Das YubiHSM 2 ist eine bahnbrechende Hardwarelösung zum Schutz von Root Keys der Zertifizierungsstelle vor dem Kopieren durch Angreifer, Malware und bösartige Insider. Es bietet überlegene, kostengünstige Sicherheit und einfache Bereitstellung, die es für jedes Unternehmen zugänglich macht. Es bietet ein höheres Maß an Sicherheit für die Generierung, Speicherung und Verwaltung kryptografischer digitaler Schlüssel für Unternehmen, die Microsoft Active Directory Certificate Services einsetzen.
Die Funktionen des YubiHSM 2 sind über Yubicos Key Storage Provider (KSP) für den Industriestandard PKCS#11 oder Microsoft CNG oder über native Windows-, Linux- und macOS-Bibliotheken zugänglich. Sein ultraflacher "Nano"-Formfaktor passt in den USB-Anschluss eines Servers, wodurch keine sperrige zusätzliche Hardware benötigt wird, und bietet Flexibilität für die Offline-Schlüsselübertragung oder -sicherung.
YubiHSM 2 kann als umfassende kryptografische Toolbox für eine Vielzahl von Open-Source- und kommerziellen Anwendungen eingesetzt werden. Der häufigste Anwendungsfall ist die hardwarebasierte Erzeugung und Verifizierung digitaler Signaturen.
YubiHSM 2 bietet eine überzeugende Option für die sichere Generierung, Speicherung und Verwaltung digitaler Schlüssel, einschließlich der wesentlichen Funktionen zum Generieren, Schreiben, Signieren, Entschlüsseln, Hash und Wickeln von Schlüsseln.
Vorteile
Verbesserter Schutz für kryptographische Schlüssel
YubiHSM 2 bietet eine überzeugende Option für die sichere Generierung, Speicherung und Verwaltung von Schlüsseln. Der Schlüsselschutz erfolgt in der sicheren On-Chip-Hardware, die von den Operationen auf dem Server isoliert ist. Die häufigsten Anwendungsfälle sind der Schutz des Root Keys der Zertifizierungsstellen (CAs). Die Funktionen des YubiHSM 2 umfassen: Generieren, Schreiben, Signieren, Entschlüsseln, Entschlüsseln, Hash und Wickeln von Schlüsseln.
Hardwarebasierte kryptographische Operationen aktivieren
YubiHSM 2 kann als umfassende kryptografische Toolbox für kleine Mengen in Verbindung mit einer Vielzahl von Open-Source- und kommerziellen Anwendungen eingesetzt werden, die viele verschiedene Produkte und Dienstleistungen umfassen. Der häufigste Anwendungsfall ist die hardwarebasierte On-Chip-Verarbeitung zur Signaturgenerierung und -verifizierung.
Sichere Microsoft Active Directory-Zertifikatsdienste
YubiHSM 2 kann hardwaregestützte Schlüssel für Ihre Microsoft-basierte PKI-Implementierung bereitstellen. Die Bereitstellung von YubiHSM 2 in Ihren Microsoft Active Directory Zertifikatsdiensten schützt nicht nur die CA-Rootkeys, sondern auch alle Signatur- und Verifizierungsdienste, die den Rootkey verwenden.
Sichere Speicherung und Betrieb von Schlüsseln
Erstellen, importieren und speichern Sie Schlüssel und führen Sie dann alle Kryptooperationen auf der HSM-Hardware durch, um den Diebstahl von Schlüsseln im Ruhezustand oder in Gebrauch zu verhindern. Dies schützt sowohl vor logischen Angriffen gegen den Server, wie Zero-Day-Angriffen oder Malware, als auch vor dem physischen Diebstahl eines Servers oder seiner Festplatte.
Umfangreiche kryptographische Möglichkeiten
YubiHSM 2 unterstützt Hashing, Key Wrapping, asymmetrische Signier- und Entschlüsselungsoperationen, einschließlich Advanced Signing mit ed25519. Die Zertifizierung wird auch für asymmetrische Schlüsselpaare unterstützt, die auf dem Gerät erzeugt werden.
