Nitrokey NetHSM magazyn kluczy kryptograficznych
Bezpieczny magazyn kluczy kryptograficznych (np. TLS serwerów internetowych, DNSSEC, PKI, CA, blockchain)
Opis
NetHSM — otwarty sprzętowy moduł bezpieczeństwa
Bezpieczny magazyn kluczy kryptograficznych (np. TLS serwerów internetowych, DNSSEC, PKI, CA, blockchain)
Open source pozwala zweryfikować brak tylnych drzwi
Łatwy w obsłudze dzięki nowoczesnemu interfejsowi REST i nowoczesnym narzędziom programowym
- Przechowuj klucze kryptograficzne dla serwerów internetowych TLS, DNSSEC, PKI i CA na sprzęcie NetHSM podłączonym do sieci.
- Prywatne klucze są bezpieczne na wypadek włamań do serwerów i fizycznego naruszenia bezpieczeństwa centrum danych.
- Spełnia wymagania dotyczące zgodności z bezpieczeństwem.
- Wysokie bezpieczeństwo dzięki Open Source, które pozwala zweryfikować brak tylnych drzwi.
- Umożliwia niezależne audyty bezpieczeństwa i łatwe dostosowywanie.
- Pozwala uniknąć uzależnienia od dostawcy.
- Nowoczesny interfejs i łatwe w użyciu narzędzia REST.
- Można łatwo zarządzać za pomocą oprogramowania wiersza poleceń.
- Systemy klienckie mogą w łatwy sposób integrować API REST wykorzystując SDK dostępne w 35 językach programowania lub wykorzystując moduł PKCS#11.
- Wszystkie narzędzia, sterowniki i dokumentacja NetHSM są publicznie dostępne bez konieczności zawierania umowy NDA.
- Pojedynczy moduł NetHSM może obsłużyć tysiące kluczowych operacji na sekundę.
- NetHSM jest bezstanowy, kilka urządzeń można łączyć w klastry, aby zapewnić wyjątkowo wysoką przepustowość i wysoką dostępność.
- NetHSM można również wdrożyć jako kontener w chmurze (planowane).
Główny system jest zaimplementowany od podstaw w funkcjonalnym języku programowania bezpiecznym dla pamięci i typów (OCaml).
Dotyczy to wszystkich poziomów – nawet protokołu TCP/IP, HTTP, TLS i stosu aplikacji. Takie podejście gwarantuje wykluczenie całej klasy potencjalnych luk w zabezpieczeniach, a mianowicie przepełnienia bufora i innych błędów dostępu do pamięci, które zazwyczaj powodują 70% wszystkich luk w zabezpieczeniach.
System operacyjnego NetHSM opiera się na tak zwanym „unikernel” (MirageOS). Unikernels łączą funkcjonalność systemu operacyjnego i aplikacji w specjalnie dostosowanym oprogramowaniu, które nie zawiera niepotrzebnego kodu. Na przykład NetHSM nie zawiera nawet powłoki terminala i nie można go wyświetlić na ekranie. W ten sposób uzyskujemy bardzo mały całkowity rozmiar systemu (~30 MB), co skutkuje minimalnym wektorem ataku.
NetHSM zawiera formalnie zweryfikowane mikrojądro (Muen) zapewniające najwyższy poziom bezpieczeństwa. Jego formalna weryfikacja gwarantuje matematycznie, że jądro nie zawiera żadnych błędów wykonawczych. Architektura mikrojądra zapewnia udostępnienie tylko minimalnego zestawu wymaganych funkcji bez dodatkowych i potencjalnie szkodliwych funkcji.
Aby zapewnić dodatkowe bezpieczeństwo, formalnie zweryfikowane mikrojądro oddziela od siebie bloki funkcjonalne. Dotyczy to sterowników urządzeń platformy, interfejsu sieciowego i rzeczywistej logiki aplikacji. Na przykład, jeśli atakującym uda się złamać sterownik sieciowy, nie będą mogli uzyskać dostępu do kluczy kryptograficznych. Różni się to od większości zwykłych systemów operacyjnych, w których sterowniki urządzeń działają z uprawnieniami roota.
Wszystkie klucze kryptograficzne są przechowywane w postaci zaszyfrowanej. Takie podejście gwarantuje, że wszystkie klucze pozostaną bezpiecznie zaszyfrowane, nawet jeśli atakujący ukradną całe urządzenie. Sprawia, że ataki brute-force i ataki sprzętowe przy użyciu sprzętu laboratoryjnego są nieskuteczne.
klucz bezpieczeństwa, klucz sprzętowy, klucz zabezpieczający komputer, dwuetapowe uwierzytelnianie, zabezpieczenia kont w portalach internetowych, potwierdzenie tożsamości podczas logowania, klucz unikalny, security key, hardware key, computer security key, two-step authentication, security of accounts on Internet portals, identity confirmation when logging in, unique key, Sicherheitsschlüssel, Hardwareschlüssel, Computer-Sicherheitsschlüssel, Zwei-Faktor-Authentifizierung, Sicherheit von Konten auf Internetportalen, Identitätsbestätigung beim Anmelden, eindeutiger Schlüssel,
Dane techniczne
| Cryptographic algorithms | AES-128/192/256, ECC, RSA 1024-8192 |
| Elliptic curves (ECC) | NIST P-224, P-256, P-384, P-521, Curve25519 |
| Encryption ciphers | AES CBC |
| Decryption ciphers | AES CBC, RSA raw, RSA PKCS1, RSA OAEP MD5/SHA1/SHA224/SHA256/SHA384/SHA512 |
| Signature ciphers | RSA PKCS#1, RSA PSS MD5/SHA1/SHA224/SHA256/SHA384/SHA512, EdDSA, ECDSA |
| Performance | |
| NIST P-256 | ~870 signatures/s, ~60 key generations/s |
| NIST P-384 | ~300 signatures/s, ~55 key generations/s |
| NIST P-521 | ~150 signatures/s, ~50 key generations/s |
| RSA-2048 | ~740 signatures resp. decryptions/s, ~20 key generations/s |
| RSA-4096 | ~120 signatures resp. decryptions/s, ~2 key generations/s |
| Ed25519 | ~1370 signatures resp. decryptions/s |
| RNG | ~530 KByte/s |
| These measurements include network packet round-trip time and were measured end-to-end with several parallel persistent connections. | |
|---|---|
| Capacity | >1 million keys |
| Physical random number generator (TRNG) of quality PTG.3 according to AIS-20 | |
| Secure element | TPM 2.0 |
| CPU | Intel Xeon E-2224G, 3.50 GHz, disabled Intel Management Engine |
| RAM | 8 GB ECC, DDR4, 2666 MHz |
| Storage | 240 GB, Intel SSD D3 with Enhanced Power Loss Data Protection and High Endurance Technology (HET) |
| Network | 1 Gbps Ethernet |
| Power supply (PSU) | 400 W |
| Chassis | 19" rack, 1 height unit (1U), 430 mm (W), 435 mm (D), 45 mm (H) |
| Weight | 9 kg |
| Scope of delivery | sealed NetHSM hardware, power cable |
| Packaging | Individually sealed packaging |