YubiHSM 2 FIPS är en smart hårdvarulösning för att skydda certifikatutfärdarens rotnycklar från att kopieras av angripare, skadlig programvara och illvilliga insiders. Den erbjuder överlägsen kostnadseffektiv säkerhet och enkel implementering som gör den tillgänglig för alla organisationer.
Förbättra skyddet för kryptografiska nycklar
YubiHSM 2 erbjuder ett övertygande alternativ för säker generering, lagring och hantering av nycklar. Nyckelskydd görs i den säkra hårdvaran på chipet isolerad från operationer på servern. De vanligaste användningsfallen involverar skydd av certifikatutfärdarnas (CA) privata nyckel. YubiHSM 2-funktionerna inkluderar: generera, skriva, signera, dekryptera, hash och omslagsnycklar.
Snabbt integrera med hårdvarubaserad stark säkerhet
YubiHSM 2 kan användas som en omfattande kryptografisk verktygslåda för lågvolymoperationer i kombination med en enorm uppsättning öppen källkod och kommersiella applikationer som spänner över många olika produkter och tjänster. Det vanligaste användningsfallet involverar on-chip hårdvarubaserad bearbetning för signaturgenerering och verifiering. YubiHSM 2 stöder industristandarden PKCS#11.
Säkra Microsoft Active Directory-certifikattjänster
YubiHSM 2 kan tillhandahålla hårdvarustödda nycklar för din Microsoft-baserade PKI-implementering. Att distribuera YubiHSM 2 till dina Microsoft Active Directory-certifikattjänster skyddar inte bara CA-rotnycklarna utan skyddar också alla signerings- och verifieringstjänster som använder den privata nyckeln.
Säker nyckellagring och drift
Säkra utbyten av kryptovaluta
Med den explosiva tillväxten av kryptovalutamarknaden kommer också en stor volym av tillgångar som behöver skydd för att mildra mot nya säkerhetsrisker. YubiHSM 2 tillåter organisationer att starkt säkra kryptografiska nycklar och hålla känslig finansiell information säker.
Skydda Internet of Things (IoT) miljöer
Internet-of-Things (IoT) är ett snabbt växande område där system ofta fungerar i fientliga miljöer. Det gör det ännu viktigare att säkra kryptografiska nycklar eftersom organisationer behöver skydda känslig information. Kryptografiska nycklar används i många IoT-applikationer, med otillräcklig säkerhet på plats. Utvecklare som bygger IoT-applikationer kan snabbt aktivera stöd för YubiHSM 2 för att skydda kryptografiska nycklar och förhindra att kritiska IoT-miljöer faller offer för fientliga övertaganden.
FIPS 140-2
YubiKey HSM 2 FIPS är FIPS 140-2 validerad (nivå 3) och uppfyller högsta autentiseringsnivå 3 (AAL3) i NIST SP800-63B vägledning.
Säker nyckellagring och drift
Skapa, importera och lagra nycklar och utför sedan alla kryptooperationer i HSM-hårdvaran för att förhindra stöld av nycklar under vila eller användning. Detta skyddar mot både logiska attacker mot servern, såsom nolldagars utnyttjande eller skadlig kod, och fysisk stöld av en server eller dess hårddisk.
Omfattande kryptografiska möjligheter
YubiHSM 2 stöder hashing, nyckelomslutning, asymmetrisk signering och dekrypteringsoperationer inklusive avancerad signering med ed25519. Attestation stöds också för asymmetriska nyckelpar som genereras på enheten.
Säker session mellan HSM och applikation
Integriteten och integriteten för kommandon och data som överförs mellan HSM och applikationer skyddas med en ömsesidigt autentiserad, integritets- och konfidentialitetsskyddad tunnel.
