Hardware security module
Sieciowy Hardware Security Module jest rozwiązaniem przeznaczonym do zastosowań w układach jeden HSM – wiele aplikacji lub tam, gdzie zalecane jest odseparowanie HSM od reszty infrastruktury sprzętowej.
Utimaco HSM kryptograficznie zabezpiecza kluczowe dane serwerów i aplikacji. Obejmuje on oprogramowanie integracyjne, które obsługuje standardy branżowe (np. PKCS#11, Microsoft CSP/CNG, JCE, OpenSSL…), wykorzystywane w wielu wariantach wdrożeniowych.
Oferowane modele SE oraz CSe
Sieciowe HSM oferowane są dwóch klasach rozwiązań: jako modele SE oraz CSe o różnej mocy obliczeniowej. Najistotniejsza różnica między dwoma liniami Hardware Security Module jest związana z ich zastosowaniem.
Seria SE – dla maksymalnej wydajności
Modele SE tworzone są pod kątem rozwiązań, w których nadrzędną rolę odgrywa spełnienie stawianych wymagań wydajnościowych, przy zachowaniu podstawowych wymagań bezpieczeństwa. Odpowiadają one ogólnym wymaganiom przyjętym w branży, a także wymogom prawnym.
Seria CSe – dla najwyższych wymogów bezpieczeństwa
Modele CSe są modelami nowej generacji. Zostały zaprojektowane tak, by spełniając wysokie wymagania pod względem wydajności, w maksymalny sposób dbać o bezpieczeństwo danych powierzonych systemowi. Modele z serii CSe legitymują się szeroką gamą certyfikatów branżowych potwierdzających stosowane standardy bezpieczeństwa.
Niskie koszty operacyjne
- Najwyższa dostępna wydajność na rynku przy atrakcyjnej cenie
- Tanie modele startowe dla zastosowań z niższymi wymaganiami wydajnościowymi
- Szeroki zakres zdalnej administracji
- Efektywne zarządzanie kluczami i aktualizacje firmware poprzez zdalny dostęp
- Automatyzacja zdalnej diagnostyki za pomocą systemu zarządzania siecią używającego protokołu SNMP
- Silne uwierzytelnienie kartą
- Natychmiastowe wdrożenie i użycie: niewymagana instalacja sterowników
- Skalowalność
- Równoległy dostęp wielu aplikacji
- Standardowe interfejsy kryptograficzne: PKCS#11, JCE, Microtsoft CSP, OpenSSL
- Fizyczne odizolowany i niezależny system
- Niezależność od platformy
- Symulator HSM
- Pełnowartościowy symulator HSM może być wykorzystany do rozpoznania i integracji, do budowania środowisk testowych i do oceny nowych funkcjonalności
- Otwarta, modułowa koncepcja oprogramowania daje możliwość aktualizowania tego rozwiązania i dostosowania go do nowych lub zmodyfikowanych procedur nawet po wielu latach
Zarządzanie kluczami
- Zintegrowane funkcje do generowania kluczy, eksportu i importu, tworzenia bezpiecznej kopii zapasowej i przywracania
- Bezpieczna wewnętrzna pamięć dla tysięcy kluczy (nie tylko dla jednego MasterKey)
Cechy eksploatacyjne
- Szeroki zakres zdalnej administracji
- Efektywne zarządzanie kluczami i aktualizacja oprogramowania poprzez zdalny dostęp
- Automatyka diagnozy na odległość za pośrednictwem systemu zarządzania siecią przez protokół SNMP
| Seria SE | Seria CSe | |
|---|---|---|
| FIPS 140-2 Level 3 | ||
| FIPS 140-2 Level 4 for „physical security“ | ||
| Fizyczny generator liczb losowych zgodny z AIS 31 (klasy P2) | ||
| Deterministyczny generator liczb losowych zgodny z FIPS 186-3 lub AIS 20 (klasy K4) | ||
| Zabezpieczenie przed manipulacją | ||
| Wyczyszczenie pamięci w przypadku ataku mechanicznego, fizycznego lub chemicznego | ||
| Wyczyszczenie pamięci w przypadku przekroczenia zakresów temperaturowych | ||
| Wyczyszczenie pamięci w przypadku przekroczenia zakresów zasilania |
| _ | CSe10 | Se12 | Se52 | CSe100 | Se500 | Se1500 |
|---|---|---|---|---|---|---|
| RSA podpisy na sekundę – w trybie pojedynczej komendy | ||||||
| 2048 Bit | 17 | 16 | 75 | 90 | 580 | 780 |
| 4096 Bit | 2 | 2 | 11 | 14 | 90 | 150 |
| RSA podpisy na sekundę – w trybie wsadowym | ||||||
| 2048 Bit | 17 | 16 | 80 | 100 | 2100 | 3200 |
| 4096 Bit | 2 | 2 | 11 | 14 | 220 | 360 |
| Elliptic Curve podpisy na sekundę – w trybie pojedynczej komendy | ||||||
| 224 Bit | 140 | 140 | 880 | 950 | 1040 | 1400 |
| 384 Bit | 50 | 50 | 390 | 400 | 790 | 1100 |
| Elliptic Curve podpisy na sekundę – w trybie wsadowym | ||||||
| 224 Bit | 160 | 160 | 1300 | 1300 | 1700 | 3100 |
| 384 Bit | 50 | 54 | 490 | 500 | 1200 | 2200 |
Parametry fizyczne
Obie serie dostępne są jako urządzenia sieciowe (LAN) do stosowania w szafach rakowych (2 jednostki szafowe, z dwoma interfejsami ethernet). Są wyposażone w interfejs Serial RS232 (np. dla PIN padów lub drukarek). Dodatkowo, urządzenia Se-Series są wyposażone w złącze USB.