Sichere Sitzung zwischen HSM und Anwendung
Die Integrität und Vertraulichkeit von Befehlen und Daten während der Übertragung zwischen dem HSM und den Anwendungen wird durch einen gegenseitig authentifizierten, integritäts- und vertraulichkeitsgeschützten Tunnel geschützt.
Rollenbasierte Zugriffskontrollen für Key Management und Key Usage
Alle kryptographischen Schlüssel und andere Objekte im HSM gehören zu einer oder mehreren Sicherheitsdomänen. Für jeden Authentifizierungsschlüssel werden bei der Erstellung Zugriffsrechte vergeben, die es ermöglichen, einen bestimmten Satz von kryptografischen oder Verwaltungsvorgängen pro Sicherheitsdomäne durchzuführen. Administratoren vergeben Rechte an Authentifizierungsschlüsseln basierend auf ihrem Anwendungsfall, wie z.B. eine Event Monitoring App, die die Fähigkeit benötigt, alle Auditprotokolle im HSM zu lesen, oder eine Registrierungsbehörde, die digitale Zertifikate für Endbenutzer ausstellen (signieren) muss, oder ein Domain Security Administrator, der Kryptoschlüssel erstellen und löschen muss.
16 gleichzeitige Verbindungen
Mehrere Anwendungen können Sitzungen mit einem YubiHSM einrichten, um kryptografische Operationen durchzuführen. Sitzungen können automatisch nach einer Inaktivität beendet werden oder langlebig sein, um die Leistung zu verbessern, indem die Erstellungszeit der Sitzungen reduziert wird.
Netzwerkfähig
Um die Flexibilität von Implementierungen zu erhöhen, kann das YubiHSM 2 für die Nutzung über das Netzwerk durch Anwendungen auf anderen Servern zur Verfügung gestellt werden. Dies kann besonders vorteilhaft auf einem physischen Server sein, der mehrere virtuelle Maschinen hostet.
Fernverwaltung
Einfache Verwaltung mehrerer YubiHSMs aus der Ferne für das gesamte Unternehmen - keine Komplexität und Reisekosten für Mitarbeiter auf Abruf.
Einzigartiger "Nano"-Formfaktor, geringer Stromverbrauch
Der Yubico "Nano" Formfaktor ermöglicht es, das HSM vollständig in einen USB-A-Anschluss einzustecken, so dass es vollständig verdeckt ist - keine externen Teile, die aus dem hinteren oder vorderen Gehäuse des Servers herausragen. Es verbraucht minimalen Strom, max. 30mA, um Kosten zu sparen.
M oder N Umschalttaste Backup und Wiederherstellung
Die Sicherung und Bereitstellung kryptographischer Schlüssel auf mehreren HSMs ist eine wichtige Komponente einer Unternehmenssicherheitsarchitektur, aber es ist ein Risiko, einer einzelnen Person diese Möglichkeit zu geben. Das YubiHSM unterstützt die Einstellung von M of N-Regeln auf den Wrap-Schlüssel, der für den Export von Schlüsseln für Backup oder Transport verwendet wird, so dass mehrere Administratoren einen Schlüssel importieren und entschlüsseln müssen, um ihn auf weiteren HSMs nutzbar zu machen. So kann beispielsweise in einem Unternehmen der private Schlüssel der Active Directory Root CA für 7 Administratoren (M=7) schlüsselumwickelt sein, und mindestens 4 von ihnen (N=4) müssen den Schlüssel im neuen HSM importieren und entpacken (entschlüsseln).
Schnittstellen über YubiHSM KSP, PKCS#11 und native Bibliotheken
Kryptofähige Anwendungen können das YubiHSM über den Key Storage Provider (KSP) von Yubico für Microsofts CNG oder den Industriestandard PKCS#11 nutzen. Native Bibliotheken sind auch unter Windows, Linux und MacOS verfügbar, um eine direktere Interaktion mit den Funktionen des Geräts zu ermöglichen.
Manipulationssichere Audit-Protokollierung
Das YubiHSM speichert intern ein Protokoll aller Management- und Kryptobetriebsereignisse, die im Gerät auftreten und die zur Überwachung und Berichterstattung exportiert werden können. Jedes Ereignis (Zeile) im Protokoll wird mit der vorherigen Zeile verkettet und signiert, so dass festgestellt werden kann, ob Ereignisse geändert oder gelöscht werden.