Rollbaserade åtkomstkontroller för nyckelhantering och nyckelanvändning
Alla kryptografiska nycklar och andra objekt i HSM tillhör en eller flera säkerhetsdomäner. Åtkomsträttigheter tilldelas för varje autentiseringsnyckel vid skapandet, vilket gör att en specifik uppsättning kryptografiska eller hanteringsoperationer kan utföras per säkerhetsdomän. Administratörer tilldelar rättigheter till autentiseringsnycklar baserat på dess användningsfall, till exempel en händelseövervakningsapp som behöver möjligheten att läsa alla granskningsloggar i HSM, eller en registreringsmyndighet som behöver utfärda (signera) slutanvändares digitala certifikat, eller en domän säkerhetsadministratör som behöver skapa och ta bort kryptonycklar.
16 samtidiga anslutningar
Flera applikationer kan upprätta sessioner med en YubiHSM för att utföra kryptografiska operationer. Sessioner kan avslutas automatiskt efter inaktivitet eller vara långlivade för att förbättra prestandan genom att eliminera tid för att skapa sessioner.
Nätverksdelbart
För att öka flexibiliteten i distributioner kan YubiHSM 2 göras tillgänglig för användning över nätverket av applikationer på andra servrar. Detta kan vara särskilt fördelaktigt på en fysisk server som är värd för flera virtuella maskiner.
Fjärrhantering
Hantera enkelt flera utplacerade YubiHSM:er på distans för hela företaget – eliminera komplexiteten för jourpersonal och resekostnader.
Unik "Nano" formfaktor, låg strömförbrukning
Yubico "Nano"-formfaktorn gör att HSM kan sättas in helt i en USB-A-port så att den är helt dold - inga externa delar som sticker ut ur serverns baksida eller främre chassit. Den använder minimal ström, max 30mA, för kostnadsbesparingar på din energibudget.
M av N omslutningsnyckel Säkerhetskopiera och återställa
Att säkerhetskopiera och distribuera kryptografiska nycklar på flera HSM:er är en kritisk komponent i en företagssäkerhetsarkitektur, men det är en risk att tillåta en enskild individ att ha den förmågan. YubiHSM stöder inställning av M av N-regler för omslutningsnyckeln som används för att exportera nycklar för säkerhetskopiering eller transport, så att flera administratörer måste importera och dekryptera en nyckel för att göra den användbar på ytterligare HSM:er. Till exempel i ett företag kan Active Directory root CA-privata nyckeln vara nyckelomsluten för 7 administratörer (N=7) och minst 4 av dem (M=4) krävs för att importera och packa upp (dekryptera) nyckeln i den nya HSM.
Gränssnitt via YubiHSM KSP, PKCS#11 och inbyggda bibliotek
Kryptoaktiverade applikationer kan utnyttja YubiHSM via Yubicos Key Storage Provider (KSP) för Microsofts CNG eller industristandard PKCS#11. Inbyggda bibliotek är också tillgängliga på Windows, Linux och macOS för att möjliggöra mer direkt interaktion med enhetens funktioner.
Förfalskningssäker revisionsloggning
YubiHSM lagrar internt en logg över alla hanterings- och kryptooperationshändelser som inträffar i enheten och den loggen kan exporteras för övervakning och rapportering. Varje händelse (rad) i loggen är hashkedjad med föregående rad och signerad så att det är möjligt att avgöra om några händelser ändras eller tas bort.
Direkt USB-stöd
YubiHSM 2 kan prata direkt till USB-lagret utan behov av en mellanliggande HTTP-mekanism. Detta ger en förbättrad upplevelse för utvecklarna som utvecklar lösningar för virtualiserade miljöer.
Fördelar
- FIPS 140-2 validerad (nivå 3)
- Kostnadseffektiv HSM-lösning
- Enkel implementering
- Säker nyckellagring och drift
Användningsförslag
Förbättra skyddet för kryptografiska nycklar
YubiHSM 2 erbjuder ett övertygande alternativ för säker generering, lagring och hantering av nycklar. Nyckelskydd görs i den säkra hårdvaran på chipet isolerad från operationer på servern. De vanligaste användningsfallen involverar skydd av certifikatutfärdarnas (CA) privata nyckel. YubiHSM 2-funktionerna inkluderar: generera, skriva, signera, dekryptera, hash och omslagsnycklar.
