Açıklama
YubiHSM 2, CA kök anahtarlarının bilgisayar korsanları, kötü amaçlı yazılımlar ve kötü niyetli kişiler tarafından kopyalanmasını önlemek için süreç değiştiren bir donanım çözümüdür.
Kolay kurulum ile ekonomik maliyet ve verimli güvenlik arasında benzersiz bir ilişki sunarak her işletme için erişilebilir olmasını sağlar. Microsoft Active Directory Sertifika Hizmetlerini çalıştıran kuruluşlar için kriptografik dijital anahtar üretimi, depolaması ve yönetimi için en yüksek düzeyde güvenlik sunar.
YubiHSM 2’nin yeteneklerine, çok çeşitli açık kaynak ve ticari uygulamalar için açık kaynaklı bir yazılım ve kapsamlı bir yazılım geliştirme kiti (SDK) ile entegre edilerek erişilebilir. En yaygın kullanım durumu, donanım tabanlı dijital imzaların oluşturulması ve doğrulanmasıdır. Kripto para borsalarının ve IoT ağ geçitlerinin güvenliği gibi özel kullanım durumları, dünyanın en küçük HSM’sinin tüm modern altyapıları nasıl güvence altına alabileceğine dair yalnızca birkaç örnektir.
YubiHSM 2, tüm kriptografik anahtarları, güvenli anahtar oluşturma, tasdik, güvenli anahtar depolama, güvenli anahtar dağıtımı, güvenli anahtar yedeklemeden gerektiğinde anahtarın yok edilmesi sağlanana kadar tüm yaşam döngüleri boyunca korur.
Özellikler
Güvenli Anahtar Depolama ve İşlemler
Anahtarları oluşturun, içe aktarın ve depolayın, ardından beklemede veya kullanımda anahtar hırsızlığını önlemek için HSM donanımında tüm şifreleme işlemlerini gerçekleştirin. Bu, fiziksel sunucu veya sabit disk hırsızlığının yanı sıra, sıfırıncı gün istismarları veya kötü amaçlı yazılımlar gibi sunucuya yönelik mantıksal saldırılara karşı koruma sağlar.
Kapsamlı kriptografik yetenekler
YubiHSM 2, ed25519 kullanan karmaşık imza da dahil olmak üzere karma oluşturma, anahtar katlama, asimetrik imza ve şifre çözme işlevlerini destekler. Onay, cihazda oluşturulan asimetrik anahtar çiftleri için de desteklenir.
HSM ile uygulama arasında güvenli oturum
HSM ile uygulamalar arasında aktarılan komutların ve verilerin bütünlüğü ve gizliliği, karşılıklı olarak doğrulanan, bütünlük ve gizli bir tünel kullanılarak korunur.
Anahtar yönetimi ve kullanımı için rol tabanlı erişim kontrolleri
HSM’deki tüm kriptografik anahtarlar ve diğer nesneler bir veya daha fazla güvenlik etki alanına aittir. Güvenlik etki alanı başına belirli bir dizi şifreleme veya yönetim işlevinin gerçekleştirilmesine izin veren, oluşturma sırasında her bir kimlik doğrulama anahtarı için erişim hakları atanır. Yöneticiler, HSM’deki tüm denetim günlüklerini okuma yeteneğine ihtiyaç duyan bir olay izleme uygulaması veya dijital son kullanıcı sertifikaları veya etki alanı düzenlemesi (imzalaması) gereken bir Kayıt Yetkilisi gibi, kullanım durumuna göre kimlik doğrulama anahtarlarına izinler atar. şifreleme anahtarları oluşturması ve silmesi gereken güvenlik yöneticisi.
16 eşzamanlı bağlantı
Birden fazla uygulama, kriptografik işlemleri gerçekleştirmek için bir YubiHSM ile oturumlar oluşturabilir. Oturum oluşturma süresini ortadan kaldırarak performansı artırmak için oturumlar işlem yapılmadığında otomatik olarak sonlandırılabilir veya uzun ömürlü olabilir.
