YubiHSM 2

Апаратний модуль безпеки, що захищає криптографічні ключі для IT-рішень

Опис

YubiHSM 2 — це апаратний модуль, що забезпечує неперевершений захист від фішингу та атак шкідливого ПЗ для кореневих ключів центрів сертифікації на серверах. Економний і доступний — він може бути з легкістю застосований на будь-якому підприємництві. Цей модуль забезпечує високий рівень безпеки для організацій, які працюють із сервісом сертифікації Microsoft Active Directory, надаючи надійний підхід до генерації , зберігання і розподілу цифрових ключів. Його ергономічний “nano” форм-фактор вміщується всередині USB порту, що позбавляє від потреби у додатковому, об’ємистому обладнанні та дозволяє гнучко проводити перенесення та резервне копіювання ключів в режимі оффлайн.

Можливості YubiHSM 2 доступні за допомогою Key Storage Provider (KSP) від Yubico, для промислового стандарту PKCS#11 або Microsoft CNG, або через вбудовану підтримку у Windows, Linux і macOS бібліотеках.

YubiHSM 2 може використовуватись як комплексний інструментарій для широкого кола відкритих та комерційних додатків. Найбільш широко застосовується для апаратної генерації і верифікації цифрових підписів.

 


 

Застосування

Підвищує Безпеку Криптографічних Ключів
YubiHSM 2 надає надійні засоби генерації, зберігання і розподілу цифрових ключів. Захист ключів виконується у захищеному обладнанні на основі чіпу, окремо від операцій, що проводяться на сервері. Найчастіше використовується для захисту кореневих ключів центрів сертифікації. Можливості YubiHSM 2 включають в себе генерацію, запис, підпис, дешифрування, хешування та пакування ключів.

Виконує Апаратні Криптографічні Операції
YubiHSM 2 може використовуватись як комплексний інструментарій для операцій у малому об’ємі в поєднанні з величезним набором відкритих і комерційних додатків, охоплюючи при цьому безліч продуктів і сервісів. Найчастіше застосовується для апаратної генерації і верифікації цифрових підписів.

Захищає Сертифікати Microsoft Active Directory
YubiHSM 2 може забезпечити ключі з апаратною підтримкою для інфраструктури відкритих ключів на основі продуктів Microsoft. Долучення YubiHSM 2 до служби сертифікатів Microsoft Active Directory захищає не тільки кореневі ключі центрів сертифікації, але також і всі служби підпису і верифікації, які ними користуються.

  • Безпечні операції та сховище ключів
  • Розширені криптографічні можливості: RSA, ECC, ECDSA (ed25519), SHA-2, AES
  • Захищена сесія між HSM та додатком
  • Керування доступом на основі ролей для використання і розподілу ключів
  • 16 одночасних з’єднань
  • Можливість надання мережевого доступу
  • Віддалене керування
  • Унікальний “Nano” форм-фактор,низьке споживання електроенергії
  • Пакування ключів за допомогою кода з постійною вагою (M of N), рез. копіювання та відновлення
  • Інтерфейс на основі YubiHSM KSP, PKCS#11,та рідних бібліотек
  • Аудит контролю розкриття

 


 

Можливості

 

Безпечні операції та сховище ключів

Створюйте, імпортуйте та зберігайте ключі, а потім проводьте криптографічні операції за допомогою YubiHSM, щоб запобігти крадіжці ключів під час роботи або бездіяльності. Це забезпечує захист як від логічних атак на сервер, таких як вразливість нульового дня або шкідливе ПЗ, так і від наслідків фізичного викрадення сервера або його жорсткого диску.

Розширені криптографічні можливості

YubiHSM 2підтримує хешування, пакування ключів, асиметричний підпис і дешифрування, включно з розширеним підписом, за допомогою ed25519. Атестація доступна для асиметричних ключових пар, згенерованих на пристрої.

Захищена сесія між HSM та додатком

Цілісність і приватність команд та даних, передаваних між HSM та додатками, захищається за допомогою обопільно авторизованого тунелю, із захистом цілісності і конфіденційності.