Snabbt integrera med hårdvarubaserad stark säkerhet
YubiHSM 2 kan användas som en omfattande kryptografisk verktygslåda för lågvolymoperationer i kombination med en enorm uppsättning öppen källkod och kommersiella applikationer som spänner över många olika produkter och tjänster. Det vanligaste användningsfallet involverar on-chip hårdvarubaserad bearbetning för signaturgenerering och verifiering. YubiHSM 2 stöder industristandarden PKCS#11.
Säkra Microsoft Active Directory-certifikattjänster
YubiHSM 2 kan tillhandahålla hårdvarustödda nycklar för din Microsoft-baserade PKI-implementering. Att distribuera YubiHSM 2 till dina Microsoft Active Directory-certifikattjänster skyddar inte bara CA-rotnycklarna utan skyddar också alla signerings- och verifieringstjänster som använder den privata nyckeln.
Säker nyckellagring och drift
- FIPS 140-2 validerad (nivå 3)
- Omfattande kryptografiska funktioner: RSA, ECC, ECDSA (ed25519), SHA-2, AES
- Säker session mellan HSM och applikation
- Rollbaserade åtkomstkontroller för nyckelhantering och nyckelanvändning
- 16 samtidiga anslutningar
- Alternativt nätverksdelbart
- Fjärrhantering
- Unik "Nano" formfaktor, låg strömförbrukning
- M av N omslutningsnyckel Säkerhetskopiera och återställa
- Gränssnitt via YubiHSM KSP, PKCS#11 och inbyggda bibliotek
- Förfalskningssäker revisionsloggning
Säkra utbyten av kryptovaluta
Med den explosiva tillväxten av kryptovalutamarknaden kommer också en stor volym av tillgångar som behöver skydd för att mildra mot nya säkerhetsrisker. YubiHSM 2 tillåter organisationer att starkt säkra kryptografiska nycklar och hålla känslig finansiell information säker.
Skydda Internet of Things (IoT) miljöer
Internet-of-Things (IoT) är ett snabbt växande område där system ofta fungerar i fientliga miljöer. Det gör det ännu viktigare att säkra kryptografiska nycklar eftersom organisationer behöver skydda känslig information. Kryptografiska nycklar används i många IoT-applikationer, med otillräcklig säkerhet på plats. Utvecklare som bygger IoT-applikationer kan snabbt aktivera stöd för YubiHSM 2 för att skydda kryptografiska nycklar och förhindra att kritiska IoT-miljöer faller offer för fientliga övertaganden.
Funktionsdetaljer
FIPS 140-2
YubiKey HSM 2 FIPS är FIPS 140-2 validerad (nivå 3) och uppfyller högsta autentiseringsnivå 3 (AAL3) i NIST SP800-63B vägledning.
Säker nyckellagring och drift
Skapa, importera och lagra nycklar och utför sedan alla kryptooperationer i HSM-hårdvaran för att förhindra stöld av nycklar under vila eller användning. Detta skyddar mot både logiska attacker mot servern, såsom nolldagars utnyttjande eller skadlig kod, och fysisk stöld av en server eller dess hårddisk.
Omfattande kryptografiska möjligheter
YubiHSM 2 stöder hashing, nyckelomslutning, asymmetrisk signering och dekrypteringsoperationer inklusive avancerad signering med ed25519. Attestation stöds också för asymmetriska nyckelpar som genereras på enheten.
Säker session mellan HSM och applikation
Integriteten och integriteten för kommandon och data som överförs mellan HSM och applikationer skyddas med en ömsesidigt autentiserad, integritets- och konfidentialitetsskyddad tunnel.
Rollbaserade åtkomstkontroller för nyckelhantering och nyckelanvändning
Alla kryptografiska nycklar och andra objekt i HSM tillhör en eller flera säkerhetsdomäner. Åtkomsträttigheter tilldelas för varje autentiseringsnyckel vid skapandet, vilket gör att en specifik uppsättning kryptografiska eller hanteringsoperationer kan utföras per säkerhetsdomän. Administratörer tilldelar rättigheter till autentiseringsnycklar baserat på dess användningsfall, till exempel en händelseövervakningsapp som behöver möjligheten att läsa alla granskningsloggar i HSM, eller en registreringsmyndighet som behöver utfärda (signera) slutanvändares digitala certifikat, eller en domän säkerhetsadministratör som behöver skapa och ta bort kryptonycklar.