Ağ Paylaşımı
Uygulama esnekliğini artırmak için YubiHSM 2, diğer sunuculardaki uygulamalar tarafından ağ üzerinden kullanılabilir hale getirilebilir. Bu, birçok sanal makineyi barındıran fiziksel bir sunucuda özellikle avantajlı olabilir.
Uzaktan Yönetim
Tüm kuruluş için dağıtılan birden fazla YubiHSM’yi kolayca uzaktan yönetin – çağrı üzerine personel karmaşıklığını ve seyahat maliyetlerini ortadan kaldırın.
Düşük Güç Kullanımı için “Nano” Teknolojisi
Yubico’nun “Nano” teknolojisi, HSM’nin bir USB-A bağlantı noktasına tamamen takılmasına izin verir, böylece tamamen gizlenir – sunucunun önünden veya arkasından hiçbir dış parça çıkıntı yapmaz. Enerji bütçesinde maliyet tasarrufu sağlamak için 30mA’ya kadar minimum güç kullanır.
Yedekleme ve Geri Yükleme için M of N koruma anahtarı
Şifreleme anahtarlarını birden çok HSM’de yedeklemek ve dağıtmak, bir kurumsal güvenlik mimarisinin kritik bir bileşenidir, ancak bir kişinin bu yeteneğe sahip olmasına izin vermenin bir riski vardır. YubiHSM, yedekleme veya aktarım için anahtarları çıkarmak için kullanılan katlama anahtarında M of N kurallarının ayarlanmasını destekler, bu nedenle birçok yönetici, ek HSM’lerde kullanmak için bir anahtarın içe aktarılmasını ve şifresinin çözülmesini gerektirir. Örneğin, bir kuruluşta, Active Directory kök CA’sının özel anahtarı, 7 yönetici (N = 7) için anahtar sarmalı olabilir ve bunlardan en az 4’ünün (M = 4) anahtarı girmek ve açmak (şifresini çözmek) için gerekli olması gerekir. yeni HSM.
YubiHSM KSP, PKCS # 11 ve yerel kitaplıklar aracılığıyla arabirimler
Kripto özellikli uygulamalar, Microsoft CNG veya PKCS # 11 endüstri standardı için Yubico Anahtar Depolama Merkezi (KSP) aracılığıyla YubiHSM’den yararlanabilir. cihaz özellikleriyle daha doğrudan etkileşime izin verir.
Olay Günlüğü
YubiHSM, cihazda meydana gelen tüm yönetim ve şifreleme işlemi olaylarının bir günlük dosyasını dahili olarak saklar ve bu günlük dosyası, izleme ve raporlama için dışa aktarılabilir. Günlük dosyasındaki her olay (satır), herhangi bir olayın değiştirilip değiştirilmediğini veya silinip silinmediğini belirlemek için bir önceki satırla kilitlenir ve imzalanır.
