FAQ

 

FAQ: Wszystko o Sprzętowym Module Bezpieczeństwa HSM

Być może mamy już gotową odpowiedź na Twoje pytanie! Sprawdź wpisy w dziale FAQ. Jeśli nie wyjaśnią wszystkich wątpliwości, skontaktuj się z nami.

Współczesna kryptografia gwarantuje bezpieczeństwo danych użytkowników, a sposób przetwarzania transakcji elektronicznych zapewnia zachowanie poufności, integralności i weryfikacji tożsamości (uwierzytelniania). Szyfrowane dane nie są jednak skutecznie chronione w przypadku niepełnego zabezpieczenia systemów komputerowych służących do przeprowadzania zaszyfrowanych transakcji lub do zapisywania na nich kluczy, które będą wykorzystywane w przyszłości. Rozwiązaniem tego problemu jest propozycja opracowana na podstawie technologii sprzętowych modułów zabezpieczających HSM (ang. hardware security module lub host security module). Spełnia ona wymogi wszystkich obowiązujących standardów bezpieczeństwa, w tym wytyczne amerykańskiej normy FIPS 140-2/3, co oznacza, że: Komputer musi być właściwie chroniony, tak aby znajdujące się na nim dane i programy były zabezpieczone przed manipulacją i dostępem osób nieuprawnionych. Komunikacja z arytmometrem modułu HSM musi odbywać się za pośrednictwem interfejsu w pełni chronionego przed atakami ze strony interfejsu aplikacji. Arytmometr modułu HSM musi mieć system zabezpieczający, który natychmiast rozpoznaje ataki z zewnątrz i aktywnie zapobiega ich skutkom, usuwając zapisane informacje, by zapewnić bezpieczeństwo danych. Odporny na ingerencję z zewnątrz sprzęt zawiera czujniki pozwalające na automatyczne rozpoznanie ataku oraz obwody umożliwiające podejmowanie odpowiednich środków ochronnych. Moduły Utimaco HSM obecnej generacji chronią przed:

  • ekstrakcją i analizą danych,
  • atakami wywołanymi zmianami temperatury,
  • atakami mechanicznymi,
  • atakami chemicznymi,
  • atakami za pomocą prądu elektrycznego.

Moduły HSM mogą służyć do przechowywania danych ważnych, poufnych oraz tych o dużym znaczeniu dla działalności biznesowej firmy (w tym certyfikatów, kluczy podpisu czy kluczy szyfrujących), do zabezpieczenia ich przed kradzieżą i manipulacją z zewnątrz oraz do przygotowania ich do dalszego wykorzystania. Klienci mogą w ten sposób tworzyć własną „strefę bezpieczeństwa”, czyli za pomocą modułów HSM w pełni chronić dane także w takich środowiskach, jak zewnętrzne centra obliczeniowe, w których nie kontrolują kryptograficznych tożsamości, kluczy bądź ich zastosowań ani też nie mają do nich bezpośredniego dostępu.