16 samtidiga anslutningar
Flera applikationer kan upprätta sessioner med en YubiHSM för att utföra kryptografiska operationer. Sessioner kan avslutas automatiskt efter inaktivitet eller vara långlivade för att förbättra prestandan genom att eliminera tid för att skapa sessioner.
Nätverksdelbart
För att öka flexibiliteten i distributioner kan YubiHSM 2 göras tillgänglig för användning över nätverket av applikationer på andra servrar. Detta kan vara särskilt fördelaktigt på en fysisk server som är värd för flera virtuella maskiner.
Fjärrhantering
Hantera enkelt flera utplacerade YubiHSM:er på distans för hela företaget – eliminera komplexiteten för jourpersonal och resekostnader.
Unik "Nano" formfaktor, låg strömförbrukning
Yubico "Nano"-formfaktorn gör att HSM kan sättas in helt i en USB-A-port så att den är helt dold - inga externa delar som sticker ut ur serverns baksida eller främre chassit. Den använder minimal ström, max 30mA, för kostnadsbesparingar på din energibudget.
M av N omslutningsnyckel Säkerhetskopiera och återställa
Att säkerhetskopiera och distribuera kryptografiska nycklar på flera HSM:er är en kritisk komponent i en företagssäkerhetsarkitektur, men det är en risk att tillåta en enskild individ att ha den förmågan. YubiHSM stöder inställning av M av N-regler för omslutningsnyckeln som används för att exportera nycklar för säkerhetskopiering eller transport, så att flera administratörer måste importera och dekryptera en nyckel för att göra den användbar på ytterligare HSM:er. Till exempel i ett företag kan Active Directory root CA-privata nyckeln vara nyckelomsluten för 7 administratörer (N=7) och minst 4 av dem (M=4) krävs för att importera och packa upp (dekryptera) nyckeln i den nya HSM.
Gränssnitt via YubiHSM KSP, PKCS#11 och inbyggda bibliotek
Kryptoaktiverade applikationer kan utnyttja YubiHSM via Yubicos Key Storage Provider (KSP) för Microsofts CNG eller industristandard PKCS#11. Inbyggda bibliotek är också tillgängliga på Windows, Linux och macOS för att möjliggöra mer direkt interaktion med enhetens funktioner.
Förfalskningssäker revisionsloggning
YubiHSM lagrar internt en logg över alla hanterings- och kryptooperationshändelser som inträffar i enheten och den loggen kan exporteras för övervakning och rapportering. Varje händelse (rad) i loggen är hashkedjad med föregående rad och signerad så att det är möjligt att avgöra om några händelser ändras eller tas bort.
Direkt USB-stöd
YubiHSM 2 kan prata direkt till USB-lagret utan behov av en mellanliggande HTTP-mekanism. Detta ger en förbättrad upplevelse för utvecklarna som utvecklar lösningar för virtualiserade miljöer.
