解决方案:采用 KMS 独享集群服务(独占 HSM 集群),结合云服务(COS/CFS/TDSQL/CBS)加密集成模块。
26510编辑于 2026-04-29- 来自专栏MCP
MCP(Model Context Protocol)配置安全方案:数据加密传输实践
三、MCP加密传输架构设计3.1 系统模块划分MCP加密传输系统由以下几个核心模块组成:模块名称 功能描述 使用非对称密钥对(RSA)进行密钥交换,密钥存储在HSM(硬件安全模块)中。 3.2 架构流程四、密钥管理模块实现4.1 密钥生成与存储使用Java的KeyPairGenerator生成RSA密钥对,并将私钥存储在HSM中。 存储逻辑(伪代码) HSMSecurityModule hsm = new HSMSecurityModule(); hsm.storeKey("server_private_key 七、认证授权模块实现7.1 数字证书认证使用数字证书对通信双方进行身份认证。
1.3K31编辑于 2025-05-05
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号