Апаратний модуль безпеки Yubico, YubiHSM 2

YubiHSM 2 – це апаратний модуль, що надає чудовий захист від фішингу та атак шкідливого ПЗ, для кореневих ключів центрів сертифікації на серверах. Бувши економним і доступним, він може бути легко впроваджений на будь-якому підприємстві. Цей модуль забезпечує високий рівень безпеки для організацій, що працюють із сервісом сертифікації Microsoft Active Directory, надаючи впевнений підхід до генерації, зберігання та розподілу цифрових ключів. Його ергономічний «nano» формфактор міститься всередині USB порту, що позбавляє потреби в додатковому, об'ємистому устаткуванні, і дозволяє гнучко проводити перенесення та резервне копіювання ключів в офлайні.

Можливості YubiHSM 2 доступні за допомогою Key Storage Provider (KSP) від Yubico, для промислового стандарту PKCS#11, або Microsoft CNG, або через вбудовану підтримку у Windows, Linux та MacOS бібліотеках.

YubiHSM 2 може використовуватися як комплексний інструментарій для широкого кола відкритих (open source) і комерційних додатків. Найбільш широко застосовується для апаратної генерації та верифікації цифрових підписів.

Застосування

Підвищує захист криптографічних ключів

YubiHSM 2 надає надійні методи генерації, зберігання та розподілу цифрових ключів. Захист ключів здійснюється в безпечному устаткуванні на основі чіпа, окремо від операцій, які проводяться на сервері. Найчастіше застосовується для захисту кореневих ключів центрів сертифікації. Можливості YubiHSM 2 включають: генерацію, запис, підпис, дешифрацію, хешування і упакування ключів.

Проводить Апаратні Криптографічні Операції

YubiHSM 2 може використовуватися як комплексний інструментарій для операцій у малому обсязі в поєднанні з величезним набором відкритих та комерційних додатків, охоплюючи при цьому безліч продуктів та сервісів. Найчастіше застосовується для апаратної генерації та верифікації підписів.

Захищає Сертифікати Microsoft Active Directory

YubiHSM 2 може забезпечити ключі з апаратною підтримкою інфраструктури відкритих ключів на основі продуктів Microsoft. Використання YubiHSM 2 у службу сертифікатів Microsoft Active Directory захищає не тільки кореневі ключі центрів сертифікації, але також і всі служби підпису та верифікації, які їх використовують.

• Безпечні операції та сховище ключів.
• Розширені криптографічні можливості: RSA, ECC, ECDSA (ed25519), SHA-2, AES.
• Захищена сесія між HSM та додатком.
• Управління доступом на основі ролей для використання та розподілу ключів.
• 16 одночасних з'єднань.
• Можливість надання мережного доступу.
• Віддалене управління.
• Унікальний «Nano» формфактор, низьке енергоспоживання.
• Упакування ключів за допомогою коду з постійною вагою (M of N), резервне копіювання та відновлення.
• Інтерфейс на основі YubiHSM KSP, PKCS#11, та рідних бібліотек.
• Аудит контролю розтину.
• Можливості.
• Безпечні операції та сховище ключів.

Можливості

Безпечні операції та сховище ключів

Створюйте, імпортуйте та зберігайте ключі, а потім проводьте криптографічні операції за допомогою HSM обладнання, щоб запобігти крадіжкам ключів у моменти роботи або бездіяльності. Це забезпечує захист від логічних атак на сервер, таких як вразливість нульового дня або шкідливе ПЗ, так і від наслідків фізичної крадіжки сервера або його жорсткого диска.

Розширені криптографічні можливості

YubiHSM 2 підтримує хешування, упакування ключів, асиметричний підпис та дешифрацію, включаючи розширений підпис за допомогою ed25519. Атестація доступна для асиметричних ключових пар згенерованих на пристрої.

Захищена сесія між HSM та додатком

Цілісність та приватність команд і даних, що передаються між HSM та додатками, захищається за допомогою взаємно авторизованого тунелю, із захистом цілісності та конфіденційності.

Управління доступом на основі ролей для використання та розподілу ключів

Усі криптографічні ключі та інші об'єкти всередині HSM належать до одного або кількох доменів безпеки. Права доступу призначаються кожному ключу аутентифікації, у момент створення, що дозволяє певному набору криптографічних або адміністративних операцій виконуються щодо домену безпеки. Адміністратори призначають ключам права на основі їх цільового застосування, наприклад, додаток моніторингу подій вимагає можливість читати журнал аудиту всередині HSM, або Центру Реєстрації потрібно підписувати цифрові сертифікати кінцевих користувачів, або адміністратору домену безпеки слід створювати чи видаляти криптографічні ключі.

16 одночасних з'єднань

Багато програм можуть встановлювати сесії зв'язку з YubiHSM для проведення криптографічних операцій. Сесії можуть бути зупинені автоматично, після бездіяльності, або продовжені, для підвищення швидкодії коштом усунення часу, що йде на створення сесії.

Можливість надання мережного доступу

Для підвищення гнучкості впровадження, мережевий доступ до YubiHSM 2 може бути наданий програмам, що знаходяться на інших серверах. Це може бути особливо зручно у випадках, коли на одному фізичному сервері розміщено безліч віртуальних машин.

Віддалене управління

З легкістю керуйте безліччю залучених модулів YubiHSM віддалено, в рамках цілого підприємства — виключіть труднощі, пов'язані з викликом персоналу та витратами на поїздки.

Унікальний «Nano» формфактор, низьке енергоспоживання

Розроблений Yubico "Nano" формфактор дозволяє модулю безпеки знаходиться повністю всередині USB-A порту, таким чином забезпечуючи компактність; без зайвих деталей, що виступають назовні задньої панелі сервера чи переднього шасі. Споживає мінімум потужності – макс. 30 мА, що допомагає економити на витратах електроенергію.

Упакування ключів за допомогою коду з постійною вагою (M of N), рез. копіювання та відновлення

Резервне копіювання та залучення криптографічних ключів на кількох модулях безпеки є критичними для архітектури безпеки підприємства; ризиковано надавати дані можливості лише одній людині. YubiHSM підтримує встановлення правил M з N для ключа упаковки, що використовується для експортування ключів з метою їх подальшого відновлення або переміщення, таким чином, потрібно кілька адміністраторів для імпортування та дешифрації ключа, так щоб він міг використовуватися на додаткових модулях безпеки. На прикладі підприємства: приватний кореневий ключ Центру Сертифікації Active Directory може бути упакований для 7 адміністраторів (M=7), і принаймні 4 з них (N=4) потрібні для імпорту та розпакування (дешифрації) ключа на новому модулі безпеки.

Інтерфейс на основі YubiHSM KSP, PKCS#11, та системних бібліотек

Програми з криптографічними можливостями можуть керувати YubiHSM через Yubico Key Storage Provider (KSP) для Microsoft CNG або промислового стандарту PKCS#11. Рідні бібліотеки для прямого доступу до можливостей пристрою доступні для Windows, Linux і macOS.

Аудит контролю розтину

Усередині YubiHSM зберігається журнал усіх криптографічних та адміністративних операцій, які проводяться на пристрої, і цей журнал може бути експортований для подальшого моніторингу та складання звітів. Кожна подія (ряд) у журналі пов'язана хешем з попереднім рядом і підписана, отже, це дозволяє виявлення видалення чи зміни подій.

Підтримка роботи з USB безпосередньо

Нова можливість: YubiHSM 2 може працювати з апаратним шаром USB безпосередньо без необхідності в проміжному HTTP-механізмі. Ця можливість дозволяє розробникам спростити процес розробки рішень для віртуалізованих середовищ.