Yubico YubiHSM 2 je strojni varnostni modul (HSM - Hardware Security Module), ki ponuja napredno šifriranje, med drugim zgoščevanje ter simetrično in asimetrično šifriranje s ključi. Omogoča zaščito pomembnih aplikacij, identitet in drugih občutljivih podatkov v podjetjih, ki se ukvarjajo s certifikati, podatkovnimi bazami, podpisovanjem kode itd. Do YubiHSM 2 lahko dostopamo z aplikacijami preko Windows KSP, industrijskega standarda PKCS#11 ali izvornih OS knjižnic. Ultra-tanka oblika omogoča, da se ključek popolnoma skrije v USB-A vhod.
Temelj zaupanja za strežnike in računalniške naprave
YubiHSM 2 je izjemen strojni varnostni modul za strežnike in IoT naprave, ki ponuja napredno zaščito digitalnih ključev po ceni, dostopni za vse organizacije. Omogoča najvišji nivo varnosti pri generiranju, shranjevanju in upravljanju digitalnih ključev. Podpira širok nabor okolij in aplikacij.
Varno shranjevanjevanje in upravljanje ključev
Ustvarite, uvozite in shranite ključe, nato pa izvedite kriptografske operacije na HSM, da ključe zaščitite pred krajo. Zaščita vključuje tako logične, kot tudi fizične napade na strežnik.
Izjemne kriptografske zmožnosti
YubiHSM 2 podpira zgoščevanje (hashing), šifriranje ključa (key wrapping), asimetrično podpisovanje in postopke dešifriranja, med drugim napredno podpisovanje z ed25519.
Varna seja med HSM in aplikacijo
Integriteta in zasebnost ukazov ter promet med HSM in aplikacijami so varovani s skupno potrjenim, zaupnim tunelom.
Nadzor dostopa do ključev preko dodeljevanja vlog
Vsi šifrirni ključi in ostale komponente v HSM pripadajo eni ali več varnostnim domenam. Pravice dostopa so dodeljene za vsak avtentikacijski ključ ob izdelavi, kar omogoča izvajanje določenih operacij v posamezni domeni. Administratorji dodelijo pravice do ključev glede na potrebe uporabe.
16 sočasnih povezav
Več aplikacij lahko hkrati vzpostavi seje z YubiHSM za izvajanje kriptografskih postopkov. Seje se lahko avtomatično prekinejo ob neuporabi ali pa jih pustimo delovati, da nam ob naslednji uporabi ni potrebno čakati na vzpostavitev.
Deljenje preko omrežja
YubiHSM 2 lahko s pomočjo aplikacij na strežnikih uporabljamo prek omrežja. Ta funkcionalnost je predvsem uporabna na fizičnih strežnikih, ki gostijo virtualke.
Oddaljeno upravljajanje
Enostavno lahko oddaljeno dostopate do več nameščenih YubiHSM v celotnem podjetju.
Unikatna "Nano" oblika, nizka poraba energije
Yubicova "Nano" oblika omogoča, da se YubiHSM 2 popolnoma skrije v USB-A priključek. Poleg tega porablja izredno malo energije (maksimalen tok je 30 mA).
"M od N" pravila za varnostno kopiranje ključev
Varnostno kopiranje in nameščanje šifrirnih ključev na več HSM-jev je pomembno pri varnostni arhitekturi v podjetju. Tvegano pa je, da to zmožnost dodelimo samo eni osebi. YubiHSM zato podpira nastavitev "M od N" pravil za šifriran ključ (wrap key), ki ga uporabimo za izvoz ključev za varnostno kopijo in prenos. Tako je potrebnih več administratorjev za uvažanje in dešifriranje ključa, da je potem uporaben na dodatnih HSM-jih.
Vmesniki preko YubiHSM KSP, PKCS#11 in izvornih knjižnic
Aplikacije za šifriranje lahko YubiHSM uporabljajo preko Yubico Key Storage Provider za Microsoft CNG ali industrijskega standarda PKCS#11. Na voljo so tudi izvorne knjižnice na Windows, Linux in macOS za bolj neposredno interakcijo z napravo.
