YubiHSM 2 FIPS er en smart maskinvareløsning for å beskytte CA-rotnøkler fra å bli kopiert av angripere, skadelig programvare og ondsinnede innsidere. Den tilbyr overlegen kostnadseffektiv sikkerhet og enkel distribusjon som gjør den tilgjengelig for alle organisasjoner.
Forbedre beskyttelsen av kryptografiske nøkler
YubiHSM 2 tilbyr et overbevisende alternativ for sikker nøkkelgenerering, lagring og administrasjon. Nøkkelbeskyttelse gjøres i den sikre maskinvaren på brikken isolert fra operasjoner på serveren. De vanligste brukstilfellene involverer beskyttelse av sertifiseringsmyndighetens (CAs) private nøkkel. YubiHSM 2-funksjoner inkluderer: generere, skrive, sign , dekryptere, hash og bryte nøkler.
Integrer raskt med maskinvarebasert sterk sikkerhet
YubiHSM 2 kan brukes som en omfattende kryptografisk verktøykasse for lavvolumoperasjoner i kombinasjon med et stort sett med åpen kildekode og kommersielle applikasjoner som spenner over mange forskjellige produkter og tjenester. Den vanligste brukssaken involverer maskinvarebasert prosessering på brikken for sign og verifisering. YubiHSM 2 støtter industristandarden PKCS#11.
Sikre Microsoft Active Directory-sertifikattjenester
YubiHSM 2 kan gi maskinvarestøttede nøkler for din Microsoft-baserte PKI-implementering. Å distribuere sign 2 til dine Microsoft Active Directory-sertifikattjenester beskytter ikke bare CA-rotnøklene, men beskytter også alle signerings- og verifiseringstjenester som bruker den private nøkkelen.
Sikker oppbevaring og drift av nøkkel
Sikker utveksling av kryptovaluta
Med den eksplosive veksten av kryptovalutamarkedet kommer også et stort volum av eiendeler som trenger beskyttelse for å redusere mot nye sikkerhetsrisikoer. YubiHSM 2 lar organisasjoner sterkt sikre kryptografiske nøkler og holde sensitiv finansiell informasjon trygg.
Beskytt Internet of Things (IoT) miljøer
Internet-of-Things (IoT) er et raskt voksende felt der systemer ofte opererer i fiendtlige miljøer. Dette gjør sikring av kryptografiske nøkler enda viktigere ettersom organisasjoner trenger å beskytte sensitiv informasjon. Kryptografiske nøkler brukes i mange IoT-applikasjoner, med utilstrekkelig sikkerhet på plass. Utviklere som bygger IoT-applikasjoner kan raskt aktivere støtte for YubiHSM 2 for å beskytte kryptografiske nøkler og forhindre at kritiske IoT-miljøer blir offer for fiendtlige overtakelser.
FIPS 140-2
YubiKey HSM 2 FIPS er FIPS 140-2-validert (nivå 3) og oppfyller høyeste autentiseringsnivå 3 (AAL3) i NIST SP800-63B-veiledningen.
Sikker oppbevaring og drift av nøkkel
Opprett, importer og lagre nøkler og utfør deretter alle kryptografiske operasjoner i HSM-maskinvaren for å forhindre tyveri av nøkler i hvile eller i bruk. Dette beskytter mot både logiske angrep mot serveren, for eksempel nulldagers utnyttelser eller skadelig programvare, og fysisk tyveri av en server eller dens harddisk.
Omfattende kryptografiske muligheter
YubiHSM 2 støtter hashing, nøkkelinnpakning, asymmetrisk signering og dekrypteringsoperasjoner inkludert avansert sign med sign . Attestasjon støttes også for asymmetriske nøkkelpar generert på enheten.
Sikker økt mellom HSM og applikasjon
Integriteten og integriteten til kommandoer og data som overføres mellom HSM og applikasjoner, er beskyttet ved hjelp av en gjensidig autentisert, personvern- og konfidensialitetsbeskyttet tunnel.
