Supongamos un escenario de firma del lado del servidor, donde las claves de usuario se generan en un HSM y se exportan a una base de datos, cifradas con una clave simétrica derivada de una contraseña de usuario y la clave maestra de HSM.
Para firmar, los usuarios deben proporcionar la contraseña referida y un factor adicional, como una OTP, por ejemplo. La OTP no se puede usar para proteger la clave porque es un valor dinámico, por lo que solo se usa como barrera de autorización. La transmisión de los dos factores se realiza a través de SSL.
Ahora imagine que un atacante interno malintencionado cambia el código de la aplicación, para que las contraseñas que envían los usuarios se registren en un archivo.
Aunque la operación de firma a través de la aplicación requiere 2 factores, que previenen de algún modo los ataques de atacantes externos, qué se puede hacer para evitar que un atacante interno acceda directamente al HSM y descifre una clave de firma con la contraseña y la utilice para firmar documentos. en nombre del usuario?
Por lo general, el acceso físico a los HSM está protegido por un control doble, pero los usuarios pueden tener acceso lógico a HSM si tienen la contraseña para iniciar sesión de forma remota.
¿Qué tipo de medidas de seguridad puedo implementar para evitar este tipo de ataque interno?