YubiHSM 2

22000.00 

Версія 2.1

  • Нова можливість: Підтримка роботи по USB напряму
  • Апаратний модуль безпеки загального призначення
  • Підтримує асиметричну криптографію
  • Працює з Windows, Linux та Mac
  • USB-A інтерфейс

Є в наявності

Артикул: YHSM2-TK Категорія:

Опис

YubiHSM 2 – це апаратний модуль, що забезпечує чудовий захист від фішингу та атак шкідливого ПО, для кореневих ключів центрів сертифікації на серверах. Будучи економним і доступним, він може бути з легкістю впроваджений на будь-якому підприємстві. Даний модуль забезпечує високий рівень безпеки для організацій, що працюють з сервісом сертифікації Microsoft Active Directory, надаючи впевнений підхід до генерації, зберігання і розподілу цифрових ключів. Його ергономічний «nano» форм-фактор міститься усередині USB порту, що позбавляє від потреби в додатковому, об’ємистому обладнанні, і дозволяє гнучко проводити перенесення та створення резервних копій ключів в офлайні.

Можливості YubiHSM 2 доступні за допомогою Key Storage Provider (KSP) від Yubico, для промислового стандарту PKCS # 11, або Microsoft CNG, або через вбудовану підтримку в Windows, Linux і macOS бібліотеках.

YubiHSM 2 може використовуватися в якості комплексного інструментарію для широкого кола відкритих (open source) і комерційних додатків. Найбільш широко застосовується для апаратної генерації та верифікації цифрових підписів.


Застосування

Підвищує Захист Криптографічних Ключів
YubiHSM 2 надає надійні методи генерації, зберігання і розподілу цифрових ключів. Захист ключів проводиться в безпечному обладнанні на основі чіпа, окремо від операцій, що проводяться на сервері. Частіше за все застосовується для захисту кореневих ключів центрів сертифікації. Можливості YubiHSM 2 включають в себе: генерацію, запис, підпис, дешифрацию, хешування і упаковку ключів.

Проводить Апаратні Криптографічні Операції
YubiHSM 2 може використовуватися в якості комплексного інструментарію для операцій в малому обсязі в поєднанні з величезним набором відкритих і комерційних додатків, охоплюючи при цьому безліч продуктів і сервісів. Найчастіше застосовується для апаратної генерації та верифікації підписів.

Захищає Сертифікати Microsoft Active Directory
YubiHSM 2 може забезпечити ключі з апаратною підтримкою для інфраструктури відкритих ключів на основі продуктів Microsoft. Впровадження YubiHSM 2 в службу сертифікатів Microsoft Active Directory захищає не тільки кореневі ключі центрів сертифікації, а й всі служби підпису і верифікації, які їх використовують.

  • Безпечні операції і сховище ключів
  • Розширені криптографічні можливості: RSA, ECC, ECDSA (ed25519), SHA-2, AES
  • Захищена сесія між HSM і додатком
  • Управління доступом на основі ролей для використання і розподілу ключів
  • 16 одночасних з’єднань
  • Можливість надання мережевого доступу
  • Віддалене управління
  • Унікальний «Nano» форм-фактор, низьке енергоспоживання
  • Упаковка ключів за допомогою коду з постійною вагою (M of N), рез. копіювання і відновлення
  • Інтерфейс на основі YubiHSM KSP, PKCS # 11, і рідних бібліотек
  • Аудит контролю зламу

Можливості

Безпечні операції і сховище ключів

Створюйте, імпортуйте і зберігайте ключі, потім проводьте криптографічні операції за допомогою HSM обладнання, щоб запобігти крадіжкам ключів в моменти роботи або бездіяльності. Це забезпечує захист як від логічних атак на сервер, таких як zero-day або шкідливі програми, так і від наслідків фізичної крадіжки сервера або його жорсткого диска.

Розширені криптографічні можливості

YubiHSM 2 підтримує хешування, упаковку ключів, асиметричний підпис і дешифрування, включаючи розширений підпис, за допомогою ed25519. Атестація доступна для асиметричних ключових пар, згенерованих на пристрої.

Захищена сесія між HSM і додатком

Цілісність і приватність команд і даних, що передаються між HSM і додатками, захищається за допомогою обопільно авторизованого тунелю, з захистом цілісності і конфіденційності.