Modell: YUBI HSM 2
Spezifikationen | |
Attest | Asymmetrische Schlüsselpaare, die auf dem Gerät erzeugt werden, können mit einem gerätespezifischen Yubico-Bescheinigungsschlüssel und -Zertifikat oder unter Verwendung Ihrer eigenen Schlüssel und Zertifikate, die in das HSM importiert werden. |
Hash-Algorithmen | SHA-256, SHA-384, SHA-512, SHA-1 |
Kryptographische Spezifikationen | Specifications Cryptographic interfaces: ● PKCS#11 API version 2.40 ● Yubico Key Storage Provider (KSP) to access Microsoft CNG. The KSP is provided as 64-bit and 32-bit DLLs ● Full access to device capabilities through Yubico’s YubiHSM Core Libraries (C, Python) RSA: ● 2048, 3072, and 4096 bit keys (with e=65537) ● Signing using PKCS#1v1.5 and PSS ● Decryption using PKCS#1v1.5 and OAEP Elliptic Curve Cryptography (ECC): ● Curves: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, Ed25519 ● Signing: ECDSA (all except Ed25519), EdDSA (Ed25519 only) ● Derivation: ECDH (all except Ed25519) |
Modellnummer | YUBI HSM 2 |
NIST-genehmigter AES-CCM Wrap | Import und Export mit 128, 196, and 256 bit keys |
Speicherkapazität | ● Alle Daten werden als Objekte gespeichert. 256 Objekt-Steckplätze, insgesamt maximal 126KB ● Speichert bis zu 127 rsa2048 oder 93 rsa3072 oder 68 rsa4096 oder 255 von jedem elliptischen Kurven Typ, unter der Annahme, dass nur ein Authentifizierungsschlüssel vorhanden ist ● Objekttypen : Authentifizierungsschlüssel (zum Aufbau von Sitzungen verwendet); Asymmetrisch private Schlüssel; Undurchsichtige binäre Datenobjekte (z.B. x509-Zertifikate); Umbruchschlüssel; HMAC-Schlüssel |
Verwaltung | ● Gegenseitige Authentifizierung und sicherer Kanal zwischen Anwendungen und dem YubiHSM 2 ● Wiederherstellung des M von N-Auspackschlüssels über das YubiHSM-Setup-Tool |
Zufallszahlengenerator (RNG) | On-chip True Random Number Generator (TRNG) zum säen von NIST SP 800-90A Rev.1 AES-256 CTR_DRBG verwendet |
Produktname | YUBI HSM 2 |
Schnittstellen-Typ | ● Universal Serial Bus (USB) 1.x Full Speed (12Mbit/s) Peripheral mit bulk interface |
Leistung | Das begleitende Software Development Kit enthält tools, die für zusätzliche Messungen verwendet werden können. Beispiel-Metriken aus einem ansonsten unbesetzten YubiHSM 2: ● RSA-2048-PKCS1-SHA256: ~139ms ● RSA-3072-PKCS1-SHA384: ~504ms ● RSA-4096-PKCS1-SHA512: ~852ms ● ECDSA-P224-SHA1: ~64ms ● ECDSA-P256-SHA256: ~73ms ● ECDSA-P384-SHA384: ~120ms ● ECDSA-P521-SHA512: ~210ms ● EdDSA-25519-32Bytes: ~105ms ● EdDSA-25519-64Bytes: ~121ms ● EdDSA-25519-128Bytes: ~137ms ● EdDSA-25519-256Bytes: ~168ms ● EdDSA-25519-512Bytes: ~229ms ● EdDSA-25519-1024Bytes: ~353ms ● AES-(128|192|256)-CCM-Wrap: ~10ms ● HMAC-SHA-(1|256): ~4ms ● HMAC-SHA-(384|512): ~243ms YubiHSM 2.1 |
Physikalische Beständigkeit | ● Formfaktor: Nano für beengte Räume wie interne USB-Ports in Servern |