Керування доступом на основі ролей для використання і розподілу ключів

Всі криптографічні ключі та інші об’єкти всередині HSM належать до одного, або більше, доменів безпеки. Права доступу назначаються кожному ключеві автентифікації у момент створення, що дозволяє певному набору криптографічних або адміністративних операцій виконуватись відносно домену безпеки. Адміністратори назначають ключам права на основі іх цільового застосування, наприклад, додаток моніторингу подій вимагає можливості читати журнал аудиту всередині HSM, або Центру Реєстрації необхідно підписувати цифрові сертифікати кінцевих користувачів, або адміністратору домену безпеки належить створювати або видаляти криптографічні ключі.

16 одночасних з’єднань

Багато додатків можуть встановлювати сесії зв’язку з YubiHSM , для проведення криптографічних операцій. Сесії можуть бути зупинені автоматично, після тривалої бездіяльності, або продовжені, для підвищення швидкодії за рахунок вилучення часу затраченого на створення сесії.

Можливість надання мережевого доступу

Для підвищення гнучкості застосування, мережевий доступ до YubiHSM 2 може бути наданий додаткам, що знаходяться на інших серверах. Це може бути зокрема зручно у випадках, коли на одному сервері розміщено багато віртуальних машин.

Віддалене Керування

З легкістю керуйте багатьма застосованими модулями YubiHSM віддалено, у рамках цілого підприємства — усуньте складнощі, пов’язані з викликом персоналу та видатками на поїздки.

Унікальний “Nano” форм-фактор,низьке споживання електроенергії

Розроблений Yubico “Nano” форм-фактор дозволяє модулю безпеки знаходитись повністю всередині USB-A порту, таким чином запевнюючи компактність; без зайвих деталей, що виступають назовні задньої панелі серверу або переднього шасі. Споживає мінімум потужності — макс. 30 мА, що допомагає економити на видатках на електроенергію.

Пакування ключів за допомогою кода з постійною вагою (M of N), рез. копіювання та відновлення

Резервне копіювання та застосування криптографічних ключів на кількох модулях безпеки є критичними для архітектури безпеки підприємства; ризиковано надавати дані можливості одній людині. YubiHSM підтримує встановлення правил M із N для ключа пакування, що використовується для експорту ключів з ціллю їх подальшого відновлення або переміщення, таким чином, потрібно декілька адміністраторів для імпорту і дешифрування ключа, так щоб він міг бути використаний на додаткових модулях безпеки. На прикладі підприємництва: приватний кореневий ключ Центру Сертифікації Active Directory може бути запакований для 7-ми адміністраторів (M=7), і принаймні 4 із них (N=4) потрібні для імпорту та розпакування (дешифрування) ключа на новому модулі безпеки.

Інтерфейс на основі YubiHSM KSP, PKCS#11,та рідних бібліотек

Додатки з криптографічними можливостями можуть керувати YubiHSM через Yubico Key Storage Provider (KSP) для Microsoft CNG або промислового стандарту PKCS#11. Рідні бібліотеки для надання прямого доступу до можливостей пристрою доступні для Windows, Linux і macOS.

Аудит контролю розкриття

Всередині YubiHSM зберігається журнал всіх криптографічних і адміністративних операцій, які проводяться на пристрої, і цей журнал може бути експортовано, для подальшого моніторингу і складання звітів. Кожна подія (ряд) в журналі зв’язана хешем з попередньою подією (рядом) і підписана, отже, це дозволяє виявлення видалення або зміни подій.

Підтримка роботи з USB напряму

Нова можливість: YubiHSM 2 може працювати з апаратним шаром USB напряму, без необхідності у використанні проміжного HTTP-механізму. Ця можливість дозволяє розробниками спростити процес розробки рішень для віртуалізованих оточень.

