YubiHSM 2

Апаратний модуль безпеки призначений для захисту криптографічних ключів корпоративних IT-систем

Найбільш компактний апаратний модуль безпеки для серверів

Поліпшений захист криптографічних ключів

Безпечна генерація, зберігання та адміністрування цифрових ключів, підтримка Microsoft Active Directory

Прискорена інтеграція на безпечній апаратній основі

Інтеграція відбувається швидше за допомогою програмного комплексу з відкритим початковим кодом і підтримкою PKCS # 11

Спрощений процес впровадження для підприємств усіх розмірів

Завдяки компактному форм-фактору і доступній ціні, YubiHSM 2 може бути впроваджений в ІТ-інфраструктуру будь-якого підприємства

Підвищений рівень захисту криптографічних ключів

  • Відмовтеся від слабкого рівня захисту криптографічних ключів, запобігаючи їхньому випадковому копіюванню та розповсюдженню
  • Захистіться від атак шляхом безпечного зберігання криптографічних ключів і не допустіть можливість вилучення ваших секретних ключів.
  • Надійний апаратний захист забезпечує найвищу планку захисту конфіденційної інформації та даних.

Швидка інтеграція з апаратним захистом.

  • SDK з відкритим початковим кодом забезпечує швидку інтеграцію.
  • Дозволяє розробникам легко вбудувати підтримку апаратного надійного захисту в широкий спектр платформ, додатків і сервісів.
  • Дозволяє організаціям легко зробити функції YubiHSM 2 доступними через галузевий стандарт PKCS#11.

YubiHSM 2

YubiHSM 2 забезпечує відмінний захист приватних ключів від крадіжки та неправомірного використання.

  • Криптографічні ключі захищені апаратно протягом усього життєвого циклу.
  • Універсальний апаратний модуль захисту (HSM).
  • Доступний разом з SDK з відкритим початковим кодом.
  • USB-A

Спрощене налаштування для організацій усіх розмірів

  • Ультразручний і легко поміщається в USB роз’єм на комп’ютерах і серверах.
  • Забезпечує сучасні сценарії використання, такі як кріптовалютні біржі, шлюзи IoT і проксі-сервери, а також хмарні сервіси.
  • Захищає сертифікати Microsoft Active Directory.

Технічні характеристики

Криптографічні Інтерфейси (API)

  • Microsoft CNG (KSP)
  • PKCS#11 (Windows, Linux, macOS)
  • Рідні бібліотеки YubiHSM Core (C, python)

Криптографічні можливості

Хешування (застосовується з HMAC і асиметричними підписами)

  • SHA-1, SHA-256, SHA-384, SHA-512

RSA

  • 2048, 3072 та 4096-бітні ключі
  • Підпис за допомогою PKCS#1v1.5 та PSS
  • Дешифрація PKCS#1v1.5 та OAEP

Еліптична криптографія (ЕСС)

  • Криві: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
  • Підпис: ECDSA усі, крім curve25519), EdDSA (тільки curve25519)
  • Дешифрування: ECDH (всі, крім curve25519)

Упаковка ключів

  • Імпорт і експорт за допомогою NIST AES-CCM Wrap при 128, 196 і 256 бітах

Випадкові числа

  • Вбудований в чіп генератор реальних випадкових чисел (TRNG) з зерном NIST SP 800-90 AES 256 CTR_DRBG

Атестація

  • Згенеровані на пристрої асиметричні ключові пари можуть проходити перевірку за допомогою заводського сертифікованого ключа атестації та сертифіката, або за допомогою Вашого особистого ключа, імпортованого в модуль безпеки

Швидкість

Швидкість залежить від цільового використання. У прікладі приведена метрика YubiHSM 2, що не задіяна в інших процесах:

  • RSA-2048-PKCS1-SHA256: ~139ms серед.
  • RSA-3072-PKCS1-SHA384: ~504ms серед.
  • RSA-4096-PKCS1-SHA512: ~852ms серед.
  • ECDSA-P256-SHA256: ~73ms серед.
  • ECDSA-P384-SHA384: ~120ms серед.
  • ECDSA-P521-SHA512: ~210ms серед.
  • EdDSA-25519-32 Байт: ~105ms серед.
  • EdDSA-25519-64 Байт: ~121ms серед.
  • EdDSA-25519-128 Байт: ~137ms серед.
  • EdDSA-25519-256 Байт: ~168ms серед.
  • EdDSA-25519-256 Байт: ~168ms серед.
  • EdDSA-25519-1024 Байт: ~353ms серед.
  • AES-(128|192|256)-CCM-Wrap: ~10ms серед.
  • HMAC-SHA-(1|256): ~4ms серед.
  • HMAC-SHA-(384|512): ~243ms серед.

Об’єм сховища

  • Всі дані зберігаються у вигляді об’єктів. 256 слотів для об’єктів максимум 128KB (base 10)
  • Зберігає до 127 rsa2048, 93 rsa3072, 68 rsa4096 або 255 будь-яких кривих еліптичного типу, з урахуванням присутності одного ключа аутентифікації
  • Типи об’єктів: Ключі автентифікації (використовуються для установки сесій); асиметричні приватні ключі; об’єкти двійкових даних, напр. x.509 серт .; ключі упаковки; ключі HMAC

Адміністрування

  • Взаємна авторизація і захищений канал між додатком і модулем безпеки
  • (m) of (n) налаштування і відновлення ключа через YubiHSM Setup Tool

Набір засобів розробки (SDK)

SDK для YubiHSm 2 включає в себе:

  • Бібліотеку YubiHSM Core (libyubihsm) для C, Python
  • Оболонку YubiHSM (конфігурація в командному рядку)
  • Модуль PKCS#11
  • YubiKey Key Storage Provider (KSP) для використання з продуктами Microsoft
  • YubiHSM Connector
  • YubiHSM Setup Tool
  • Документацію та приклади коду

Хост-інтерфейс

  • (USB) 1.x Full Speed (12Mbit/s) периферійний інтерфейс.

Фізичні характеристики

  • Форм-фактор: ‘nano’, розроблений для малогабаритних місць установки, таких як внутрішні USB порти серверів
  • Розміри: 12мм х 13 мм х 3,1 мм
  • Вага: 1 грам
  • Споживання струму 20 мА серед., 30 мА макс.
  • USB-A штекер

Забезпечення дотримання екологічних норм

  • FCC
  • CE
  • WEEE
  • ROHS