YubiHSM 2

IT — шешімдеріне арналған криптографиялық кілттерді қорғауға арналған аппараттығ қауіпсіздік модулі

Шолу

YubiHSM 2 — бұл фишинг және зиянды бағдарламалар шабуылдарына қарсы керемет қорғауды қамтамасыз ететін аппараттық модулі, серверлердегі сертификаттау орталықтағы түбірлік кілттері үшін. Үнемді және қолжетімді бола отырып, кез-келген кәсіпорында оңай іске асырылуы мүмкін. Бұл модуль Microsoft Active Directory сертификаттау қызметтерімен жұмыс істейтін ұйымдар үшін қауіпсіздіктің жоғары деңгейін қамтамасыз етеді, сандық кілттерді жасау, сақтау және таратуына сенімді көзқарасты қамтамасыз етеді. Оның эргономикалық «nano» форм-факторы USB портының ішіне сәйкес келеді, ол қосымша, көлемді жабдықтың қажеттілігін жояды және кілттерді тасымалдауға және резервтік көшіруге мүмкіндік береді.

YubiHSM 2-нің мүмкіндіктері Yubico-ның Key Storage Provider (KSP) арқылы қол жетімді, PKCS#11 өнеркәсіп стандартына, немесе Microsoft CNG немесе Windows, Linux және macOS кітапханаларында орнатылған қолдау арқылы.

YubiHSM 2 кен ашық (open source) пен коммерциялық қосымшалардың кең ауқымы үшін біріктірілген құрал ретінде пайдаланылуы мүмкін. Аппараттық генерациялауды жасау және электрондық цифрлық қолтаңба үшін кеңінен қолданылады.


 

Қолданба

Криптографиялық Кілттердің Қорғауын Жақсартады
YubiHSM 2 сандық кілттерді жасау, сақтау және тарату үшін сенімді әдістерді ұсынады. Кілтті қорғау, серверде орындалатын операциялардан бөлек, шифрланған қауіпсіз жабдықта орындалады. Көбінесе сертификаттау органдарының тамыр кілттерін қорғау үшін қолданылады. YubiHSM 2-дің мүмкіндіктері мыналарды қамтиды: генерациялау, жазу, қол қою, шифрлау, хэшинг және кілттерді орау.

Криптографиялық Аппараттық Операцияларды Жүргізеді
YubiHSM 2 көптеген өнімдер мен қызметтерді қамтитын ашық және коммерциялық қосымшалардың үлкен ауқымымен бірге кішігірім операциялар үшін, кешенді құрал ретінде пайдаланылуы мүмкін. Көбінесе аппараттық құралдарды жасау және қолтаңбаларды тексеру үшін пайдаланылады.

Microsoft Active Directory сертификаттарын қорғайды
YubiHSM 2 кілттері Майкрософт өнімдеріне негізделген ашық кілттер инфрақұрылымына арналған жабдықпен қамтамасыз етуі мүмкін. Microsoft Active Directory сертификат сервисінде YubiHSM 2-ні іске асыру, сертификаттау органдарының түбірлік кілттерін ғана емес, сонымен қатар оларды қолданатын барлық қол қою және тексеру қызметтерін қорғайды.

  • Қауіпсіз операциялар мен кілттерді сақтау
  • Кеңейтілген криптографиялық мүмкіндіктер: RSA, ECC, ECDSA (ed25519), SHA-2, AES
  • HSM және қосымшалар арасындағы қауіпсіз сессия
  • Рөлге негізделген қатынасты басқару арқылы кілттерді пайдалану және тарату
  • Бір мезгілде 16 қосылыстар
  • Желіге қатынауды қамтамасыз ету мүмкіндігі
  • Қашықтан басқару
  • Бірегей «Nano» форм-факторы, қуатты төмен тұтынылуы
  • Тұрақты салмақ коды бар (M N) негізгі қорап, рез. көшіру және қалпына келтіру
  • YubiHSM KSP, PKCS # 11 және жергілікті кітапханаларға негізделген интерфейс
  • Ашудың тексеру аудиті

 


 

Мүмкіндіктер

Қауіпсіз операциялар мен кілттерді сақтау

Кілттерді жасаңыз, импорттаңыз және сақтаңыз, содан кейін операциялық немесе әрекетсіздік кезінде кілттердің ұрлануын болдырмау үшін HSM жабдығын пайдаланып, криптографиялық операцияларды орындаңыз. Бұл серверде логикалық шабуылдардан, мысалы, нөлдік күн ішінде осалдығы немесе зиянды бағдарлама сияқты, сондай-ақ сервердің немесе оның қатты дискінің физикалық ұрлық әсеріне қарсы қорғауды қамтамасыз етеді.

Кеңейтілген криптографиялық мүмкіндіктер

YubiHSM 2 хэшингті, кілт қорапталуды, асимметриялы қолтаңбаны және шифрды қолдайды, соның ішінде ED25519 арқылы кеңейтілген қолтаңбаны қолдайды. Атестаттау құрылғыда жасалынған асимметриялық кілт жұптары үшін қол жетімді.