Підтримка Операційних Систем

Windows, Linux, macOS

Операційна Система Версія Архітектура
Linux CentOS 6
CentOS 7
Debian 8
Debian 9
Fedora 25
Ubuntu 1404
Ubuntu 1604
amd64
Windows Windows 10
Windows Server 2012
Windows Server 2016
amd64
macOS 10.12 Sierra
10.13 High Sierra
amd64

Криптографічні Інтерфейси (API)

  • Microsoft CNG (KSP)
  • PKCS#11 (Windows, Linux, macOS)
  • Рідні бібліотеки YubiHSM Core (C, python)

Криптографічні Можливості

Хешування (використовується разом з HMAC та асиметричними підписами)

  • SHA-1, SHA-256, SHA-384, SHA-512

RSA

  • 2048, 3072, та 4096-бітні ключі
  • Підпис за допомогою PKCS#1v1.5 та PSS
  • Дешифрування за допомогою PKCS#1v1.5 та OAEP

Еліптична Криптографія (ECC)

  • Криві: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
  • Підпис: ECDSA (всі крім curve25519), EdDSA (тільки curve25519)
  • Дешифрування: ECDH (всі крім curve25519)

Пакування ключів

  • Імпорт та експорт за допомогою NIST AES-CCM Wrap при 128, 196, та 256 бітах

Випадкові числа

  • Вбудований в чіп генератор справжніх випадкових чисел (TRNG) із зерном NIST SP 800-90 AES 256 CTR_DRBG

Атестація

  • Згенеровані на пристрою асиметричні ключові пари можуть проходити перевірку за допомогою заводського сертифікованого ключа та сертифікату, або за допомогою Вашого особистого ключа, імпортованого до модулю безпеки

Швидкодія

Швидкодія залежить від цільового застосування. У прикладі приведена метрика YubiHSM 2, незастосованого у інших процесах:

  • RSA-2048-PKCS1-SHA256: ~139ms серед.
  • RSA-3072-PKCS1-SHA384: ~504ms серед.
  • RSA-4096-PKCS1-SHA512: ~852ms серед.
  • ECDSA-P256-SHA256: ~73ms серед.
  • ECDSA-P384-SHA384: ~120ms серед.
  • ECDSA-P521-SHA512: ~210ms серед.
  • EdDSA-25519-32Bytes: ~105ms серед.
  • EdDSA-25519-64Bytes: ~121ms серед.
  • EdDSA-25519-128Bytes: ~137ms серед.
  • EdDSA-25519-256Bytes: ~168ms серед.
  • EdDSA-25519-512Bytes: ~229ms серед.
  • EdDSA-25519-1024Bytes: ~353ms серед.
  • AES-(128|192|256)-CCM-Wrap: ~10ms серед.
  • HMAC-SHA-(1|256): ~4ms серед.
  • HMAC-SHA-(384|512): ~243ms серед.

Об’єм сховища

  • Всі дані зберігаються у вигляді об’єктів. 256 слотів для об’єктів, всього макс. 128KB (base 10)
  • Зберігає до 127 rsa2048, 93 rsa3072, 68 rsa4096 або 255 будь-яких кривих еліптичного типу, з урахуванням присутності одного ключа автентифікації
  • Типи об’єктів: Ключі автентифікації (використовуються для встановлення сесій); асиметричні приватні ключі; об’єкти двійкових даних, напр. x509 серт.; ключі пакування; ключі HMAC

Адміністративне Керування

  • Взаємна авторизація і захищений канал між додатком та апаратним модулем безпеки
  • M із N розпакування і відновлення ключа через YubiHSM Setup Tool

Набір Засобів Розробки (SDK)

SDK для YubiHSM 2 включає в себе:

  • Бібліотека YubiHSM Core (libyubihsm) для C, Python
  • Оболонка YubiHSM (конфігурування у командному рядку)
  • Модуль PKCS#1
  • YubiKey Key Storage Provider (KSP) для використання з продуктами Microsoft
  • YubiHSM Connector
  • YubiHSM Setup Tool
  • Документація та зразки коду

Хост-інтерфейс

  • Universal Serial Bus (USB) 1.x Full Speed (12Mbit/s) периферійній інтерфейс.

Фізичні характеристики

  • Форм-фактор: ‘nano’ розроблений для малогабаритних місць встановлення, таких як внутрішні USB порти в серверах
  • Розміри: 12мм x 13мм x 3.1мм
  • Вага: 1 грам
  • Споживання струму 20 мА серед., 30 мА макс.
  • USB-A штекер

Забезпечення дотримання екологічних норм

  • FCC
  • CE
  • WEEE
  • ROHS

Почніть вже сьогодні

Хакери ніколи не втрачають можливості, не втрачайте і Ви!

Будемо раді почути Вас

10 + 7 =