Опис
YubiHSM 2 – це апаратний модуль, що забезпечує чудовий захист від фішингу та атак шкідливого ПО, для кореневих ключів центрів сертифікації на серверах. Будучи економним і доступним, він може бути з легкістю впроваджений на будь-якому підприємстві. Даний модуль забезпечує високий рівень безпеки для організацій, що працюють з сервісом сертифікації Microsoft Active Directory, надаючи впевнений підхід до генерації, зберігання і розподілу цифрових ключів. Його ергономічний «nano» форм-фактор міститься усередині USB порту, що позбавляє від потреби в додатковому, об’ємистому обладнанні, і дозволяє гнучко проводити перенесення та створення резервних копій ключів в офлайні.
Можливості YubiHSM 2 доступні за допомогою Key Storage Provider (KSP) від Yubico, для промислового стандарту PKCS # 11, або Microsoft CNG, або через вбудовану підтримку в Windows, Linux і macOS бібліотеках.
YubiHSM 2 може використовуватися в якості комплексного інструментарію для широкого кола відкритих (open source) і комерційних додатків. Найбільш широко застосовується для апаратної генерації та верифікації цифрових підписів.
Застосування
Підвищує захист криптографічних ключів
YubiHSM 2 надає надійні методи генерації, зберігання та розповсюдження цифрових ключів. Захист ключів проводиться в безпечному обладнанні на основі чіпа, окремо від операцій, що проводяться на сервері. Частіше за все застосовується для захисту кореневих ключів центрів сертифікації. Можливості YubiHSM 2 включають в себе: генерацію, запис, підпис, дешифрацию, хешування і упаковку ключів.
Проводить Апаратні Криптографічні Операції
YubiHSM 2 може використовуватися в якості комплексного інструментарію для операцій в малому обсязі в поєднанні з величезним набором відкритих і комерційних додатків, охоплюючи при цьому безліч продуктів і сервісів. Найчастіше застосовується для апаратної генерації та верифікації підписів.
Захищає Сертифікати Microsoft Active Directory
YubiHSM 2 може забезпечити ключі з апаратною підтримкою для інфраструктури відкритих ключів на основі продуктів Microsoft. Впровадження YubiHSM 2 в службу сертифікатів Microsoft Active Directory захищає не тільки кореневі ключі центрів сертифікації, а й всі служби підпису і верифікації, які їх використовують.
- Безпечні операції і сховище ключів
- Розширені криптографічні можливості: RSA, ECC, ECDSA (ed25519), SHA-2, AES
- Захищена сесія між HSM і додатком
- Управління доступом на основі ролей для використання і розподілу ключів
- 16 одночасних з’єднань
- Можливість надання мережевого доступу
- Віддалене управління
- Унікальний «Nano» форм-фактор, низьке енергоспоживання
- Упаковка ключів за допомогою коду з постійною вагою (M of N), рез. копіювання і відновлення
- Інтерфейс на основі YubiHSM KSP, PKCS # 11, і рідних бібліотек
- Аудит контролю зламу
Можливості
Безпечні операції і сховище ключів
Створюйте, імпортуйте і зберігайте ключі, потім проводьте криптографічні операції за допомогою HSM обладнання, щоб запобігти крадіжкам ключів в моменти роботи або бездіяльності. Це забезпечує захист як від логічних атак на сервер, таких як zero-day або шкідливі програми, так і від наслідків фізичної крадіжки сервера або його жорсткого диска.
Розширені криптографічні можливості
YubiHSM 2 підтримує хешування, упаковку ключів, асиметричний підпис і дешифрування, включаючи розширений підпис, за допомогою ed25519. Аттестація доступна для ассіметричних ключових пар, згенерованних на пристрої.
Захищена сесія між HSM і додатком
Цілісність і приватність команд і даних, що передаються між HSM і додатками, захищається за допомогою обопільно авторизованого тунелю, з захистом цілісності і конфіденційності.
Управління доступом на основі ролей для використання і розподілу ключів
Всі криптографічні ключі та інші об’єкти всередині HSM належать до одного або більше, доменів безпеки. Права доступу призначаються кожному ключу автентифікації, в момент створення, що дозволяє певному набору криптографічних або адміністративних операцій виконуватися щодо домену безпеки. Адміністратори призначають ключам права на основі їх цільового застосування, наприклад, додаток моніторингу подій вимагає можливість читати журнал аудиту всередині HSM, а Центру Реєстрації потрібно підписувати цифрові сертифікати кінцевих користувачів, а адміністратору домену безпеки слід створювати або видаляти криптографічні ключі.
16 одночасних з’єднань
Багато додатків можуть встановлювати сесії зв’язку з YubiHSM, для проведення криптографічних операцій. Сесії можуть бути зупинені автоматично, після бездіяльності, або продовжені, для підвищення швидкодії за рахунок усунення часу, що йде на створення сесії.
Можливість надання мережевого доступу
Для підвищення гнучкості впровадження, мережевий доступ до YubiHSM 2 може бути надано додаткам, що знаходяться на інших серверах. Це може бути особливо зручно у випадках, коли на одному фізичному сервері розміщено безліч віртуальних машин.
Віддалене управління
З легкістю керуйте безліччю задіяних модулів YubiHSM віддалено, в рамках цілого підприємства – виключіть труднощі, пов’язані з викликом персоналу і витратами на поїздки.
Унікальний «Nano» форм-фактор, низьке енергоспоживання
Розроблений Yubico «Nano» форм-фактор дозволяє модулю безпеки знаходитися повністю всередині USB-A порту, таким чином забезпечуючи компактність; без зайвих деталей, що виступають назовні задньої панелі сервера або переднього шасі. Споживає мінімум потужності – макс. 30 мА, що допомагає економити на витратах на електроенергію.
Упаковка ключів за допомогою коду з постійною вагою (M of N), рез. копіювання і відновлення
Створення резервних копій та задіяння криптографічних ключів на кількох модулях безпеки є критичними для архітектури безпеки підприємства; ризиковано надавати дані можливості тільки одній людині. YubiHSM підтримує установку формули (M of N) для ключа упаковки, що використовується для експортування ключів з метою їх подальшого відновлення або переміщення, таким чином, потрібно кілька адміністраторів для імпортування і дешифрування ключа, так щоб він міг використовуватися на додаткових модулях безпеки. На прикладі підприємства: приватний кореневий ключ Центру Сертифікації Active Directory може бути запрограмований для 7-ми адміністраторів (M = 7), і принаймні 4 з них (N = 4) потрібні для імпорту і розпакування (дешифрування) ключа на новому модулі безпеки .
Інтерфейс на основі YubiHSM KSP, PKCS # 11, і рідних бібліотек
Додатки з криптографічними можливостями можуть управляти YubiHSM через Yubico Key Storage Provider (KSP) для Microsoft CNG або промислового стандарту PKCS # 11. Рідні бібліотеки для надання прямого доступу до можливостей пристрою доступні для Windows, Linux і macOS.
Аудит контролю зламу
Усередині YubiHSM зберігається журнал усіх криптографічних та адміністративних операцій, які проводяться на пристрої, і даний журнал може бути експортований, для подальшого моніторингу та складання звітів. Кожна подія (ряд) в журналі пов’язана хешем з попередньою поруч і підписана, що дозволяє виявити, видалити або змінити подію.
Підтримка роботи з USB напряму
Нова можливість: YubiHSM 2 може працювати з апаратним шаром USB напряму, без необхідності в проміжному HTTP-механізмі. Дана можливість дозволяє розробникам спростити процес розробки рішень для віртуалізованих середовищ.