YubiHSM 2

IT həlləri üçün kriptoqrafik açarların qorunmasını təmin edən hardware təhlükəsizlik modulu

Təsvir

YubiHSM 2, CA açarları fişinq və malware hücumlarından üstün qorunma təmin edən bir qurğu moduludur. Qiymətli və əlçatan, hər müəssisənin yerləşdirilməsini asanlaşdırır. Modul digital açarların yaradılması, saxlanması və idarə olunması üçün cəlbedici bir yanaşma təklif edən Microsoft Active Directory Sertifikat Xidmətləri fəaliyyət göstərən təşkilatlar üçün daha yüksək səviyyədə təhlükəsizlik təmin edir. Onun rahat “nano” forması faktoru, əlavə, yer tutan aparatların ehtiyacını aradan qaldıran bir USB portu içərisinə sığar və online olmayan əsas backup və transfer üçün çevik bir yol təqdim edir.

YubiHSM 2 xüsusiyyətlərinə sənaye standartlı PKCS #11 və ya Microsoft’s CNG, ya da yerli Windows, Linux və MacOS kitabxanaları vasitəsilə Yubiconun Açar Saxlama Təminatçısı (AST) vasitəsi ilə çatmaq olar.

YubiHSM 2 geniş mənbəli açıq mənbə və kommersiya proqramları üçün geniş bir kriptoqrafik vasitə qutusu kimi istifadə edilə bilər. Ən çox istifadə edilən hal, donanım əsaslı rəqəmsal imza yaratma və doğrulama.


 

Cases istifadə edin

Kriptoqrafik Açarlar üçün qorunmanın gücləndirilməsi
YubiHSM 2, açarların təhlükəsiz istifadəsi, saxlanması və idarə olunması üçün cəlbedici bir seçim təklif edir. Açar qoruma server üzərində əməliyyatlardan təcrid olunmuş təhlükəsiz on-çip aparatlarında aparılır. Ən çox istifadə edilən hallar sertifikat orqanlarının açarlarının qorunmasını nəzərdə tutur. YubiHSM 2 imkanları aşağıdakılardır: yaratmaq, yazmaq, işarələmək, şifresini tapaq, haş və açarlar.

Hardware əsaslı Kriptoqrafik Əməliyyatlar funksiyasını aktivləşdirin
YubiHSM 2, çox sayda müxtəlif məhsul və xidmətlərdən ibarət açıq mənbə və ticari proqramların böyük bir dəsti ilə birlikdə aşağı həcmli əməliyyatlar üçün geniş bir kriptoqrafik alət qutusu kimi istifadə edilə bilər. Ən çox istifadə edilən vəziyyət imza yaratma və doğrulama üçün on-çip donanma əsaslı işlənməni əhatə edir.

Microsoft Active Directory Sertifikatlarının Təhlükəsizliyini təmin edin
YubiHSM 2, Microsoft-un əsaslı PKI tətbiqiniz üçün hardware dəstəkləyən açarları təmin edə bilər. YubiHSM 2’yi Microsoft Active Directory Sertifikat xidmətlərinə yerləşdirmək yalnız CA kök düymələrini qoruyur, həm də kök düyməsini istifadə edərək bütün imzalama və yoxlama xidmətlərini qoruyur.

  • Açarların təhlükəsiz saxlanılması və əməliyyatları
  • Geniş şifrələmə imkanları: RSA, ECC, ECDSA (ed25519), SHA-2, AES
  • HSM və tətbiqi arasında təhlükəsiz seans
  • Açar idarəetmə və əsas istifadə üçün rolu əsaslı giriş nəzarətləri
  • 16 eyni anda birləşmə
  • İstədiyiniz ağ şifrəsi
  • Uzaqdan idarəetmə
  • Unikal “Nano” forma amil, aşağı güclü istifadə
  • N şüşə açar düyməsini Yedəkləmə və bərpa et
  • YubiHSM KSP, PKCS # 11 və yerli kitabxanalar vasitəsilə interfeyslər
  • Girişlərin Audit olunması müəyyənliyi

 


 

Xüsusiyyətlər

 

Açarların təhlükəsiz saxlanılması və əməliyyatları

Açarları yaradın, idxal edin və saxlayır, istifadəsi zamanı və ya istifadə zamanı açarların oğurlanmasını qarşısını almaq üçün HSM donanımında bütün kripto əməliyyatlarını yerinə yetirin. Bu, sıfır gün istismar və ya zərərli proqram kimi bir server və ya sabit diskinin fiziki oğurluğu nəticəsində serverə qarşı həm mantıksız hücumlara qarşı qoruyur.

Geniş şifrələmə imkanları

YubiHSM 2, ed25519 istifadə edərək, qabaqcıl imzalama daxil olmaqla açar oğurlama, assimetrik imzalanma və şifrələmə əməliyyatları dəstəkləyir. Attestasiya, cihaz üzərində yaranan asimmetrik əsas cütlər üçün də dəstəklənir.

