Pregunta

¿Qué es un Hardware Security Module (HSM)?

Tabla de contenidos

Hardware Security Module (HSM): definición

Un Hardware Security Module (HSM) es un módulo criptográfico especializado que genera, almacena y utiliza claves criptográficas dentro de un perímetro físico de hardware protegido. El HSM ejecuta operaciones criptográficas -cifrado, descifrado, firmas digitales, autenticación y generación de números aleatorios- sin exponer las claves fuera de su enclave de confianza. Los requisitos de seguridad para módulos criptográficos están definidos en FIPS 140-3 (NIST, 2019), en relación con ISO/IEC 19790:2012 e ISO/IEC 24759:2017.

En el contexto de la anonimización de imágenes y vídeo, el HSM actúa como ancla de confianza. Protege las claves utilizadas para cifrar los materiales originales, firma los artefactos de los modelos de IA empleados en la detección de rostros y matrículas, y asegura los registros de integridad del proceso. De este modo, es posible demostrar el cumplimiento del art. 32 del RGPD en materia de confidencialidad, integridad y resiliencia de los sistemas de tratamiento.

El papel del HSM en la anonimización de vídeo e imágenes

El procesamiento de imágenes en Gallio PRO se realiza on-premise e incluye el difuminado automático de rostros y matrículas, así como la edición manual de otras áreas. El Hardware Security Module (HSM) no realiza la detección de objetos ni el desenfoque, pero garantiza la gestión segura de claves e identidades que articula toda la cadena de procesamiento.

  • Protección de datos en reposo: generación y almacenamiento de claves maestras KEK en el HSM y posterior encapsulado de claves de datos DEK utilizadas para cifrar archivos de vídeo e imágenes mediante envelope encryption (AES-GCM). Referencias: NIST SP 800-57 Part 1 Rev. 5 y SP 800-38D.
  • Protección de modelos de IA: firma y verificación de la integridad de los archivos de pesos de modelos de detección de rostros y matrículas, reduciendo el riesgo de sustitución de modelos y ataques a la cadena de suministro.
  • Seguridad en tránsito: almacenamiento de claves privadas TLS para interfaces administrativas y transferencia de archivos a nodos de procesamiento. Interfaces compatibles: PKCS#11 o KSP/CNG.
  • No repudio: firma o aplicación de MAC a los registros de los procesos de anonimización. El software Gallio PRO no almacena registros que contengan datos personales ni logs de detección de rostros o matrículas.

Tecnologías e interfaces del HSM

Los HSM pueden presentarse como tarjetas PCIe, dispositivos de red o módulos USB. La integración en entornos de anonimización de imágenes suele apoyarse en API y protocolos estándar.

  • PKCS#11: interfaz criptográfica para la gestión de claves y operaciones criptográficas (simétricas y asimétricas). Especificación actual: OASIS PKCS#11 v3.0, 2020.
  • KMIP: protocolo para la gestión remota de claves y objetos criptográficos. Especificación actual: OASIS KMIP v2.0, 2020.
  • NIST SP 800-90A/B/C: recomendaciones sobre generadores de números aleatorios y fuentes de entropía, aplicadas en HSM para crear claves con fortaleza medible.
  • Mecanismos y algoritmos: AES-GCM para el cifrado de archivos, RSA o ECDSA para firmas digitales, HKDF para derivación de claves, parametrizados conforme a NIST SP 800-56A/B/C y SP 800-38D.

Parámetros y métricas clave del HSM

La selección de un Hardware Security Module (HSM) debe basarse en niveles de seguridad, cumplimiento normativo y parámetros operativos medibles en pruebas de aceptación.

Parámetro

Descripción

Fuente

 

Nivel de seguridad

FIPS 140-3 define niveles del 1 al 4. El nivel 3 incluye, entre otros, resistencia a manipulaciones, detección de intrusiones y autenticación basada en identidad, recomendado con frecuencia para proteger claves maestras KEK.

NIST FIPS 140-3, 2019

Límite del criptomódulo

Perímetro físico claramente definido fuera del cual las claves no están disponibles en texto claro.

ISO/IEC 19790:2012

Fortaleza de seguridad

Al menos 112 bits de seguridad para muchos usos hasta aproximadamente 2030. Ejemplos: AES-128, RSA-2048, ECDSA P-256.

