Yubico YubiHSM 2 V2.2 (USB-A)

YubiHSM 2 er en smart hardwareløsning til at beskytte CA-rodnøgler mod at blive kopieret af angribere, malware og ondsindede insidere. Den tilbyder overlegen omkostningseffektiv sikkerhed og nem implementering, der gør den tilgængelig for alle organisationer.

Fordele

• Omkostningseffektiv HSM-løsning
• Enkel implementering
• Sikker nøgleopbevaring og drift

Det giver et højere sikkerhedsniveau til generering, opbevaring og administration af kryptografiske digitale nøgler til organisationer, der kører Microsoft Active Directory Certificate Services. YubiHSM 2-funktioner er tilgængelige ved at integrere med en åben kildekode og et omfattende softwareudviklingskit (SDK) til en bred vifte af open source og kommercielle applikationer. Den mest almindelige anvendelse er hardwarebaseret generering og verifikation af digitale sign . I yderligere nye brugssager såsom sikring af kryptovalutaudvekslinger og IoT-gateways er blot nogle få eksempler på, hvordan verdens mindste HSM kan sikre moderne infrastrukturer. YubiHSM 2 sikrer kryptografiske nøgler gennem hele deres livscyklus fra sikker nøglegenerering, attestation, sikker nøglelagring, sikker nøgledistribution, sikker nøglebackup hele vejen til sikker nøgledestruktion, når det er nødvendigt. Understøttelse af skærmlæser aktiveret.

Foreslået brug

Forbedre beskyttelsen af kryptografiske nøgler
YubiHSM 2 tilbyder et overbevisende alternativ til sikker nøglegenerering, opbevaring og administration. Nøglebeskyttelse udføres i den sikre hardware på chippen, der er isoleret fra operationer på serveren. De mest almindelige tilfælde involverer beskyttelse af certifikatmyndighedens (CA"s) private nøgle. YubiHSM 2-funktioner inkluderer: generere, skrive, sign , dekryptere, hash og ombryd nøgler.

Integrer hurtigt med hardwarebaseret stærk sikkerhed
YubiHSM 2 kan bruges som en omfattende kryptografisk værktøjskasse til lavvolumen operationer i kombination med et stort sæt open source og kommercielle applikationer, der spænder over mange forskellige produkter og tjenester. Den mest almindelige anvendelse involverer on-chip hardware-baseret behandling til sign og verifikation. YubiHSM 2 understøtter industristandarden PKCS#11.

Sikre Microsoft Active Directory Certificate Services
YubiHSM 2 kan levere hardware-understøttede nøgler til din Microsoft-baserede PKI-implementering. Implementering sign 2 til dine Microsoft Active Directory-certifikattjenester beskytter ikke kun CA-rodnøglerne, men beskytter også alle signerings- og bekræftelsestjenester, der bruger den private nøgle.

Sikker nøgleopbevaring og drift

• Omfattende kryptografiske funktioner: RSA, ECC, ECDSA (ed25519), SHA-2, AES
• Sikker session mellem HSM og applikation
• Rollebaserede adgangskontroller til nøglehåndtering og nøglebrug
• 16 samtidige forbindelser
• Alternativt netværksdeles
• Fjernstyring
• Unik " Nano " formfaktor, lavt strømforbrug
• M af N omslagsnøgle Sikkerhedskopier og gendan
• Interface via YubiHSM KSP, PKCS#11 og native biblioteker
• Indgrebssikker revisionslogning

Sikker cryptocurrency-udveksling
Med den eksplosive vækst på cryptocurrency-markedet følger også en stor mængde aktiver, der har brug for beskyttelse for at afbøde mod nye sikkerhedsrisici. YubiHSM 2 giver organisationer mulighed for stærkt at sikre kryptografiske nøgler og holde følsomme finansielle oplysninger sikre.

Beskyt Internet of Things (IoT) miljøer
Internet-of-Things (IoT) er et hastigt voksende område, hvor systemer ofte opererer i fjendtlige miljøer. Dette gør sikring af kryptografiske nøgler endnu vigtigere, da organisationer skal beskytte følsomme oplysninger. Kryptografiske nøgler bruges i mange IoT-applikationer med utilstrækkelig sikkerhed på plads. Udviklere, der bygger IoT-applikationer, kan hurtigt aktivere support til YubiHSM 2 for at beskytte kryptografiske nøgler og forhindre kritiske IoT-miljøer i at blive ofre for fjendtlige overtagelser.