Rollebaserte tilgangskontroller for nøkkelhåndtering og nøkkelbruk
Alle kryptografiske nøkler og andre objekter i HSM tilhører ett eller flere sikkerhetsdomener. Tilgangsrettigheter tildeles for hver autentiseringsnøkkel ved opprettelse, slik at et spesifikt sett med kryptografiske eller administrasjonsoperasjoner kan utføres per sikkerhetsdomene. mini tildeler rettigheter til autentiseringsnøkler basert på brukstilfellet, for eksempel en hendelsesovervåkingsapp som trenger muligheten til å lese alle revisjonslogger i HSM, eller en registreringsmyndighet som trenger å utstede (sign æra) digitale sluttbrukersertifikater, eller et domene si mini strator som må opprette og ta fjerne kryptonøkler.
16 samtidige tilkoblinger
Flere applikasjoner kan etablere økter med en YubiHSM for å utføre kryptografiske operasjoner. Økter kan avsluttes automatisk etter inaktivitet eller varige for å forbedre ytelsen ved å eliminere tid for øktoppretting.
Kan deles via nettverk
For å øke fleksibiliteten til distribusjoner, kan YubiHSM 2 gjøres tilgjengelig for bruk over nettverket av applikasjoner på andre servere. Dette kan være spesielt gunstig på en fysisk server som er vert for flere virtuelle maskiner.
Fjernstyring
Administrer enkelt flere acer ade YubiHSM-er eksternt for hele selskapet - eliminer kompleksiteten til vaktpersonale og reisekostnader.
Unik " Nano " formfaktor, lavt strømforbruk
Yubico " Nano "-formfaktoren gjør at HSM kan settes helt inn i en USB-A-port slik at den er helt skjult - ingen eksterne deler stikker ut fra baksiden eller frontchassiset på serveren. Den bruker minimum strøm, maks mini , for kostnadsbesparelser på energibudsjettet ditt.
M av N omslagsnøkkel Sikkerhetskopier og gjenopprett
Sikkerhetskopiering og distribusjon av kryptografiske nøkler på tvers av flere HSM-er er en kritisk komponent i en bedriftssikkerhetsarkitektur, men det er en risiko å tillate en enkelt person å ha den muligheten. mini støtter innstilling av M av N-regler for innpakningsnøkkelen som brukes til å eksportere nøkler for sikkerhetskopiering eller transport, slik at flere ministratere må importere og dekryptere en nøkkel for å gjøre den brukbar på flere HSM-er. For eksempel, i en bedrift, kan Active Directory-rot-CA-privatnøkkelen være nøkkelen for 7 mini (N=7) og minst 4 av dem (M=4) kreves for å importere og pakke ut (dekryptere) nøkkelen i nye HSM.
Grensesnitt via YubiHSM KSP, PKCS#11 og innfødte biblioteker
Kryptoaktiverte applikasjoner kan utnytte YubiHSM via Yubico Key Storage Provider (KSP) for Microsofts CNG eller industristandard PKCS#11. Innfødte biblioteker er også tilgjengelige på Windows, Linux og macOS for å tillate mer direkte interaksjon med enhetsfunksjoner.
Inngrepssikker revisjonslogging
YubiHSM lagrer internt en logg over alle administrasjons- og kryptooperasjonshendelser som oppstår i enheten, og den loggen kan eksporteres for overvåking og rapportering. Hver hendelse (linje) i loggen er hash-kjedet med forrige linje og sign slik at det er mulig å fastslå om noen hendelser endres eller slettes.
Direkte USB-støtte
YubiHSM 2 kan snakke direkte til USB-laget uten behov for en mellomliggende HTTP-mekanisme. Dette gir en forbedret opplevelse for utviklere som utvikler løsninger for virtualiserte miljøer.
fordeler
- FIPS 140-2 validert (nivå 3)
- Kostnadseffektiv HSM-løsning
- Enkel implementering
- Sikker oppbevaring og drift av nøkkel
Anbefalt bruk
Forbedre beskyttelsen av kryptografiske nøkler
YubiHSM 2 tilbyr et overbevisende alternativ for sikker nøkkelgenerering, lagring og administrasjon. Nøkkelbeskyttelse gjøres i den sikre maskinvaren på brikken isolert fra operasjoner på serveren. De vanligste brukstilfellene involverer beskyttelse av sertifiseringsmyndighetens (CAs) private nøkkel. YubiHSM 2-funksjoner inkluderer: generere, skrive, sign , dekryptere, hash og bryte nøkler.