Specifikationer
Operativsystemstöd: Windows, Linux, macOS
- Linux: CentOS 7, Debian 8, Debian 9, Debian 10, Fedora 28, Fedora 30, Fedora 31, Ubuntu 1404, Ubuntu 1604, Ubuntu 1804, Ubuntu 1810, Ubuntu 1904, Ubuntu 1910
- Windows: Windows 10, Windows Server 2012, Windows Server 2016, Windows Server 2019
- macOS: 10.12 Sierra, 10.13 High Sierra, 10.14 Mojave
Kryptografiska gränssnitt (API):
- Microsoft CNG (KSP)
- PKCS#11 (Windows, Linux, macOS)
- Native YubiHSM Core Libraries (C, python)
Kryptografiska möjligheter
- Hashing (används med HMAC och asymmetriska signaturer)
- SHA-1, SHA-256, SHA-384, SHA-512
- RSA
- 2048, 3072 och 4096 bitars nycklar
- Signering med PKCS#1v1.5 och PSS
- Dekryptering med PKCS#1v1.5 och OAEP
- Elliptic Curve Cryptography (ECC)
- Kurvor: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519
- Signering: ECDSA (alla utom curve25519), EdDSA (endast curve25519)
- Dekryptering: ECDH (alla utom curve25519)
- Nyckelomslag
- Importera och exportera med NIST AES-CCM Wrap på 128, 196 och 256 bitar
- Slumpmässiga siffror
- On-chip True Random Number Generator (TRNG) som används för att se NIST SP 800-90 AES 256 CTR_DRBG
Intyg
Asymmetriska nyckelpar som genereras på enheten kan attesteras med en fabrikscertifierad attestnyckel och certifikat, eller med din egen nyckel och certifikat som importeras till HSMPrestanda
Prestanda varierar beroende på användning. Det medföljande Software Development Kit innehåller prestandaverktyg som kan användas för ytterligare mätningar. Exempel på mätvärden från en annars obesatt YubiHSM 2:- RSA-2048-PKCS1-SHA256: ~139ms avg
- RSA-3072-PKCS1-SHA384: ~504ms avg
- RSA-4096-PKCS1-SHA512: ~852ms avg
- ECDSA-P256-SHA256: ~73ms avg
- ECDSA-P384-SHA384: ~120ms avg
- ECDSA-P521-SHA512: ~210ms avg
- EdDSA-25519-32Bytes: ~105ms avg
- EdDSA-25519-64Bytes: ~121ms avg
- EdDSA-25519-128Bytes: ~137ms avg
- EdDSA-25519-256Bytes: ~168ms avg
- EdDSA-25519-512Bytes: ~229ms avg
- EdDSA-25519-1024Bytes: ~353ms avg
- AES-(128|192|256)-CCM-Wrap: ~10ms avg
- HMAC-SHA-(1|256): ~4ms avg
- HMAC-SHA-(384|512): ~243ms avg
Lagringskapacitet
- All data lagrad som objekt. 256 objektplatser, 128KB (bas 10) max totalt
- Lagrar upp till 127 rsa2048, 93 rsa3072, 68 rsa4096 eller 255 av valfri elliptisk kurvtyp, förutsatt att endast en autentiseringsnyckel är närvarande
- Objekttyper: Autentiseringsnycklar (används för att upprätta sessioner); asymmetriska privata nycklar; ogenomskinliga binära dataobjekt, t.ex. x509 certifikat; slå in nycklar; HMAC-nycklar
Förvaltning
- Ömsesidig autentisering och säker kanal mellan applikationer och HSM
- M av N packa upp nyckelåterställning via YubiHSM Setup Tool
Utrustning för programvaruutveckling
- Ett mjukvaruutvecklingspaket för YubiHSM 2 är tillgängligt för nedladdning på Yubico.com och inkluderar:
- YubiHSM Core Library (libyubihsm) för C, Python
- YubiHSM Shell (Configuration CLI)
- PKCS#11-modul
- YubiKey Key Storage Provider (KSP) för användning med Microsoft
- YubiHSM-kontakt
- YubiHSM installationsverktyg
- Dokumentation och kodexempel
Säkerhets- och miljöefterlevnad
- FCC
- CE
- WEEE
- ROHS
Värdgränssnitt
Universal Serial Bus (USB) 1.x Full Speed (12Mbit/s) kringutrustning med bulkgränssnitt.Fysiska egenskaper
- Formfaktor: "nano" designad för trånga utrymmen som interna USB-portar på servrar
- Mått: 12 mm x 13 mm x 3,1 mm
- Vikt: 1 gram
- Strömkrav 20mA avg, 30mA max
- USB-A-kontakt
Passar: | Mac eller PC med USB-A |
Färg: | Svart |
Anslutning: | USB-A |
[OUTOFSTOCK]
Omdömen (0):
Skriv ett omdöme
Finns i följande kategori(er):
Attribut
USB-typ: | USB-A |