NIST SP 800-57 Pt.1 Rev.5, 2020

Interfaces

PKCS#11 para operaciones criptográficas, KMIP para gestión remota de claves.

OASIS PKCS#11 v3.0, 2020; OASIS KMIP v2.0, 2020

Generador aleatorio

DRBG alimentado con entropía conforme a SP 800-90B y construcción DRBG según SP 800-90A.

NIST SP 800-90A Rev.1, 2015; SP 800-90B, 2018

Certificaciones sectoriales

En el sector de pagos: PCI PTS HSM; en la administración pública: validación FIPS 140-2/140-3 a través del CMVP.

PCI PTS HSM; NIST CMVP

Aplicaciones del HSM en la cadena de anonimización de imágenes

A continuación se presentan los pasos típicos de integración del HSM en el entorno Gallio PRO y los objetos criptográficos correspondientes.

Paso

Objetivo

Claves y algoritmos

Interfaz

 

Cifrado de archivos

Protección en reposo

DEK: AES-GCM; KEK: AES Key Wrap o RSA-OAEP para encapsulado

PKCS#11, KMIP

Firma de modelos de IA

Integridad y autenticidad

Firmas ECDSA P-256 o RSA-2048 para versiones de modelo

PKCS#11

TLS para interfaces

Cifrado en tránsito

Clave privada del servidor TLS, certificado X.509

PKCS#11, CNG/KSP

Registros de integridad

Integridad y trazabilidad de acciones

HMAC con clave en HSM o firma digital

PKCS#11

Ventajas del uso de HSM en la protección de vídeo e imágenes

La implementación de un Hardware Security Module (HSM) aporta beneficios tangibles en términos de cumplimiento normativo y reducción del riesgo operativo.

  • Protección sólida de claves: las claves maestras no aparecen en la memoria del host, lo que limita el impacto de una posible vulneración del servidor de aplicaciones.
  • Separación de funciones: las políticas del HSM y los mecanismos M de N restringen los privilegios de un único administrador.
  • Trazabilidad: las transacciones criptográficas pueden registrarse y verificarse mediante firma.
  • Estandarización: el cumplimiento de FIPS 140-3 e ISO/IEC 19790 facilita auditorías conforme al art. 32 del RGPD y pruebas de conformidad.

Retos y limitaciones de la integración de un HSM

Antes de la implementación, es necesario planificar una arquitectura de alta disponibilidad, procesos de copia de seguridad e integración con el pipeline de anonimización.

  • Rendimiento y latencia: los dispositivos de red pueden añadir latencia a las operaciones criptográficas. En tareas por lotes, se recomienda el uso de caché de sesión y encapsulado de claves en lugar de cifrado masivo dentro del HSM.
  • Resiliencia: sin las claves KEK almacenadas en el HSM, no es posible descifrar los materiales cifrados. Las copias de seguridad de claves deben realizarse mediante mecanismos hardware y conforme a políticas de separación de roles.
  • Gestión del ciclo de vida de las claves: generación, rotación, revocación y destrucción conforme a NIST SP 800-57, con un plan de migración de algoritmos tras el vencimiento de los periodos de seguridad.
  • Integración técnica: se requieren controladores, bibliotecas y compatibilidad de versiones PKCS#11 o KMIP en los servidores de Gallio PRO.

Referencias normativas y fuentes

A continuación se enumeran los estándares y directrices en los que se basan las definiciones y parámetros descritos.

  • NIST FIPS 140-3 - Security Requirements for Cryptographic Modules, 2019. Programa de validación: CMVP.
  • ISO/IEC 19790:2012 - Security requirements for cryptographic modules; ISO/IEC 24759:2017 - Test requirements.
  • NIST SP 800-57 Part 1 Rev. 5 - Recommendation for Key Management, 2020.
  • NIST SP 800-90A Rev.1 (2015), SP 800-90B (2018), SP 800-90C (2012).
  • NIST SP 800-38D - Recommendation for GCM, 2007 (con actualizaciones).
  • OASIS PKCS#11 v3.0 - Cryptographic Token Interface, 2020; OASIS KMIP v2.0, 2020.
  • PCI PTS HSM - Requirements for Hardware Security Modules, PCI SSC.
  • RGPD - Reglamento (UE) 2016/679, art. 32 - seguridad del tratamiento, incluido el cifrado y la resiliencia de los sistemas.

Ver también

Volver al glosario