Opis izdelka

Šifra izdelka: Y-201

Temelj zaupanja za strežnike in računalniške naprave

YubiHSM 2 je izjemen strojni varnostni modul za strežnike in IoT naprave, ki ponuja napredno zaščito digitalnih ključev po ceni, dostopni za vse organizacije. Omogoča najvišji nivo varnosti pri generiranju, shranjevanju in upravljanju digitalnih ključev. Podpira širok nabor okolij in aplikacij.

Varno shranjevanjevanje in upravljanje ključev

Ustvarite, uvozite in shranite ključe, nato pa izvedite kriptografske operacije na HSM, da ključe zaščitite pred krajo. Zaščita vključuje tako logične, kot tudi fizične napade na strežnik.

Izjemne kriptografske zmožnosti

YubiHSM 2 podpira zgoščevanje (hashing), šifriranje ključa (key wrapping), asimetrično podpisovanje in postopke dešifriranja, med drugim napredno podpisovanje z ed25519.

Varna seja med HSM in aplikacijo

Integriteta in zasebnost ukazov ter promet med HSM in aplikacijami so varovani s skupno potrjenim, zaupnim tunelom.

Nadzor dostopa do ključev preko dodeljevanja vlog

Vsi šifrirni ključi in ostale komponente v HSM pripadajo eni ali več varnostnim domenam. Pravice dostopa so dodeljene za vsak avtentikacijski ključ ob izdelavi, kar omogoča izvajanje določenih operacij v posamezni domeni. Administratorji dodelijo pravice do ključev glede na potrebe uporabe.

16 sočasnih povezav

Več aplikacij lahko hkrati vzpostavi seje z YubiHSM za izvajanje kriptografskih postopkov. Seje se lahko avtomatično prekinejo ob neuporabi ali pa jih pustimo delovati, da nam ob naslednji uporabi ni potrebno čakati na vzpostavitev.

Deljenje preko omrežja

YubiHSM 2 lahko s pomočjo aplikacij na strežnikih uporabljamo prek omrežja. Ta funkcionalnost je predvsem uporabna na fizičnih strežnikih, ki gostijo virtualke.

Oddaljeno upravljajanje

Enostavno lahko oddaljeno dostopate do več nameščenih YubiHSM v celotnem podjetju.

Unikatna "Nano" oblika, nizka poraba energije

Yubicova "Nano" oblika omogoča, da se YubiHSM 2 popolnoma skrije v USB-A priključek. Poleg tega porablja izredno malo energije (maksimalen tok je 30 mA).

"M od N" pravila za varnostno kopiranje ključev

Varnostno kopiranje in nameščanje šifrirnih ključev na več HSM-jev je pomembno pri varnostni arhitekturi v podjetju. Tvegano pa je, da to zmožnost dodelimo samo eni osebi. YubiHSM zato podpira nastavitev "M od N" pravil za šifriran ključ (wrap key), ki ga uporabimo za izvoz ključev za varnostno kopijo in prenos. Tako je potrebnih več administratorjev za uvažanje in dešifriranje ključa, da je potem uporaben na dodatnih HSM-jih.

Vmesniki preko YubiHSM KSP, PKCS#11 in izvornih knjižnic

Aplikacije za šifriranje lahko YubiHSM uporabljajo preko Yubico Key Storage Provider za Microsoft CNG ali industrijskega standarda PKCS#11. Na voljo so tudi izvorne knjižnice na Windows, Linux in macOS za bolj neposredno interakcijo z napravo.

Beleženje dogodkov

YubiHSM beleži vse dogodke upravljanja in šifrirnih operacij, ki se pojavijo na napravi. Dogodke lahko izvozimo, mogoče pa je tudi videti, če so bili zapisi spremenjeni ali izbrisani.