Integrer raskt med maskinvarebasert sterk sikkerhet
YubiHSM 2 kan brukes som en omfattende kryptografisk verktøykasse for lavvolumoperasjoner i kombinasjon med et stort sett med åpen kildekode og kommersielle applikasjoner som spenner over mange forskjellige produkter og tjenester. Den vanligste brukssaken involverer maskinvarebasert prosessering på brikken for sign og verifisering. YubiHSM 2 støtter industristandarden PKCS#11.
Sikre Microsoft Active Directory-sertifikattjenester
YubiHSM 2 kan gi maskinvarestøttede nøkler for din Microsoft-baserte PKI-implementering. Å distribuere sign 2 til dine Microsoft Active Directory-sertifikattjenester beskytter ikke bare CA-rotnøklene, men beskytter også alle signerings- og verifiseringstjenester som bruker den private nøkkelen.
Sikker oppbevaring og drift av nøkkel
- FIPS 140-2 validert (nivå 3)
- Omfattende kryptografiske funksjoner: RSA, ECC, ECDSA (ed25519), SHA-2, AES
- Sikker økt mellom HSM og applikasjon
- Rollebaserte tilgangskontroller for nøkkelhåndtering og nøkkelbruk
- 16 samtidige tilkoblinger
- Alternativt nettverksdeling
- Fjernstyring
- Unik " Nano " formfaktor, lavt strømforbruk
- M av N omslagsnøkkel Sikkerhetskopier og gjenopprett
- Grensesnitt via YubiHSM KSP, PKCS#11 og innfødte biblioteker
- Inngrepssikker revisjonslogging
Sikker utveksling av kryptovaluta
Med den eksplosive veksten av kryptovalutamarkedet kommer også et stort volum av eiendeler som trenger beskyttelse for å redusere mot nye sikkerhetsrisikoer. YubiHSM 2 lar organisasjoner sterkt sikre kryptografiske nøkler og holde sensitiv finansiell informasjon trygg.
Beskytt Internet of Things (IoT) miljøer
Internet-of-Things (IoT) er et raskt voksende felt der systemer ofte opererer i fiendtlige miljøer. Dette gjør sikring av kryptografiske nøkler enda viktigere ettersom organisasjoner trenger å beskytte sensitiv informasjon. Kryptografiske nøkler brukes i mange IoT-applikasjoner, med utilstrekkelig sikkerhet på plass. Utviklere som bygger IoT-applikasjoner kan raskt aktivere støtte for YubiHSM 2 for å beskytte kryptografiske nøkler og forhindre at kritiske IoT-miljøer blir offer for fiendtlige overtakelser.
Funksjonelle detaljer
FIPS 140-2
YubiKey HSM 2 FIPS er FIPS 140-2-validert (nivå 3) og oppfyller høyeste autentiseringsnivå 3 (AAL3) i NIST SP800-63B-veiledningen.
Sikker oppbevaring og drift av nøkkel
Opprett, importer og lagre nøkler og utfør deretter alle kryptografiske operasjoner i HSM-maskinvaren for å forhindre tyveri av nøkler i hvile eller i bruk. Dette beskytter mot både logiske angrep mot serveren, for eksempel nulldagers utnyttelser eller skadelig programvare, og fysisk tyveri av en server eller dens harddisk.
Omfattende kryptografiske muligheter
YubiHSM 2 støtter hashing, nøkkelinnpakning, asymmetrisk signering og dekrypteringsoperasjoner inkludert avansert sign med sign . Attestasjon støttes også for asymmetriske nøkkelpar generert på enheten.
Sikker økt mellom HSM og applikasjon
Integriteten og integriteten til kommandoer og data som overføres mellom HSM og applikasjoner, er beskyttet ved hjelp av en gjensidig autentisert, personvern- og konfidensialitetsbeskyttet tunnel.
Rollebaserte tilgangskontroller for nøkkelhåndtering og nøkkelbruk
Alle kryptografiske nøkler og andre objekter i HSM tilhører ett eller flere sikkerhetsdomener. Tilgangsrettigheter tildeles for hver autentiseringsnøkkel ved opprettelse, slik at et spesifikt sett med kryptografiske eller administrasjonsoperasjoner kan utføres per sikkerhetsdomene. mini tildeler rettigheter til autentiseringsnøkler basert på brukstilfellet, for eksempel en hendelsesovervåkingsapp som trenger muligheten til å lese alle revisjonslogger i HSM, eller en registreringsmyndighet som trenger å utstede (sign æra) digitale sluttbrukersertifikater, eller et domene si mini strator som må opprette og ta fjerne kryptonøkler.