Funktionelle detaljer

Sikker nøgleopbevaring og drift
Opret, importer og gem nøgler og udfør derefter alle kryptografiske operationer i HSM-hardwaren for at forhindre tyveri af nøgler i hvile eller i brug. Dette beskytter mod både logiske angreb mod serveren, såsom zero-day exploits eller malware, og fysisk tyveri af en server eller dens harddisk.

Omfattende kryptografiske muligheder
YubiHSM 2 understøtter hashing, nøgleindpakning, asymmetrisk signering og dekryptering, herunder avanceret sign med sign . Attestation understøttes også for asymmetriske nøglepar genereret på enheden.

Sikker session mellem HSM og applikation
Integriteten og integriteten af kommandoer og data transmitteret mellem HSM og applikationer er beskyttet ved hjælp af en gensidigt autentificeret, privatlivs- og fortrolighedsbeskyttet tunnel.

Rollebaserede adgangskontroller til nøglehåndtering og nøglebrug
Alle kryptografiske nøgler og andre objekter i HSM tilhører et eller flere sikkerhedsdomæner. Adgangsrettigheder tildeles for hver autentificeringsnøgle ved oprettelsen, hvilket gør det muligt at udføre et specifikt sæt kryptografiske eller administrationsoperationer pr. sikkerhedsdomæne. mini tildeler rettigheder til autentificeringsnøgler baseret på dens use case, såsom en hændelsesovervågningsapp, der har brug for evnen til at læse alle revisionslogfiler i HSM, eller en registreringsmyndighed, der skal udstede (sign æra) digitale slutbrugercertifikater, eller et domæne siger mini strator, der skal oprette og fjerne kryptonøgler.

16 samtidige forbindelser
Flere applikationer kan etablere sessioner med en YubiHSM for at udføre kryptografiske operationer. Sessioner kan afsluttes automatisk efter inaktivitet eller lang levetid for at forbedre ydeevnen ved at eliminere sessionsoprettelsestid.

Netværk kan deles
For at øge fleksibiliteten af implementeringer kan YubiHSM 2 gøres tilgængelig til brug over netværket af applikationer på andre servere. Dette kan være særligt fordelagtigt på en fysisk server, der hoster flere virtuelle maskiner.

Fjernstyring
Administrer nemt flere acer ade YubiHSM"er eksternt for hele virksomheden - eliminer kompleksiteten af vagtpersonale og rejseomkostninger.

Unik " Nano " formfaktor, lavt strømforbrug
Yubico " Nano " formfaktoren gør det muligt for HSM at blive sat helt ind i en USB-A port, så den er helt skjult - ingen eksterne dele stikker ud fra serverens bagside eller front chassis. Den bruger minimumstrøm, maks. mini , for at spare penge på dit energibudget.

M af N omslagsnøgle Sikkerhedskopier og gendan
Sikkerhedskopiering og distribution af kryptografiske nøgler på tværs af flere HSM"er er en kritisk komponent i en virksomhedssikkerhedsarkitektur, men det er en risiko at tillade en enkelt person at have denne evne. YubiHSM understøtter indstilling af M af N-regler for indpakningsnøglen, der bruges til at eksportere nøgler til backup eller transport, så flere ministratere skal importere og dekryptere en nøgle for at gøre den brugbar på yderligere mini . I en virksomhed kan Active Directory-rod-CA-privatnøglen f.eks. nøgles til 7 mini (N=7), og mindst 4 af dem (M=4) er nødvendige for at importere og udpakke (dekryptere) nøglen i ny HSM.

Interface via YubiHSM KSP, PKCS#11 og native biblioteker
Krypto-aktiverede applikationer kan udnytte YubiHSM via Yubico Key Storage Provider (KSP) til Microsofts CNG eller industristandard PKCS#11. Native biblioteker er også tilgængelige på Windows, Linux og macOS for at tillade mere direkte interaktion med enhedsfunktioner.

Indgrebssikker revisionslogning
YubiHSM gemmer internt en log over alle administrations- og kryptooperationshændelser, der forekommer i enheden, og den log kan eksporteres til overvågning og rapportering. Hver hændelse (linje) i loggen er hashkædet med den forrige linje og sign , så det er muligt at afgøre, om nogen hændelser er ændret eller slettet.