Tehnične podrobnosti

Podpora za operacijske sisteme (amd64 arhitektura)

• Linux: CentOS 6, CentOS 7, Debian 8, Debian 9, Fedora 25, Ubuntu 1404, Ubuntu 1604
• Windows: Windows 10, Windows Server 2012, Windows Server 2016
• macOS: 10.12 Sierra, 10.13 High Sierra

Kriptografski vmesniki

• Microsoft CNG (KSP)
• PKCS#11 (Windows, Linux, macOS)
• Native YubiHSM Core Libraries (C, python)

Kriptografske zmogljivosti

Zgoščevanje (hashing - uporaba s HMAC in asimetričnimi podpisi)

• SHA-1, SHA-256, SHA-384, SHA-512

RSA

• 2048, 3072 in 4096 bitni ključi
• Podpisovanje z uporabo PKCS#1v1.5 in PSS
• Dekripcija z uporabo PKCS#1v1.5 in OAEP

ECC (Elliptic Curve Cryptography)

• Krivulje: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
• Podpisovanje: ECDSA (vse razen curve25519), EdDSA (samo curve25519)
• Dekripcija: ECDH (vse razen curve25519)

Šifriran ključ (key wrap)

• Uvoz in izvoz z uporabo NIST AES-CCM Wrap pri 128, 196 in 256 bits

Naključne številke

• On-chip True Random Number Generator (TRNG) uporabljen za seed NIST SP 800-90 AES 256 CTR_DRBG

Overjanje

• Asimetrične ključe, ustvarjene na napravi, lahko overimo s certificiranim overitvenim ključem in certifikatom ali z uporabo svojega ključa in certifikata, uvoženega v HSM.
  
  

Zmogljivost

Zmogljivost je odvisna glede na uporabo. Software Development Kit vključuje orodja, ki jih lahko uporabite za dodatne meritve.

Meritve prostega YubiHSM 2:

• RSA-2048-PKCS1-SHA256: ~139ms avg
• RSA-3072-PKCS1-SHA384: ~504ms avg
• RSA-4096-PKCS1-SHA512: ~852ms avg
• ECDSA-P256-SHA256: ~73ms avg
• ECDSA-P384-SHA384: ~120ms avg
• ECDSA-P521-SHA512: ~210ms avg
• EdDSA-25519-32Bytes: ~105ms avg
• EdDSA-25519-64Bytes: ~121ms avg
• EdDSA-25519-128Bytes: ~137ms avg
• EdDSA-25519-256Bytes: ~168ms avg
• EdDSA-25519-512Bytes: ~229ms avg
• EdDSA-25519-1024Bytes: ~353ms avg
• AES-(128|192|256)-CCM-Wrap: ~10ms avg
• HMAC-SHA-(1|256): ~4ms avg
• HMAC-SHA-(384|512): ~243ms avg

Kapaciteta pomnilnika

• Vsi podatki so shranjeni kot objekti. 256 prostorov za objekte, največ 128KB.
• Shrani lahko do 127 rsa2048, 93 rsa3072, 68 rsa4096 ali 255 kateregakoli  ECC tipa, če je prisoten le en avtentikacijski ključ.
• Tipi objektov: Avtentikacijski ključi (za vzpostavitev seje), asimetrični zasebni ključi, binarni podatkovni objekti, npr. x509 certifikati, šifrirani ključi, HMAC ključi.

Upravljanje

• Skupna avtentikacija in varni tunel med aplikacijami in HSM
• "M od N" pravila preko YubiHSM Setup Tool

Software Development Kit

Software Development Kit je na voljo na Yubicovi spletni strani in vsebuje:

• YubiHSM Core Library (libyubihsm) for C, Python
• YubiHSM Shell (Configuration CLI)
• PKCS#11 Module
• YubiKey Key Storage Provider (KSP) za uporabo z Microsoftom
• YubiHSM Connector
• YubiHSM Setup Tool
• dokumentacijo in primere kode

Fižične lastnosti

• Velikost: 12 x 13 x 3,1 mm
• Teža: 1 g
• Tok: povprečno 20mA, 30mA največ
• USB-A priključek