HSM və tətbiqi arasında

təhlükəsiz seans
HSM ilə ərizə arasında tranzit əmr və məlumatların bütövlüyü və gizlilikləri qarşılıqlı olaraq təsdiqlənmiş, bütövlüyə və gizlilik qorunan tuneldən istifadə olunur.

Əsas idarəetmə və əsas istifadə üçün rolu əsaslı giriş nəzarətləri

HSM-nin bütün kriptoqrafik düymələri və digər obyektlər bir və ya daha çox təhlükəsizlik zonasına aiddir. Erişim hüququ hər bir təhlükəsizliyə görə hər bir kriptoqrafik və ya idarəetmə əməliyyatlarının yerinə yetirilməsinə imkan verən yaradılması zamanı hər bir identifikasiya açarı üçün təyin olunur. Admins, HSM-də bütün audit jurnallarını oxumaq qabiliyyətinə malik olan və ya istifadəçi rəqəmsal sertifikalarını sona vermək (imzalamaq) tələb edən bir Qeydiyyat İcazəsi kimi bir hadisə izleme proqramı kimi istifadə vəziyyətinə əsasən, kripto açarları yaratmaq və silmək üçün lazım olan təhlükəsizlik admin.

16 bir anda birləşmə

Bir çox tətbiq Kriptoqrafik əməliyyatlar aparmaq üçün YubiHSM ilə iclaslar qura bilər. Sessiyalar sessiyanın yaradılması müddətini aradan qaldıraraq performansın yaxşılaşdırılması üçün hərəkətsizlikdən sonra və ya uzun müddətli ola bilər.

Paylaşılan Şəbəkə

Dağıtımların rahatlığını artırmaq üçün YubiHSM 2, digər serverlərdə tətbiqlər vasitəsilə şəbəkə üzərində istifadə üçün təqdim edilə bilər. Bu, bir çox virtual maşınlara sahib olan fiziki bir server üzərində xüsusilə faydalı ola bilər.

Uzaqdan İdarəetmə

Asanlıqla bütün qurum üçün çoxlu YubiHSM-lərin uzaqdan idarə olunması – çağırış üzrə kadrların mürəkkəbliyini və səyahət xərclərini aradan qaldırın.

Unikal “Nano” forma amil, az enerji istifadə

Yubico “Nano” forma əmri HSM-nin USB-A portu daxilində tamamilə -ə daxil edilməsinə imkan verir – tamamilə örtülüdür – serverin arxa və ya ön şassisindən çıxan xarici hissələr. Enerji büdcənizdə qənaət üçün 30mA-dan az olan minimal güc istifadə edir.

N açarlardan N Yedəkləmə və bərpa etmə

Bir çox HSM-lərdə kriptoqrafik açarların saxlanması və yerləşdirilməsi korporativ təhlükəsizlik arxitekturasının mühüm bir hissəsidir, lakin bir şəxsin bu qabiliyyətə malik olmasına imkan vermək riski. YubiHSM, birdən çox administratorun əlavə HSM-lərdə istifadə etmək üçün bir düyməni idxal etmək və şifrələmək üçün tələb olunduqdan sonra, yedəkləmə və ya daşınma üçün düymələri ixrac etmək üçün istifadə olunan ucu açar sözlərindəki N qaydalarına əməl edir. Məsələn, bir müəssisədə, Active Directory kök CA xüsusi açarı 7 idarəçiyə (M = 7) əsas bükülü ola bilər və ən azı 4 (N = 4) yeni açar sözü açmaq və açmaq (decrypt) tələb olunur HSM.

YubiHSM KSP, PKCS#11 və yerli kitabxanalar vasitəsilə interfeyslər

Kripto effektiv tətbiqləri Microsoft-un CNG və ya endüstri standartlı PKCS # 11 üçün Yubico’nun Key Storage Provider (KSP) vasitəsi ilə YubiHSM-dən istifadə edə bilər. Yerli kitabxanalar Windows, Linux və MacOS-da cihazın imkanları ilə daha çox birbaşa əlaqə yaratmaq üçün mövcuddur.

Tam Müəyyən olunan Giriş Auditi

YubiHSM daxili olaraq cihazda baş verən bütün idarəetmə və kripto əməliyyatlarının qeydlərini saxlayır və qeydlər monitorinq və hesabat üçün ixrac edilə bilər. Gündəlikdə hər bir hadisə (satır) əvvəlki satırla zəncirlənmiş hashdir və hər hansı bir hadisənin dəyişdiriləcəyi və silinməyəcəyi müəyyən oluna biləcək şəkildə imzalanır.