Управління доступом на основі ролей для використання і розподілу ключів

Всі криптографічні ключі та інші об’єкти всередині HSM належать до одного або більше, доменів безпеки. Права доступу призначаються кожному ключу автентифікації, в момент створення, що дозволяє певному набору криптографічних або адміністративних операцій виконуватися щодо домену безпеки. Адміністратори призначають ключам права на основі їх цільового застосування, наприклад, додаток моніторингу подій вимагає можливість читати журнал аудиту всередині HSM, а Центру Реєстрації потрібно підписувати цифрові сертифікати кінцевих користувачів, а адміністратору домену безпеки слід створювати або видаляти криптографічні ключі.

16 одночасних з’єднань

Багато додатків можуть встановлювати сесії зв’язку з YubiHSM, для проведення криптографічних операцій. Сесії можуть бути зупинені автоматично, після бездіяльності, або продовжені, для підвищення швидкодії за рахунок усунення часу, що йде на створення сесії.

Можливість надання мережевого доступу

Для підвищення гнучкості впровадження, мережевий доступ до YubiHSM 2 може бути надано додаткам, що знаходяться на інших серверах. Це може бути особливо зручно у випадках, коли на одному фізичному сервері розміщено безліч віртуальних машин.

Віддалене управління

З легкістю керуйте безліччю задіяних модулів YubiHSM віддалено, в рамках цілого підприємства – виключіть труднощі, пов’язані з викликом персоналу і витратами на поїздки.

Унікальний «Nano» форм-фактор, низьке енергоспоживання

Розроблений Yubico «Nano» форм-фактор дозволяє модулю безпеки знаходитися повністю всередині USB-A порту, таким чином забезпечуючи компактність; без зайвих деталей, що виступають назовні задньої панелі сервера або переднього шасі. Споживає мінімум потужності – макс. 30 мА, що допомагає економити на витратах на електроенергію.

Упаковка ключів за допомогою коду з постійною вагою (M of N), рез. копіювання і відновлення

Створення резервних копій та задіяння криптографічних ключів на кількох модулях безпеки є критичними для архітектури безпеки підприємства; ризиковано надавати дані можливості тільки одній людині. YubiHSM підтримує установку формули (M of N) для ключа упаковки, що використовується для експортування ключів з метою їх подальшого відновлення або переміщення, таким чином, потрібно кілька адміністраторів для імпортування і дешифрування ключа, так щоб він міг використовуватися на додаткових модулях безпеки. На прикладі підприємства: приватний кореневий ключ Центру Сертифікації Active Directory може бути запрограмований для 7-ми адміністраторів (M = 7), і принаймні 4 з них (N = 4) потрібні для імпорту і розпакування (дешифрування) ключа на новому модулі безпеки .

Інтерфейс на основі YubiHSM KSP, PKCS # 11, і рідних бібліотек

Додатки з криптографічними можливостями можуть управляти YubiHSM через Yubico Key Storage Provider (KSP) для Microsoft CNG або промислового стандарту PKCS # 11. Рідні бібліотеки для надання прямого доступу до можливостей пристрою доступні для Windows, Linux і macOS.

Аудит контролю зламу

Усередині YubiHSM зберігається журнал усіх криптографічних та адміністративних операцій, які проводяться на пристрої, і даний журнал може бути експортований, для подальшого моніторингу та складання звітів. Кожна подія (ряд) в журналі пов’язана хешем з попередньою поруч і підписана, що дозволяє виявити, видалити або змінити подію.

Підтримка роботи з USB напряму

Нова можливість: YubiHSM 2 може працювати з апаратним шаром USB напряму, без необхідності в проміжному HTTP-механізмі. Дана можливість дозволяє розробникам спростити процес розробки рішень для віртуалізованих середовищ.

Додаткова інформація

Вага0.010 kg
Розміри10 × 10 × 3 cm
Количество

1 ключ

Тип упаковки

Без упаковки

Підтримка Операційних Систем

Windows, Linux, macOS
Операційна СистемаВерсіяАрхітектура
LinuxCentOS 6 CentOS 7 Debian 8 Debian 9 Fedora 25 Ubuntu 1404 Ubuntu 1604amd64
WindowsWindows 10 Windows Server 2012 Windows Server 2016amd64
macOS10.12 Sierra 10.13 High Sierraamd64

Кріптографічні Інтерфейси (API)

  • Microsoft CNG (KSP)
  • PKCS#11 (Windows, Linux, macOS)
  • Рідні бібліотеки YubiHSM Core (C, python)

Криптографічні можливості

Хешування (застосовується з HMAC і асиметричними підписами)