SDK to profesjonale środowisko programistyczne dla wszystkich modeli Utimaco HSM. Pozwala integratorom oraz użytkownikom końcowych na tworzenie własnych aplikacji/rozwiązań, np. algorytmów, niestandardowego procesu dystrybucji kluczy lub złożonych protokołów, które działają w środowisku odpornym na ingerencję z SafeGuard ® CryptoServer. Opracowanie własnego rozwiązania korzystającego z SDK jest w istocie implementacją własnego firmowego oprogramowania.
Nie. Czytniki dla HSM Utimaco mają dedykowane oprogramowanie. Są one wyąłącznie oferowane przez producenta i dystrybutora.
Nie. Gama produktów CE, których modele kartowe dostępne były na kartach PCI, była oferowana do końca 2013 r. Obecnie obie oferowane grupy produktów – SE oraaz CSe – dostępne są na platformie PCIe.
Tak, sieciowe Utimaco HSM wspierają zarówno tryb failover, jak i klastrowalność pomiędzy kilkoma jednostkami.
Urządzenia nowej generacji mają pojemność 8 MB – pozwala to na zapis do 6400 kluczy (RSA 2048). Starsze urządzenia są wyposażone w pamięć 4 MB, pomieści ona do 3000 kluczy (RSA 2048).
Zarówno wersja CSe, jak i SE może tworzyć wiele logicznych partycji i są one zarządzane zupełnie niezależnie. Do każdej partycji można ustanowić osobne uprawnienia.
Tak, wszystkie modele pozwalają na całkowicie zdalną administrację, bez konieczności asysty operatorów przy urządzeniu.
Jest to publikacja wydana przez The National Institute of Standards and Technology (NIST). Federal Information Processing Standards (FIPS) są ogłaszane publicznie i normalizacją wymagania do zastosowania w systemach komputerowych dla dostawców rozwiązań rządowych, gdy zamówienia powołują się na nie np. w umowie. Wiele wyliczeń wymagań FIPS są zmodyfikowanymi wersje standardów stosowanych w zastosowaniach technicznych, takich jak Amerykański Narodowy Instytut Standardów (ANSI), Instytut Inżynierów Elektryków i Elektroników (IEEE) i Międzynarodowej Organizacji Normalizacyjnej (ISO). Celem FIPS jest zapewnienie, że wszystkie agencje federalne rządu będą stosować się do tych samych wytycznych dotyczących bezpieczeństwa i komunikacji. FIPS 140-2 definiuje cztery poziomy zabezpieczeń, o nazwach „Level 1” do „Level 4”. FIPS 140-2 Level 1 – najniższa, nakłada bardzo ograniczone wymagania, luźno. Wszystkie składniki muszą być najwyższej jakości i jakiekolwiek braki w zabezpieczeniach są niedopuszczalne. FIPS 140-2 Level 2 – dodaje wymogi dotyczące dowodów na ingerencję fizyczną i uwierzytelnianie oparte na rolach. FIPS 140-2 Level 3 – dodaje wymagania dotyczące odporności na ingerencję fizyczną (utrudniając napastnikowi dostęp do poufnych informacji zawartych w module) oraz definiuje wymaganie na uwierzytelnianie oparte na tożsamości. Ponadto na fizyczne lub logiczne oddzielenie interfejsów przez które „krytyczne parametry bezpieczeństwa” można wprowadzić do oraz opuścić moduł i jego inne interfejsy. FIPS 140-2 Level 4 – nakłąda dla warstwy fizycznej bardziej rygorystyczne wymogi bezpieczeństwa, i wymaga odporności przed atakami fizycznymi.
Common Criteria for Information Technology Security Evaluation (w skrócie Common Criteria lub CC) jest międzynarodowym standardem (ISO / IEC 15408) do certyfikacji bezpieczeństwa komputerowego. Common Criteria daje pewność, że proces specyfikacji, wdrożenia i oceny produktu bezpieczeństwa został przeprowadzony w sposób rygorystyczny, w standardowy i powtarzalny sposób, na poziomie, który jest porónywalny do środowiska docelowego użytku.
W kryptografii, PKCS #11 jest jednym z rodziny norm zwanych Public-Key Cryptography Standards (PKCS). Pierwotnie opublikowany przez RSA Laboratories, który zdefiniował niezależny od platformy API dla tokenów kryptograficznych, takich jak moduły kryptograficzne (HSM ) i karty inteligentne (smart cards). PKCS # 11 jest często używane w odniesieniu do API wymiennie z nazwą standardu, który go definiuje. PKCS # 11 API określa najczęściej używane typy obiektów kryptograficznych dla kluczy RSA, (certyfikaty X.509, klucze DES / Triple DES, itp.) i wszystkie funkcje potrzebne do korzystania jak tworzenie, modyfikowanie i usuwania tych obiektów.
Nie. Liczba korzystających z HSM aplikacji nie jest powiązana z żadnymi opłatami.
Nie, nie ma dodatkowych opłat za zdalny interfejs administracyjny. Nie ma także opłat związanych z wykorzystywanym interfejsem, niezależnie od tego, czy korzystają Państwo z PKCS #11.
Tak, Modele CSe oferują najwyższy poziom zabezpieczeń (FIPS Level 4), natomiast SE przy realizacji standardu FIPS Level 3 oferuje znacznie większą wydajność. Szczegóły znajdą Państwo w rozdziale poświęconym specyfikacji.
Możliwe jest uruchomienie CryptoServerów w trybie failover. CryptoServery są konfigurowane w jedną logiczną grupę. Tylko jeden CryptoServer w tej grupie jest tak zwanym serwerem aktywnym, on właśnie obsługuje żądania systemów klienckich, pozostałe serwery działają w uśpieniu. Kiedy pierwszy serwer przestaje odpowiadać, kolejne zaczynają obsługiwać żądania aplikacji. Aby zapewnić działanie całej grupy na jednym materiale kryptograficznym, czyli z tymi samymi kluczami, konieczne jest użycie zewnętrznego repozytorium kluczy, gdzie będzie przechowywany wspólny materiał kryptograficzny. Klucze w zewnętrznym repozytorium są szyfrowane za pomocą dedykowanego klucza – Master Backup Key (MBK). Jest on przechowywany jest w samych modułach HSM, ten sam we wszystkich w grupie. Dzięki temu rozwiązaniu zewnętrzna baza oraz zapisany w niej materiał kryptograficzny pozostają bezpieczne.
Od chwili zamówienia to trzy do czterech tygodni. Moduły HSM są tworzone pod konkretne zamówienie.
Wciąż szukasz? Napisz do nas!

Pomyśl...

Poznaj jedno z najbardziej zaufanych rozwiązań w świecie zabezpieczeń. Poznaj sprzętowy moduł bezpieczeństwa Utimaco.
Wciąż szukasz? Napisz do nas!