16 samtidige tilkoblinger
Flere applikasjoner kan etablere økter med en YubiHSM for å utføre kryptografiske operasjoner. Økter kan avsluttes automatisk etter inaktivitet eller varige for å forbedre ytelsen ved å eliminere tid for øktoppretting.
Kan deles via nettverk
For å øke fleksibiliteten til distribusjoner, kan YubiHSM 2 gjøres tilgjengelig for bruk over nettverket av applikasjoner på andre servere. Dette kan være spesielt gunstig på en fysisk server som er vert for flere virtuelle maskiner.
Fjernstyring
Administrer enkelt flere acer ade YubiHSM-er eksternt for hele selskapet - eliminer kompleksiteten til vaktpersonale og reisekostnader.
Unik " Nano " formfaktor, lavt strømforbruk
Yubico " Nano "-formfaktoren gjør at HSM kan settes helt inn i en USB-A-port slik at den er helt skjult - ingen eksterne deler stikker ut fra baksiden eller frontchassiset på serveren. Den bruker minimum strøm, maks mini , for kostnadsbesparelser på energibudsjettet ditt.
M av N omslagsnøkkel Sikkerhetskopier og gjenopprett
Sikkerhetskopiering og distribusjon av kryptografiske nøkler på tvers av flere HSM-er er en kritisk komponent i en bedriftssikkerhetsarkitektur, men det er en risiko å tillate en enkelt person å ha den muligheten. mini støtter innstilling av M av N-regler for innpakningsnøkkelen som brukes til å eksportere nøkler for sikkerhetskopiering eller transport, slik at flere ministratere må importere og dekryptere en nøkkel for å gjøre den brukbar på flere HSM-er. For eksempel, i en bedrift, kan Active Directory-rot-CA-privatnøkkelen være nøkkelen for 7 mini (N=7) og minst 4 av dem (M=4) kreves for å importere og pakke ut (dekryptere) nøkkelen i nye HSM.
Grensesnitt via YubiHSM KSP, PKCS#11 og innfødte biblioteker
Kryptoaktiverte applikasjoner kan utnytte YubiHSM via Yubico Key Storage Provider (KSP) for Microsofts CNG eller industristandard PKCS#11. Innfødte biblioteker er også tilgjengelige på Windows, Linux og macOS for å tillate mer direkte interaksjon med enhetsfunksjoner.
Inngrepssikker revisjonslogging
YubiHSM lagrer internt en logg over alle administrasjons- og kryptooperasjonshendelser som oppstår i enheten, og den loggen kan eksporteres for overvåking og rapportering. Hver hendelse (linje) i loggen er hash-kjedet med forrige linje og sign slik at det er mulig å fastslå om noen hendelser endres eller slettes.
Direkte USB-støtte
YubiHSM 2 kan snakke direkte til USB-laget uten behov for en mellomliggende HTTP-mekanisme. Dette gir en forbedret opplevelse for utviklere som utvikler løsninger for virtualiserte miljøer.