  • SHA-1, SHA-256, SHA-384, SHA-512

RSA

  • 2048, 3072 та 4096-бітні ключі
  • Підпис за допомогою PKCS#1v1.5 та PSS
  • Дешифрація PKCS#1v1.5 та OAEP

Еліптична криптографія (ЕСС)

  • Криві: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
  • Підпис: ECDSA усі, крім curve25519), EdDSA (тільки curve25519)
  • Дешифрування: ECDH (всі, крім curve25519)

Упаковка ключів

  • Імпорт і експорт за допомогою NIST AES-CCM Wrap при 128, 196 і 256 бітах

Випадкові числа

  • Вбудований в чіп генератор реальних випадкових чисел (TRNG) з зерном NIST SP 800-90 AES 256 CTR_DRBG

Атестація

  • Згенеровані на пристрої асиметричні ключові пари можуть проходити перевірку за допомогою заводського сертифікованого ключа атестації та сертифіката, або за допомогою Вашого особистого ключа, імпортованого в модуль безпеки

Швидкість

Швидкість залежить від цільового використання. У прікладі приведена метрика YubiHSM 2, що не задіяна в інших процесах:
  • RSA-2048-PKCS1-SHA256: ~139ms серед.
  • RSA-3072-PKCS1-SHA384: ~504ms серед.
  • RSA-4096-PKCS1-SHA512: ~852ms серед.
  • ECDSA-P256-SHA256: ~73ms серед.
  • ECDSA-P384-SHA384: ~120ms серед.
  • ECDSA-P521-SHA512: ~210ms серед.
  • EdDSA-25519-32 Байт: ~105ms серед.
  • EdDSA-25519-64 Байт: ~121ms серед.
  • EdDSA-25519-128 Байт: ~137ms серед.
  • EdDSA-25519-256 Байт: ~168ms серед.
  • EdDSA-25519-256 Байт: ~168ms серед.
  • EdDSA-25519-1024 Байт: ~353ms серед.
  • AES-(128|192|256)-CCM-Wrap: ~10ms серед.
  • HMAC-SHA-(1|256): ~4ms серед.
  • HMAC-SHA-(384|512): ~243ms серед.

Об'єм сховища

  • Всі дані зберігаються у вигляді об'єктів. 256 слотів для об'єктів максимум 128KB (base 10)
  • Зберігає до 127 rsa2048, 93 rsa3072, 68 rsa4096 або 255 будь-яких кривих еліптичного типу, з урахуванням присутності одного ключа автентифікації
  • Типи об'єктів: Ключі автентифікації (використовуються для установки сесій); асиметричні приватні ключі; об'єкти двійкових даних, напр. x.509 серт .; ключі упаковки; ключі HMAC

Адміністрування

  • Взаємна авторизація і захищений канал між додатком і модулем безпеки
  • (m) of (n) налаштування і відновлення ключа через YubiHSM Setup Tool

Набір засобів розробки (SDK)

SDK для YubiHSm 2 включає в себе:
  • Бібліотеку YubiHSM Core (libyubihsm) для C, Python
  • Оболонку YubiHSM (конфігурація в командному рядку)
  • Модуль PKCS#11
  • YubiKey Key Storage Provider (KSP) для використання з продуктами Microsoft
  • YubiHSM Connector
  • YubiHSM Setup Tool
  • Документація та приклади коду

Хост-інтерфейс

  • (USB) 1.x Full Speed (12Mbit/s) периферійний інтерфейс.

Фізичні характеристики

  • Форм-фактор: 'nano', розроблений для малогабаритних місць установки, таких як внутрішні USB порти серверів
  • Розміри: 12мм х 13 мм х 3,1 мм
  • Вага: 1 грам
  • Споживання струму 20 мА серед., 30 мА макс.
  • USB-A штекер

Забезпечення дотримання екологічних норм

  • FCC
  • CE
  • WEEE
  • ROHS
  1. Виберіть сервіс для входу, введіть ваші ім'я користувача та пароль
  2. Після запиту, вставте YubiKey 5 Nano в USB порт
  3. Увійдіть в обліковий запис без зайвих зусиль, всього лише торкнувшись до сенсорних контактів на ключі, позначених золотим кольором
Як користуватися YubiKey:
Ознайомтеся з yubikey.com.ua/start, щоб отримати інструкції з налаштування ключів YubiKey 5 Nano для роботи з різними пристроями і додатками. Дії, необхідні для налаштування вашого YubiKey 5 Nano, можуть відрізнятися, в залежності від обраного сервісу.