Aquí hay dos problemas diferentes, pero relacionados. Una es la seguridad de la llave; El otro es la seguridad de los datos descifrados por la clave.
Un HSM y "un servidor separado" son esencialmente lo mismo desde el punto de vista de su servidor de aplicaciones. Está enviando los datos cifrados "a otra parte" para el descifrado, pero los datos de texto claro volverán a su servidor de aplicaciones. El servidor de aplicaciones siempre necesitará suficiente protección para protegerse contra un atacante que se encuentre dentro de él, desviando sus secretos. Por lo tanto, puede ignorar la seguridad de los datos de texto simple al realizar esta elección, ya que el problema de texto claro es el mismo, independientemente de la opción que elija.
Consideremos primero los HSM. Por lo general, es cierto que proteger la clave es más importante que proteger una sola pieza de datos (a menos que filtrar una sola pieza de datos pueda provocar una pérdida catastrófica); y ahí es donde un HSM es una muy buena herramienta para el trabajo. Los inconvenientes de un enfoque de HSM son que son bastante caros de comprar, mantener y operar. Por lo general, tienen un precio por el rendimiento de la transacción, por lo que cuantos más datos necesite descifrar a la vez, más caro será el HSM. Cualquier explicación del gasto también debe incluir la complejidad necesaria para interactuar con él. Probablemente pasará mucho tiempo aprendiendo cómo usarlo, cómo realizar ceremonias clave, integrarlo en sus sistemas existentes, etc. Tendré las mejores llaves protegidas que el dinero puede ofrecer.
Por otro lado, si construye su propio servidor para realizar el descifrado de los datos, tendrá que dedicar tiempo a endurecerlo contra ataques, emitir certificados a servidores de aplicaciones autorizados, realizar auditorías, etc. Y tenga en cuenta que un administrador en la máquina siempre tendrá acceso suficiente para acceder a la clave. (Esto no es cierto para un HSM que requiere una cantidad de recursos compartidos de una clave maestra para poder acceder a las claves, lo que significa que un número de personas de confianza tendrían que confesar para violar la seguridad). Por lo tanto, construir su propio servidor costará menos que comprando un HSM, pero no es barato; y la clave está en más riesgo que un HSM. Es especialmente problemático si no sabes cómo asegurarlo adecuadamente.
Dado todo eso, se convierte en una cuestión de dinero contra riesgo. (¡Bienvenido a Seguridad!) ¿Qué tan crítico es para la existencia continua de su organización que asegure esas claves? ¿Qué clasificación de seguridad le ha dado a los datos almacenados en esos correos electrónicos? ¿Almacenará los datos en el alcance para PCI, HIPAA, SOX, GLBA o alguna otra industria regulada? ¿Sus datos contienen secretos industriales tan valiosos que un gobierno extranjero podría aportar todos sus recursos para piratearlos? ¿Protege tanto dinero que irías a la bancarrota si un hacker lo desvía? ¿Robar de la base de datos dejará a su organización fuera del negocio? A continuación, pague un precio comprando un HSM vs construyendo y asegurando su propio servidor de descifrado.
Si las respuestas a lo anterior se suman a "realmente no vale la pena", entonces hay que considerar medios más asequibles para asegurarla.