Frecuentemente comprados juntos …
Descripción
YubiHSM 2 FIPS es una solución de hardware revolucionaria para proteger las claves raíz de la autoridad de certificación contra la copia por parte de atacantes, malware y usuarios malintencionados.
Ofrece una relación única y rentable con una instalación fácil, lo que la hace accesible para todas las empresas. Ofrece el más alto nivel de seguridad para la generación, almacenamiento y administración de claves criptográficas, para empresas que ejecutan Microsoft Active Directory Certificate Services.
Las capacidades de YubiHSM 2 FIPS son accesibles mediante la integración con un software de código abierto y un kit de herramientas de desarrollo de software integrado (SDK) para una amplia gama de aplicaciones de código abierto y comerciales. El caso de uso más común es la creación y verificación de firmas digitales basadas en material. Los casos de uso específicos, como asegurar intercambios de criptomonedas y portales de IoT, son solo algunos ejemplos de cómo el HSM más pequeño del mundo puede proteger toda la infraestructura moderna.
Si es necesario, YubiHSM 2 FIPS asegura todas las llaves criptográficas a lo largo de su ciclo de vida, desde la generación segura de llaves, la certificación, el almacenamiento y la distribución segura, la copia de seguridad hasta la destrucción de llaves.
Ver también: YubiKey FIPS, YubiKey 5C NFC, Security Key NFC, why Yubico
Características
FIPS 140-2
El YubiKey HSM 2 FIPS está validado por FIPS 140-2 (Nivel 3) y cumple con el más alto nivel de garantía de autenticador 3 (AAL3) de la guía NIST SP800-63B.
Almacenamiento seguro y funciones de llaves
Crea, importa y almacena llaves, y luego realiza todas las operaciones de cifrado en el hardware HSM para evitar que las llaves sean robadas durante la inactividad o el uso. Esto protege de los ataques contra el servidor, ataques de día cero o malware, así como contra el robo de servidores físicos o discos duros.
Amplias capacidades criptográficas
YubiHSM 2 soporta funciones hash, key wrapping, firma asimétrica y descifrado, incluyendo firma compuesta usando ed25519. El certificado también es compatible con pares de llaves asimétricas generadas en el dispositivo.
Sesión segura entre HSM y app
La integridad y confidencialidad de las órdenes y los datos en tránsito entre HSM y las aplicaciones se protegerán utilizando un túnel mutuamente validado, de integridad y confidencialidad.
Controles de acceso basados en roles para la gestión y el uso de claves
Todas las llaves criptográficas y otros objetos en HSM pertenecen a uno o más dominios de seguridad. Los permisos de acceso se otorgan para cada llave de autenticación en el momento de la creación y eso permite que se realice un conjunto específico de operaciones de encriptación o administración por dominio de seguridad. Los administradores asignan permisos a las llaves de autenticación en función de su uso, como una aplicación de seguimiento de eventos que necesita la capacidad de leer todos los registros de control en el HSM o una Autoridad de Registro que necesita emitir (firmar) certificados digitales de usuario final o un dominio de administrador de seguridad que necesita crear y eliminar llaves de cifrado.
16 conexiones simultáneas
Múltiples aplicaciones pueden crear sesiones con un YubiHSM para realizar funciones criptográficas. Las sesiones se pueden finalizar automáticamente después de la inactividad o dur más para mejorar el rendimiento al eliminar el tiempo de creación de la sesión.
Red compartida
Para aumentar la flexibilidad de la aplicación, YubiHSM 2 puede estar disponible para su uso a través de la red desde aplicaciones en otros servidores. Esto puede tener muchas ventajas para un servidor físico que aloja muchas máquinas virtuales.
Gestión remota
Administra fácilmente múltiples YubiHSM implementados de forma remota para toda la empresa: eliminando la complejidad de las llamadas y los gastos de viaje.
Tecnología “Nano” para uso de baja potencia
La tecnología “Nano” de Yubico permite que el HSM se inserte completamente en un puerto USB-A, por lo que está completamente oculto: no hay partes externas que sobresalgan del panel posterior o frontal del servidor. Utiliza una potencia mínima, de hasta 30 mA, para ahorrar costes en el presupuesto de energía.
Llave de protección M of N de copia de seguridad y restauración
Hacer copias de seguridad e implementar llaves criptográficas en múltiples HSM es un elemento crítico de una arquitectura de seguridad empresarial, pero existe el riesgo de que una persona tenga el permiso para esta acción. YubiHSM admite la configuración de reglas M of N en la llave de envoltura utilizada para extraer llaves para copia de seguridad o transferencia, por lo que muchos administradores requieren importar y descifrar una llave para usarla en complementos de HSM. Por ejemplo, en una empresa, la llave privada de Active Directory root CA puede ser envuelta de una llave para 7 administradores (N = 7), y al menos 4 de ellos (M = 4) deben ingresar y desplegar (descifrar) la llave en el nuevo HSM.