Doğrudan USB desteği
YubiHSM 2, bir ara HTTP mekanizmasına ihtiyaç duymadan doğrudan USB seviyesinde “konuşabilir”. Bu, sanal ortamlar için çözümler geliştiren geliştiriciler için gelişmiş bir deneyim sağlar
Ürün Özellikleri
| linux | CentOS 7 Debian 8 Debian 9 Debian 10 Fedora 28 Fedora 30 Fedora 31 Ubuntu 1404 Ubuntu 1604 Ubuntu 1804 Ubuntu 1810 Ubuntu 1904 Ubuntu 1910 |
| pencereler | Windows 10 Windows Sunucu 2012 Windows Sunucu 2016 Windows Sunucu 2019 |
| Mac os işletim sistemi | 10.12 Sierra 10.13 Yüksek Sierra 10.14 Mojave |
| Şifreleme arabirimleri (API’ler) | Microsoft CNG (KSP) PKCS#11 (Windows, Linux, macOS) Yerel YubiHSM Çekirdek Kitaplıkları (C, python) |
| Kriptografik yetenekler | Hashing: SHA-1, SHA-256, SHA-384, SHA-512 |
| RSA | 2048, 3072 ve 4096 bit anahtarlar PKCS#1v1.5 kullanarak İmzalama ve PKCS#1v1.5 ve OAEP kullanarak PSS Şifre Çözme |
| Eliptik Eğri Kriptografisi (ECC) | – Eğriler: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519 – İmzalama: ECDSA (curve25519 hariç tümü), EdDSA (yalnızca curve25519) – Şifre çözme: ECDH (curve25519 hariç tümü) |
| Anahtar sarma | 128, 196 ve 256 bit’te NIST AES-CCM Wrap kullanarak içe ve dışa aktarma |
| Rastgele numaralar | NIST SP 800-90 AES 256 CTR_DRBG’yi tohumlamak için kullanılan çip üzerinde Gerçek Rastgele Sayı Üreticisi (TRNG) |
| Tasdik | Cihazda oluşturulan asimetrik anahtar çiftleri, fabrika onaylı bir tasdik anahtarı ve sertifikası veya HSM’ye aktarılan kendi anahtarınız ve sertifikanız kullanılarak onaylanabilir. |
| Verim | RSA-2048-PKCS1-SHA256: ~139ms ort. RSA-3072-PKCS1-SHA384: ~504ms ort. RSA-4096-PKCS1-SHA512: ~852ms ort. ECDSA-P256-SHA256: ~73ms ort. ECDSA-P384-SHA384: ~120 ms ort ECDSA-P521-SHA512: ~210ms ort EdDSA-25519-32Bayt: ~105ms ort EdDSA-25519-64Bayt: ~121ms ort EdDSA-25519-128Bayt: ~137ms ort EdDSA-25519-256Bayt : ~168ms ort EdDSA-25519- 25519 – 512 Bayt: ~229ms ortalama EdDSA-25519-1024Bayt: ~353ms ortalama AES-(128|192|256)-CCM-Sarma: ~10ms ortalama HMAC-SHA-(1|256): ~4ms ortalama HMAC-SHA- (384 |512): ~243ms ortalama |
| Depolama kapasitesi | – Nesne olarak saklanan tüm veriler. 256 nesne yuvası, maksimum 128 KB (10 tabanı) maksimum – Yalnızca bir kimlik doğrulama anahtarının mevcut olduğu varsayılarak, herhangi bir eliptik eğri türünden 127 rsa2048, 93 rsa3072, 68 rsa4096 veya 255’e kadar depolar – Nesne türleri: Kimlik doğrulama anahtarları (oluşturmak için kullanılır) oturumlar) ; asimetrik özel anahtarlar? opak ikili veri nesneleri, örneğin x509 sertifikaları; anahtarları sarmak mı? HMAC tuşları |
| Yönetmek | – Uygulamalar ve HSM arasında karşılıklı kimlik doğrulama ve güvenli kanal – YubiHSM Kurulum Aracı aracılığıyla M of N paket açma anahtarı geri yükleme |
| Yazılım geliştirme kiti | – C, Python için YubiHSM Çekirdek Kitaplığı (libyubihsm) – YubiHSM Kabuğu (Yapılandırma CLI’si) – PKCS#11 Modülü – Microsoft ile kullanım için YubiKey Anahtar Depolama Sağlayıcısı (KSP) – YubiHSM Connector – YubiHSM Kurulum Aracı – Dokümantasyon ve kod örnekleri |
| Fiziksel özellikler | Form faktörü: sunuculardaki dahili USB bağlantı noktaları gibi sınırlı alanlar için tasarlanmış “nano” Boyutlar: 12 mm x 13 mm x 3,1 mm Ağırlık: 1 gram Mevcut gereksinimler 20mA ort, 30mA maks USB-A fiş konnektörü |
| Güvenlik ve çevre uyumluluğu | FCC CE WEEE ROHS |
| Ana bilgisayar arayüzü | Evrensel Seri Veri Yolu (USB) 1.x Tam Hız (12Mbit/sn) Yığın arabirimli Çevre Birimi |
Değerlendirmeler
Henüz değerlendirme yapılmadı.