HSM және қосымшалар арасындағы қауіпсіз сессия

HSM және қосымшалар арасында берілетін командалар мен деректердің тұтастығы мен құпиялылығы тұтастығы мен құпиялылығын қорғаумен бірге өзара бекітілген туннельмен қорғалады.

Рөлге негізделген қатынасты басқару арқылы кілттерді пайдалану және тарату

HSM ішіндегі барлық криптографиялық кілттер және басқа нысандар бір немесе бірнеше қауіпсіздік домендеріне жатады. Қатынасу құқықтары қауіпсіздік доменіне қатысты криптографиялық немесе әкімшілік операциялардың белгілі бір жиынтығын жасауға мүмкіндік беретін жасау кезіндегі әрбір аутентификация кілтіне тағайындалады. Әкімшілер кілттерге олардың мақсатты пайдалануына негізделген құқықтарды тағайындайды, мысалы, оқиға мониторингі қосымшасы HSM жүйесіндегі аудит журналын оқуға қабілетті болу керек немесе Тіркеу Орталығы сандық түпкі пайдаланушының сертификаттарына қол қоюы қажет немесе қауіпсіздік доменінің әкімшісі криптографиялық кілттерді жасауы немесе жоюы керек.

Бір мезгілде 16 қосылыстар

Көптеген қолданбалар криптографиялық операциялар үшін YubiHSM-мен байланыс сеанстарын орнатуы мүмкін. Сессиялар автоматты түрде әрекетсіздіктен кейін тоқтатылуы мүмкін, немесе сеансты жасау уақытын жою арқылы өнімділікті жақсарту үшін ұзартылады.

Желіге қатынауды қамтамасыз ету мүмкіндігі

Орналастыру икемділігін арттыру үшін, YubiHSM 2-ның желісіне басқа серверлердегі қосымшаларға берілуі мүмкін. Бұл әсіресе бірнеше виртуалды машиналардың жеке физикалық серверде орналастырылған жағдайларда пайдалы болуы мүмкін.

Қашықтан басқару

YubiHSM-ның көптеген модулдерімен қашықтан оңай басқарыңыз, бүкіл кәсіпорында – қызметкерлерді шақыру және жол жүру шығындарымен байланысты қиындықтарды жойыңыз.

Бірегей «Nano» форм-факторы, қуатты төмен тұтынылуы

Yubico-мен әзірлеген «Nano» формалық факторы қауіпсіздік модулінің USB-A портының ішіндегі толық болуын қамтамасыз етеді, осылайша шағындықты қамтамасыз етеді; артық бөлшектерсіз, олар сервердің немесе алдыңғы шассидің артқы жағынан шығатын. Минималды қуатты жұмсайды – көптегенде 30 мА, бұл электр қуатын үнемдеуге көмектеседі.

Тұрақты салмақ коды бар (M N) негізгі қорап, рез. көшіру және қалпына келтіру

Криптографиялық кілттердің көптеген қауіпсіздік модульдерінде сақтық көшірмесін жасау және қосу кәсіпорынның кәсіпорынның қауіпсіздік архитектурасы үшін маңызды; бұл мүмкіндіктерді тек бір адамға беру қауіпті.
YubiHSM кілтін орау үшін N-нен M-нің ережелерін орнатуға қолдау көрсетеді, кілттерді экспорттау үшін оларды одан әрі қалпына келтіру үшін немесе көшіру үшін, осылайша, кілтті импорттау және дешифрлау үшін бірнеше администратор қажет, ол қосымша қауіпсіздік модульдерінде қолданылуы үшін. Кәсіпорын мысалында: Сертификаттау Орталығының жеке түбірлік кілті Active Directory 7 администраторге оралуы мүмкін (M=7), және олардың кем дегенде 4-і (N=4)
жаңа қауіпсіздік модуліндегі кілтті импорттау және ашу (шифрды ашу) үшін қажет.

YubiHSM KSP, PKCS#11 негізіндегі интерфейс, және жергілікті кітапханалар

Криптографиялық мүмкіндіктері бар қолданбалар YubiHSM-ты Yubico Key Storage Provider (KSP) арқылы басқара алады. Microsoft CNG немесе салалық стандарт PKCS # 11 үшін. Windows, Linux және macOS үшін құрылғы мүмкіндігіне тікелей қол жеткізу үшін жергілікті кітапханалар қол жетімді.

Ашудың тексеру аудиті

Барлық криптографиялық және административтік операциялары YubiHSM ішінде журнал ретінде сақталады, олар құрылғыда өткізіледі және бұл журналдар одан әрі мониторинг пен есеп беру үшін экспортталуы мүмкін. Журналдағы әрбір оқиға (жол) алдыңғы жолға хэш арқылы қосылады және оған қол қойылады, сондықтан ол оқиғалардың жойылуын немесе өзгерісін анықтауға мүмкіндік береді.