Interconexión a través de YubiHSM KSP, PKCS # 11 y bibliotecas nativas
Las aplicaciones habilitadas para criptomonedas pueden utilizar YubiHSM a través del Yubico Key Storage Center (KSP) para Microsoft CNG o el modelo industrial PKCS # 11. Las bibliotecas nativas también están disponibles en Windows, Linux y macOS para permitir una interacción más directa con las capacidades del dispositivo.
Registro de eventos
YubiHSM almacena internamente un registro de todos los eventos de administración y operación de cifrado que ocurren en el dispositivo, y este registro se puede exportar para monitoreo e informes. Cada evento (orden) en el archivo de registro se bloquea en el orden anterior y se firma para que sea posible determinar si algún evento se está modificando o eliminando.
Soporte directo USB
YubiHSM 2 puede comunicarse directamente a nivel USB sin necesidad de un mecanismo HTTP intermedio. Esto proporciona una experiencia mejorada para los desarrolladores que crean soluciones para entornos virtuales.
Especificaciones
| Linux | CentOS 7 Debian 8 Debian 9 Debian 10 Fedora 28 Fedora 30 Fedora 31 Ubuntu 1404 Ubuntu 1604 Ubuntu 1804 Ubuntu 1810 Ubuntu 1904 Ubuntu 1910 |
| Windows | Windows 10 Windows Server 2012 Windows Server 2016 Windows Server 2019 |
| macOS | 10.12 Sierra 10.13 High Sierra 10.14 Mojave |
| Cryptographic interfaces (APIs) | Microsoft CNG (KSP) PKCS#11 (Windows, Linux, macOS) Native YubiHSM Core Libraries (C, python) |
| Cryptographic capabilities | Hashing: SHA-1, SHA-256, SHA-384, SHA-512 |
| RSA | 2048, 3072, and 4096 bit keys Signing using PKCS#1v1.5 and PSS Decryption using PKCS#1v1.5 and OAEP |
| Elliptic Curve Cryptography (ECC) | – Curves: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519 – Signing: ECDSA (all except curve25519), EdDSA (curve25519 only) – Decryption: ECDH (all except curve25519) |
| Key wrap | Import and export using NIST AES-CCM Wrap at 128, 196, and 256 bits |
| Random numbers | On-chip True Random Number Generator (TRNG) used to seed NIST SP 800-90 AES 256 CTR_DRBG |
| Attestation | Asymmetric key pairs generated on-device may be attested using a factory certified attestation key and certificate, or using your own key and certificate imported into the HSM |
| Performance | RSA-2048-PKCS1-SHA256: ~139ms avg RSA-3072-PKCS1-SHA384: ~504ms avg RSA-4096-PKCS1-SHA512: ~852ms avg ECDSA-P256-SHA256: ~73ms avg ECDSA-P384-SHA384: ~120ms avg ECDSA-P521-SHA512: ~210ms avg EdDSA-25519-32Bytes: ~105ms avg EdDSA-25519-64Bytes: ~121ms avg EdDSA-25519-128Bytes: ~137ms avg EdDSA-25519-256Bytes: ~168ms avg EdDSA-25519-512Bytes: ~229ms avg EdDSA-25519-1024Bytes: ~353ms avg AES-(128|192|256)-CCM-Wrap: ~10ms avg HMAC-SHA-(1|256): ~4ms avg HMAC-SHA-(384|512): ~243ms avg |
| Storage capacity | – All data stored as objects. 256 object slots, 128KB (base 10) max total – Stores up to 127 rsa2048, 93 rsa3072, 68 rsa4096 or 255 of any elliptic curve type, assuming only one authentication key is present – Object types: Authentication keys (used to establish sessions); asymmetric private keys; opaque binary data objects, e.g. x509 certs; wrap keys; HMAC keys |
| Management | – Mutual authentication and secure channel between applications and HSM – M of N unwrap key restore via YubiHSM Setup Tool |
| Software Development Kit | – YubiHSM Core Library (libyubihsm) for C, Python – YubiHSM Shell (Configuration CLI) – PKCS#11 Module – YubiKey Key Storage Provider (KSP) for use with Microsoft – YubiHSM Connector – YubiHSM Setup Tool – Documentation and code examples |
| Physical characteristics | Form factor: ‘nano’ designed for confined spaces such as internal USB ports in servers Dimensions: 12mm x 13mm x 3.1mm Weight: 1 gram Current requirements 20mA avg, 30mA max USB-A plug connector |
| Safety and environmental compliance | FCC CE WEEE ROHS |
| Host interface | Universal Serial Bus (USB) 1.x Full Speed (12Mbit/s) Peripheral with bulk interface |
Envío
Enviamos solo a través de DHL Express con entrega en 96 horas.
