Hardware-Sicherheitsmodule werden überall dort eingesetzt, wo kryptografische Prozesse erforderlich sind und das sensible Schlüsselmaterial nicht in Software, sondern in einer geschützten Hardwareumgebung erzeugt, gespeichert und verwaltet werden soll.

Über standardisierte Schnittstellen (Link zu „Abschnitt Schnittstellen“) lassen sich Hardware-Sicherheitsmodule mit typischen kryptografischen Anwendungen “plug-and-play” verbinden.

Typische Anwendungsfälle für Hardware-Sicherheitsmodule sind:

Public Key Infrastructure (PKI)
Eine PKI regelt die Ausstellung digitaler Zertifikate, um digitale Identitäten für Benutzer, Geräte und Anwendungen bereitzustellen und hiermit z.B. eine Benutzerauthentisierung durchzuführen oder eine sichere Ende-zu-Ende-Kommunikation zu gewährleisten.
Rolle des Hardware-Sicherheitsmoduls: Signatur des Zertifikats, u.U. Generierung des Benutzer- / Geräte- / Anwendungsschlüssels.

Dateiverschlüsselung
Bei der Dateiverschlüsselung werden Daten in einen verschlüsselten Text umgewandelt, der nur mit dem passenden geheimen Schlüssel oder Passwort entschlüsselt werden kann.
Rolle des Hardware-Sicherheitsmoduls: Sichere Speicherung des Dokumenten-Schlüssels, Ver-/Entschlüsselung des Dokuments.

Digitale Signaturen
Digitale Signaturen dienen dem eindeutigen Nachweis der Identität des Absenders und der Integrität der signierten Daten. Bei diesen Daten kann es sich z.B. um Transaktionsdaten einer Bezahltransaktion, ein elektronisches Dokument wie einen Kaufvertrag oder eine Vertraulichkeitserklärung, eine offizielle Urkunde wie eine Geburtsurkunde oder ein Diplom, oder andere Daten handeln.
Rolle des Hardware-Sicherheitsmoduls: Generierung des Signatur-Schlüsselpaares, sichere Verwahrung des privaten Schlüssels, Signatur der Daten / des Dokuments.

Code Signing
Beim Code Signing handelt es sich um den Fall einer digitalen Signatur, bei dem ausführbare Dateien und Skripte digital signiert werden, um die Integrität des Codes zu bestätigen und dessen Urheberschaft nachzuvollziehen. Bei Einspielen eines Software- / Firmware Update wird anhand der Code Signatur zunächst die Unversehrtheit sowie bei Bedarf der Ursprung des Codes geprüft, und erst nach erfolgreicher Signaturprüfung die neue Software / Firmware tatsächlich installiert.
Rolle des Hardware-Sicherheitsmoduls: Generierung des Signatur-Schlüsselpaares, sichere Verwahrung des privaten Schlüssels, Erstellung der Code-Signatur.

Key Injection
Key Injection beschreibt das sichere Einbringen kryptografischer Schlüssel in Geräte oder Chips. Je nach Anwendungsfall kann es sich hierbei um unterschiedliche Schlüssel für verschiedene Zwecke handeln, z.B. zur eindeutigen Identifikation des Gerätes / Chips, zum Aufbau einer sicheren Verbindung mit einer Applikation / einem anderen Gerät, oder zur digitalen Signatur von Transaktionsdaten durch das Gerät / den Chip.
Rolle des Hardware-Sicherheitsmoduls: Schlüssel-Generierung, Ableitung von geräte-/chip-spezifischen Schlüsseln aus einem Master Key, Aufbereitung der Personalisierungsdaten für die Einbringung der Schlüssel.

Absicherung von Transaktionsdaten
Unter Absicherung von Transaktionsdaten sind verschiedene Anwendungsfälle zusammengefasst, bei denen mehrere oder alle Ziele der Kryptografie, d.h. Vertraulichkeit, Integrität, Authentizität, Verbindlichkeit, für ausgewählte übertragene Daten sichergestellt werden muss. Typische Beispiele für solche Transaktion, die abgesichert werden müssen sind:

• Bezahlvorgänge mit Kredit- oder Debit-Karten an einem Bezahlterminal
• Online-Einkäufe auf einem Shopping-Portal
• Aufzeichnungen von Maut-Brücken / -Schranken / -Säulen, anhand derer Mautgebühren abgerechnet werden
• Ablesen von Zählerständen von elektronischen Zählern (z.B. Stromzähler)

In vielen dieser Anwendungsfälle werden die Transaktionsdaten dezentral generiert von „kleinen“ Hardware-Sicherheitsmodulen abgesichert, um anschließend in zentralen Rechenzentren durch High-Level-Sicherheitsmodule entschlüsselt und geprüft zu werden.
Rolle des Hardware-Sicherheitsmoduls: Schlüsselgenerierung und Verwahrung, Ver- / Entschlüsselung der Transaktionsdaten, Signatur / Prüfung der Transaktionsdaten.

Authentifizierung

In einer Vielzahl von Anwendungen im täglichen Leben ist es erforderlich, sich zunächst (als Person oder als Applikation) an einem System anzumelden und zu authentisieren, bevor eine Aktion ausgeführt werden kann. Dies trifft z.B. zu auf eine Anmeldung mit dem elektronischen Personalausweis an einem Bürgerportal, das Login mit einem Firmenausweis am Unternehmensnetzwerk, oder auch der Anmeldung eines Smartphones am Mobilfunknetz nach dem Einschalten oder beim Roaming in einem anderen Land. Auch hier werden für die Anmeldung i.d.R. „kleine“ und portable Hardware-Sicherheitsmodule verwendet, während die Authentifizierung durch zentrale High-Level-Sicherheitsmodule erfolgt.

Rolle des Hardware-Sicherheitsmoduls: Schlüsselgenerierung und Verwahrung, Signatur / Prüfung der Anmeldedaten.