Beleženje dogodkov
YubiHSM beleži vse dogodke upravljanja in šifrirnih operacij, ki se pojavijo na napravi. Dogodke lahko izvozimo, mogoče pa je tudi videti, če so bili zapisi spremenjeni ali izbrisani.
Tehnične podrobnosti
Podpora za operacijske sisteme (amd64 arhitektura)
Linux: CentOS 6, CentOS 7, Debian 8, Debian 9, Fedora 25, Ubuntu 1404, Ubuntu 1604
Windows: Windows 10, Windows Server 2012, Windows Server 2016
macOS: 10.12 Sierra, 10.13 High Sierra
Kriptografski vmesniki
Microsoft CNG (KSP)
PKCS#11 (Windows, Linux, macOS)
Native YubiHSM Core Libraries (C, python)
Kriptografske zmogljivosti
Zgoščevanje (hashing - uporaba s HMAC in asimetričnimi podpisi)
SHA-1, SHA-256, SHA-384, SHA-512
RSA
2048, 3072 in 4096 bitni ključi
Podpisovanje z uporabo PKCS#1v1.5 in PSS
Dekripcija z uporabo PKCS#1v1.5 in OAEP
ECC (Elliptic Curve Cryptography)
Krivulje: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
Podpisovanje: ECDSA (vse razen curve25519), EdDSA (samo curve25519)
Dekripcija: ECDH (vse razen curve25519)
šifriran ključ (key wrap)
Uvoz in izvoz z uporabo NIST AES-CCM Wrap pri 128, 196 in 256 bits
Naključne številke
On-chip True Random Number Generator (TRNG) uporabljen za seed NIST SP 800-90 AES 256 CTR_DRBG
Overjanje
Asimetrične ključe, ustvarjene na napravi, lahko overimo s certificiranim overitvenim ključem in certifikatom ali z uporabo svojega ključa in certifikata, uvoženega v HSM.
Zmogljivost
Zmogljivost je odvisna glede na uporabo. Software Development Kit vključuje orodja, ki jih lahko uporabite za dodatne meritve.
Meritve prostega YubiHSM 2:
RSA-2048-PKCS1-SHA256: ~139ms avg
RSA-3072-PKCS1-SHA384: ~504ms avg
RSA-4096-PKCS1-SHA512: ~852ms avg
ECDSA-P256-SHA256: ~73ms avg
ECDSA-P384-SHA384: ~120ms avg
ECDSA-P521-SHA512: ~210ms avg
EdDSA-25519-32Bytes: ~105ms avg
EdDSA-25519-64Bytes: ~121ms avg
EdDSA-25519-128Bytes: ~137ms avg
EdDSA-25519-256Bytes: ~168ms avg
EdDSA-25519-512Bytes: ~229ms avg
EdDSA-25519-1024Bytes: ~353ms avg
AES-(128|192|256)-CCM-Wrap: ~10ms avg
HMAC-SHA-(1|256): ~4ms avg
HMAC-SHA-(384|512): ~243ms avg
Kapaciteta pomnilnika
Vsi podatki so shranjeni kot objekti. 256 prostorov za objekte, največ 128KB.
Shrani lahko do 127 rsa2048, 93 rsa3072, 68 rsa4096 ali 255 kateregakoli
ECC tipa, če je prisoten le en avtentikacijski ključ.
Tipi objektov: Avtentikacijski ključi (za vzpostavitev seje), asimetrični zasebni ključi, binarni podatkovni objekti, npr. x509 certifikati, šifrirani ključi, HMAC ključi.
Upravljanje
Skupna avtentikacija in varni tunel med aplikacijami in HSM
"M od N" pravila preko YubiHSM Setup Tool
Software Development Kit
Software Development Kit je na voljo na Yubicovi spletni strani in vsebuje:
YubiHSM Core Library (libyubihsm) for C, Python
YubiHSM Shell (Configuration CLI)
PKCS#11 Module
YubiKey Key Storage Provider (KSP) za uporabo z Microsoftom
YubiHSM Connector
YubiHSM Setup Tool
dokumentacijo in primere kode
Fižične lastnosti
Velikost: 12 x 13 x 3,1 mm
Teža: 1 g
Tok: povprečno 20mA, 30mA največ
USB-A priključek