Операциялық Жүйені Қолдауы

Windows, Linux, macOS

Операциялық Жүйе Нұсқа Құрылым
Linux CentOS 6
CentOS 7
Debian 8
Debian 9
Fedora 25
Ubuntu 1404
Ubuntu 1604
amd64
Windows Windows 10
Windows Server 2012
Windows Server 2016
amd64
macOS 10.12 Sierra
10.13 High Sierra
amd64

Криптографиялық Интерфейстер (API)

  • Microsoft CNG (KSP)
  • PKCS#11 (Windows, Linux, macOS)
  • Жергілікті кітапханалар YubiHSM Core (C, python)

Криптографиялық мүмкіндіктер

Хештеу (HMAC және ассиметриялық қолтаңбалармен қолданылады)

  • SHA-1, SHA-256, SHA-384, SHA-512

RSA

  • 2048, 3072 және 4096 биттік кілттер
  • PKCS#1v1.5 және PSS арқылы қол қою
  • PKCS#1v1.5 және OAEP дешифрлау

Эллиптикалық криптография (ECC)

  • Қисықтар: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
  • Қол қою: ECDSA (бәрі, curve25519-ден басқа), EdDSA (тек curve25519)
  • Дешифрлеу: ECDH (бәрі, curve25519-ден басқа)

Кілтті қораптау

  • Импорт пен экспорттау NIST AES-CCM Wrap арқылы, 128, 196, және 256 биттерде

Кездейсоқ сандар

  • Чипке салынған нақты кездейсоқ сандар генераторы (TRNG), түйір NIST SP 800-90 AES 256 CTR_DRBG

Куәландыру

  • Құрылғыда жасалынған асимметриялық кілт жұптары зауытта сертификатталған кілтті және куәлікті пайдалану арқылы тексерілуі мүмкін, немесе қауіпсіздік модуліне импортталған жеке кілтіңізді пайдалану арқылы

Жылдамдық өнімділігі

Жылдамдық мақсатты бағдарламаға байланысты. Мысал басқа процестерде пайдаланылмаған YubiHSM 2 метрикасын көрсетеді:

  • RSA-2048-PKCS1-SHA256: ~139ms орта
  • RSA-3072-PKCS1-SHA384: ~504ms орта
  • RSA-4096-PKCS1-SHA512: ~852ms орта
  • ECDSA-P256-SHA256: ~73ms орта
  • ECDSA-P384-SHA384: ~120ms орта
  • ECDSA-P521-SHA512: ~210ms орта
  • EdDSA-25519-32 Байт: ~105ms орта
  • EdDSA-25519-64 Байт: ~121ms орта
  • EdDSA-25519-128 Байт: ~137ms орта
  • EdDSA-25519-256 Байт: ~168ms орта
  • EdDSA-25519-512 Байт: ~229ms орта
  • EdDSA-25519-1024 Байт: ~353ms орта
  • AES-(128|192|256)-CCM-Wrap: ~10ms орта
  • HMAC-SHA-(1|256): ~4ms орта
  • HMAC-SHA-(384|512): ~243ms орта

Қойма көлемі

  • Барлық деректер объект ретінде сақталады. Барлық 256 объекттер үшін ұяшықтары бар. 128KB (base 10)
  • 127-ге дейін сақтайды rsa2048, 93 rsa3072, 68 rsa4096 немесе 255 кез келген эллептикалық қисық, бірыңғай түпнұсқалық растама кілті болған жағдайда
  • Объектілердің түрлері: Аутентификациялау кілттері (сеансты орнату үшін қолданылады); асимметриялық жеке кілттер; екілік деректер объектілері, мыс. x.509 серт.; орауыш кілттері; HMAC кілттері

Басқару

  • Қосымшаға және қауіпсіздік модулі арасында өзара рұқсат беру және қауіпсіз кіру
  • M-дан N-ге ашу және қалпына келтіру үшін YubiHSM орнату құралы арқылы

Набор Құралдар жиынтығы (SDK)

SDK YubiHSM 2-і үшін:

  • YubiHSM Core кітапханасы (libyubihsm), C, Python үшін
  • YubiHSM қабықшасы (пәрмен жолын баптау)
  • PKCS#11 модулі
  • Microsoft өнімдерімен пайдалануға арналған YubiKey Key Storage Provider (KSP)
  • YubiHSM Connector
  • YubiHSM Setup Tool
  • Құжаттау және кодтын мысалдары

Хост-интерфейсі

  • (USB) 1.x Full Speed (12Mbit/s) перифериялық интерфейсі.

Физикалық сипаттамалары

  • Форм-факторы: ‘nano’, кішігірім орнату орындарына арналған, серверлердің ішкі USB порттары сияқтылар үшін
  • Өлшемдері: 12мм x 13мм x 3.1мм
  • Салмағы: 1 грамм
  • Тоқ тұтынуы 20 мА сред., 30 мА макс.
  • USB-A штекері

Экологиялық ережелерді сақтауды қамтамасыз ету

  • FCC
  • CE
  • WEEE
  • ROHS

Бүгін бастаңыз

Хакерлер ешқашан мүмкіндікті жіберіп алмайды, сіз де жіберіп алмаңыз.

Сізді естуге қуанышты боламыз

5 + 11 =