Əməliyyat Sisteminin Dəstəyi

Windows, Linux, macOS

Əməliyyat sistemi Seriya Arxitektura
Linux CentOS 6
CentOS 7
Debian 8
Debian 9
Fedora 25
Ubuntu 1404
Ubuntu 1604
amd64
Windows Windows 10
Windows Server 2012
Windows Server 2016
amd64
macOS 10.12 Sierra
10.13 Yüksək Sierra
amd64

Kriptoqrafik interfeyslər (API)

  • Microsoft CNG (KSP)
  • PKCS # 11 (Windows, Linux, macOS)
  • Yerli YubiHSM Core Kitabxanaları (C, python)

Kriptoqrafik imkanlar

Həşləmə (HMAC və asimetrik imzalar ilə istifadə olunur)

  • SHA-1, SHA-256, SHA-384, SHA-512

RSA

  • 2048, 3072 və 4096 bit düymələri
  • PKCS # 1v1.5 və PSS istifadə edərək imzalama
  • PKCS # 1v1.5 və OAEP istifadə edərək şifrələmə.

Elliptik əyri kriptoqrafiya (ECC)

  • Eğriler: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
  • İmzalanma: ECDSA (bütün curve25519 istisna olmaqla), EdDSA (yalnız curve25519)
  • Şifrələmə: ECDH (bütün əyri25519 istisna olmaqla)

Açar örtüyü

  • NIST AES-CCM istifadə edərək, idxal və ixrac 128, 196 və 256 bitlə

Random ədəd

  • NİST SP 800-90 AES 256 CTR_DRBG toxumunda istifadə edilən on-çip Düzgün Təsadüfi Say Generatoru (DTSG)

Attestasiya

  • Quraşdırılmış asimmetrik əsas cütlər zavod təsdiq edilmiş təsdiqləmə və sertifikat vasitəsi ilə və ya HSM-ə daxil olan öz açarı və sertifikatı ilə təsdiq edilə bilər.

Performans

Performans istifadəyə bağlı olaraq fərqlənir. Başqa bir yerdə boş qalan YubiHSM 2:

  • RSA-2048-PKCS1-SHA256: ~ 139ms avg
  • RSA-3072-PKCS1-SHA384: ~ 504ms avg
  • RSA-4096-PKCS1-SHA512: ~ 852ms avg
  • ECDSA-P256-SHA256: ~ 73s avg
  • ECDSA-P384-SHA384: ~ 120ms avg
  • ECDSA-P521-SHA512: ~ 210ms avg
  • EddsA-25519-32Bytes: ~ 105ms avg
  • EddsA-25519-64Bytes: ~ 121ms avg
  • EddsA-25519-128Bytes: ~ 137ms avg
  • EddsA-25519-256Bytes: ~ 168ms avg
  • EdDSA-25519-512Bytes: ~ 229ms avg
  • EddsA-25519-1024Bytes: ~ 353ms avg
  • AES – (128 | 192 | 256) -CCM-Paket: ~ 10ms avg
  • HMAC-SHA- (1 | 256): ~ 4ms avg
  • HMAC-SHA- (384 | 512): ~ 243ms avg

Saxlama qabiliyyəti

  • Bütün məlumatlar obyektlər kimi saxlanılır. 256 obyekt slotu, 128KB (baz 10) maksimum cəmi
  • Yalnız bir təsdiqləmə açarı mövcud olduqda 127 ədəd rsa2048, 93 rsa3072, 68 rsa4096 və ya 255 hər hansı bir eliptik əyri növü saxlayır
  • Nümunə növləri: Doğrulama açarları (iclaslar yaratmaq üçün istifadə olunur); asimmetrik xüsusi açarları; qeyri-şəffaf ikili məlumat obyektləri, məs. x509 certs; açarlar; HMAC düymələri

İdarəetmə

  • Ərizə və HSM arasında qarşılıqlı identifikasiya və təhlükəsiz kanal
  • N’nin Yubix Setup Quraşdırma Qurğusu vasitəsilə əsas bərpasının N-nin açılması

SDK

YubiHSM 2 üçün Software Development Kit :

  • C, Python üçün YubiHSM Core Kitabxanası (libyubihsm)
  • YubiHSM Shell (Konfiqurasiya CLI)
  • PKCS # 11 Modul
  • Microsoft ilə birgə istifadə üçün YubiKey Açar Saxlama Təminatçısı (KSP)
  • YubiHSM Bağlayıcı
  • YubiHSM Quraşdırma Tool
  • Sənədlər və kod nümunələri

Host interfeysi

  • Universal Serial Bus (USB) 1.x Tam Sürət (12Mbit /s) Toplu interfeysli periferik.

Fiziki xüsusiyyətlər

  • Form faktor: ‘nano’ serverlərdə daxili USB port kimi məhdud boşluqlar üçün nəzərdə tutulmuşdur
  • Ölçülər: 12mm x 13mm x 3.1mm
  • Ağırlıq: 1 qram
  • Hazırkı tələblər 20mA avg, 30mA max
  • USB-A fiş konnektoru

Təhlükəsizlik və ətraf mühitə uyğunluq

  • FCC
  • CE
  • WEEE
  • ROHS

Bugündən başlayın

Xakerlər heç vaxt ara vermirlər, niyə?

Sizi eşitmık bizim üçün xoşdur

14 + 7 =