Direkte USB-understøttelse
YubiHSM 2 kan tale direkte til USB-laget uden behov for en mellemliggende HTTP-mekanisme. Dette giver en forbedret oplevelse for udviklere, der udvikler løsninger til virtualiserede miljøer.

specifikationer

Understøttelse af operativsystem: Windows, Linux, macOS

• Linux: CentOS 7, Debian 8, Debian 9, Debian 10, Fedora 28, Fedora 30, Fedora 31, Ubuntu 1404, Ubuntu 1604, Ubuntu 1804, Ubuntu 1810, Ubuntu 1904, Ubuntu 1910
• Windows: Windows 10, Windows Server 2012, Windows Server 2016, Windows Server 2019
• macOS: 10.12 Sierra, 10.13 High Sierra, 10.14 Mojave

Kryptografiske grænseflader (API"er):

• Microsoft CNG (KSP)
• PKCS#11 (Windows, Linux, macOS)
• Native YubiHSM Core Libraries (C, python)

Kryptografiske muligheder

• Hashing (bruges med sign og asymmetriske signaturer)
• SHA-1, SHA-256, SHA-384, SHA-512
• RSA
• 2048, 3072 og 4096 bit nøgler
• Signering med PKCS# Sign og PSS
• Dekryptering med PKCS#1v1.5 og OAEP
• Elliptic Curve Cryptography (ECC)
• Kurver: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
• Signering: ECDSA (alle undtagen Sign), EdDSA (kun curve25519)
• Dekryptering: ECDH (alle undtagen curve25519)
• Nøgledæksel
• Importer og eksporter med NIST AES-CCM Wrap i 128, 196 og 256 bit
• Tilfældige tal
• On-chip True Random Number Generator (TRNG) bruges til at se NIST SP 800-90 AES 256 CTR_DRBG

Certifikat

Asymmetriske nøglepar genereret på enheden kan attesteres med en fabrikscertificeret attestationsnøgle og certifikat eller med din egen nøgle og certifikat importeret til HSM

Ydeevne

Ydeevnen varierer afhængigt af brug. Det medfølgende softwareudviklingssæt indeholder ydeevneværktøjer, der kan bruges til yderligere målinger. Eksempel på målinger fra en ellers ubesat YubiHSM 2:

• RSA-2048-PKCS1-SHA256: ~139 ms gns
• RSA-3072-PKCS1-SHA384: ~504ms gns
• RSA-4096-PKCS1-SHA512: ~852ms gns
• ECDSA-P256-SHA256: ~73ms gns
• ECDSA-P384-SHA384: ~120ms gns
• ECDSA-P521-SHA512: ~210ms gns
• EdDSA-25519-32Bytes: ~105ms gns
• EdDSA-25519-64Bytes: ~121ms gns
• EdDSA-25519-128Bytes: ~137 ms gns
• EdDSA-25519-256Bytes: ~168 ms gns
• EdDSA-25519-512Bytes: ~229 ms gns
• EdDSA-25519-1024Bytes: ~353ms gns
• AES-(128|192|256)-CCM-Wrap: ~10ms gns.
• HMAC-SHA-(1|256): ~4ms gns
• HMAC-SHA-(384|512): ~243ms gns

Lagerkapacitet

• Alle data gemt som objekter. 256 objektpladser, 128KB (base 10) maks. i alt
• Gemmer op til 127 rsa2048, 93 rsa3072, 68 rsa4096 eller 255 af enhver elliptisk kurvetype, forudsat at der kun er én godkendelsesnøgle til stede
• Objekttyper: Godkendelsesnøgler (bruges til at etablere sessioner); asymmetriske private nøgler; uigennemsigtige binære dataobjekter, f.eks. x509 certifikat; vikle nøgler; HMAC nøgler

Ledelse

• Gensidig autentificering og sikker kanal mellem applikationer og HSM
• M of N unzip nøglegendannelse via YubiHSM Setup Tool

trust til softwareudvikling

• Et softwareudviklingssæt til YubiHSM 2 er tilgængeligt til download på Yubico .com og inkluderer:
• YubiHSM Core Library (libyubihsm) til C, Python
• YubiHSM Shell (Configuration CLI)
• PKCS#11-modul
• YubiKey Key Storage Provider (KSP) til brug med Microsoft
• YubiHSM stik
• YubiHSM installationsværktøj
• Dokumentation og kodeeksempler

Overholdelse af sikkerhed og miljø

• FCC
• CE
• WEEE
• ROHS

Værtsgrænseflade

Universal Serial Bus (USB) 1.x fuld hastighed (trust /s) tillid med bulk-interface.

Fysiske egenskaber

• Formfaktor: " nano " sign til trange pladser såsom interne USB-porte på servere
• Dimensioner: 12 mm x 13 mm x 3,1 mm
• Vægt: 1 gram
• Strømbehov 20mA gns., 30mA max
• USB-A stik

Passer til:	Mac eller pc med USB-A
Farve:	Sort
Forbindelse:	USB-A