Spesifikasjoner
Operativsystemstøtte: Windows, Linux, macOS
- Linux: CentOS 7, Debian 8, Debian 9, Debian 10, Fedora 28, Fedora 30, Fedora 31, Ubuntu 1404, Ubuntu 1604, Ubuntu 1804, Ubuntu 1810, Ubuntu 1904, Ubuntu 1910
- Windows: Windows 10, Windows Server 2012, Windows Server 2016, Windows Server 2019
- macOS: 10.12 Sierra, 10.13 High Sierra, 10.14 Mojave
Kryptografiske grensesnitt (API):
- Microsoft CNG (KSP)
- PKCS#11 (Windows, Linux, macOS)
- Innfødte YubiHSM Core Libraries (C, python)
Kryptografiske muligheter
- Hashing (brukes med sign og asymmetriske signaturer)
- SHA-1, SHA-256, SHA-384, SHA-512
- RSA
- 2048, 3072 og 4096 bits nøkler
- Signering med PKCS# Sign og PSS
- Dekryptering med PKCS#1v1.5 og OAEP
- Elliptic Curve Cryptography (ECC)
- Kurver: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
- Signering: ECDSA (alle unntatt Sign), EdDSA (kun curve25519)
- Dekryptering: ECDH (alle unntatt curve25519)
- Nøkkeldeksel
- Importer og eksporter med NIST AES-CCM Wrap i 128, 196 og 256 bits
- Tilfeldige tall
- On-chip True Random Number Generator (TRNG) brukes til å se NIST SP 800-90 AES 256 CTR_DRBG
Sertifikat
Asymmetriske nøkkelpar generert på enheten kan attesteres med en fabrikksertifisert attestasjonsnøkkel og sertifikat, eller med din egen nøkkel og sertifikat importert til HSMOpptreden
Ytelsen varierer avhengig av bruk. Det medfølgende programvareutviklingssettet inneholder ytelsesverktøy som kan brukes til ytterligere målinger. Eksempel på beregninger fra en ellers ubesatt YubiHSM 2:- RSA-2048-PKCS1-SHA256: ~139 ms gjennomsnitt
- RSA-3072-PKCS1-SHA384: ~504ms gj.sn
- RSA-4096-PKCS1-SHA512: ~852 ms gjennomsnitt
- ECDSA-P256-SHA256: ~73ms gj.sn
- ECDSA-P384-SHA384: ~120 ms gjennomsnitt
- ECDSA-P521-SHA512: ~210 ms gjennomsnitt
- EdDSA-25519-32Bytes: ~105ms gjennomsnitt
- EdDSA-25519-64Bytes: ~121ms gjennomsnitt
- EdDSA-25519-128Bytes: ~137 ms gjennomsnitt
- EdDSA-25519-256Bytes: ~168 ms gjennomsnitt
- EdDSA-25519-512Bytes: ~229 ms gjennomsnitt
- EdDSA-25519-1024Bytes: ~353ms gjennomsnitt
- AES-(128|192|256)-CCM-Wrap: ~10ms gjennomsnitt
- HMAC-SHA-(1|256): ~4ms gjennomsnitt
- HMAC-SHA-(384|512): ~243ms gj.sn
Lagringskapasitet
- Alle data lagret som objekter. 256 objektspor, maks 128KB (base 10) totalt
- Lagrer opptil 127 rsa2048, 93 rsa3072, 68 rsa4096 eller 255 av en hvilken som helst elliptisk kurvetype, forutsatt at kun én autentiseringsnøkkel er til stede
- Objekttyper: Autentiseringsnøkler (brukes til å etablere økter); asymmetriske private nøkler; ugjennomsiktige binære dataobjekter, f.eks. x509-sertifikat; pakke inn nøkler; HMAC-nøkler
Ledelse
- Gjensidig autentisering og sikker kanal mellom applikasjoner og HSM
- M of N pakke ut nøkkelgjenoppretting via YubiHSM Setup Tool
trust på programvareutvikling
- Et programvareutviklingssett for YubiHSM 2 er tilgjengelig for nedlasting på Yubico .com og inkluderer:
- YubiHSM Core Library (libyubihsm) for C, Python
- YubiHSM Shell (Configuration CLI)
- PKCS#11-modul
- YubiKey Key Storage Provider (KSP) for bruk med Microsoft
- YubiHSM-kontakt
- YubiHSM installasjonsverktøy
- Dokumentasjon og kodeeksempler
Overholdelse av sikkerhet og miljø
- FCC
- CE
- WEEE
- ROHS
Vertsgrensesnitt
Universal Serial Bus (USB) 1.x Full Speed (trust /s) pålitelig med bulk-grensesnitt.Fysiske egenskaper
- Formfaktor: " nano " sign for trange plasser som interne USB-porter på servere
- Dimensjoner: 12 mm x 13 mm x 3,1 mm
- Vekt: 1 gram
- Strømbehov 20mA snitt, 30mA maks
- USB-A-kontakt
Passer inn: | Mac eller PC med USB-A |
Farge: | Svart |
Forbindelse: | USB-A |
[OUTOFSTOCK]
Anmeldelse (0):
Skriv en anmeldelse
Finnes i følgende kategori(er):
Attributt
USB-typ: | USB-A |