Yubikey YubiHSM2
Das YubiHSM 2 ist ein Hardware-Sicherheitsmodul, das erweiterte Kryptografie, einschließlich Hashing, asymmetrische und symmetrische Kryptografie, zum Schutz der Schlüssel bietet, die kritische Anwendungen, Identitäten und sensible Daten in einem Unternehmen für Zertifizierungsstellen, Datenbanken, Code-Signierung und mehr sichern.
YubiHSM 2 sichert kryptografische Schlüssel über ihren gesamten Lebenszyklus hinweg, von der sicheren Schlüsselgenerierung, Bescheinigung, sicheren Schlüsselspeicherung, sicheren Schlüsselverteilung, sicheren Schlüsselsicherung bis hin zur sicheren Schlüsselvernichtung, falls erforderlich.
Die Funktionen von YubiHSM 2 sind durch die Integration in ein quelloffenes und umfassendes Softwareentwicklungs-Toolkit (SDK) für eine breite Palette von quelloffenen und kommerziellen Anwendungen zugänglich. Der häufigste Anwendungsfall ist die hardwarebasierte Erzeugung und Überprüfung digitaler Signaturen. Weitere neue Anwendungsfälle wie die Sicherung von Kryptowährungsbörsen und IoT-Gateways sind nur einige Beispiele dafür, wie das kleinste HSM der Welt moderne Infrastrukturen sichern kann.
- Kostengünstige HSM-Lösung
- Einfacher Einsatz
- Sichere Schlüsselspeicherung und sicherer Betrieb
YubiHSM 2 bietet eine überzeugende Option für die sichere Erzeugung, Speicherung und Verwaltung von Schlüsseln. Der Schlüsselschutz erfolgt in der sicheren On-Chip-Hardware, die von den Operationen auf dem Server isoliert ist. Die meisten Anwendungsfälle betreffen den Schutz des privaten Schlüssels von Zertifizierungsstellen (CAs). Zu den Funktionen von YubiHSM 2 gehören: Generieren, Schreiben, Signieren, Entschlüsseln, Hashing und Wrapping von Schlüsseln.
YubiHSM 2 kann als umfassender kryptografischer Werkzeugkasten für kleinere Operationen in Verbindung mit einer großen Anzahl von Open-Source- und kommerziellen Anwendungen verwendet werden, die viele verschiedene Produkte und Dienste umfassen. Der häufigste Anwendungsfall ist die hardwarebasierte On-Chip-Verarbeitung zur Signaturerstellung und -prüfung. Der YubiHSM 2 unterstützt natürlich den Industriestandard PKCS#11.
YubiHSM 2 kann Hardware-gesicherte Schlüssel für Ihre Microsoft-basierte PKI-Implementierung bereitstellen. Der Einsatz von YubiHSM 2 für Ihre Microsoft Active Directory-Zertifikatsdienste schützt nicht nur die CA-Root-Schlüssel, sondern auch alle Signier- und Verifizierungsdienste, die den privaten Schlüssel verwenden.
- Sichere Schlüsselspeicherung und -operationen
- Umfassende kryptografische Fähigkeiten: RSA, ECC, ECDSA (ed25519), SHA-2, AES
- Sichere Sitzung zwischen HSM und Anwendung
- Rollenbasierte Zugriffskontrollen für die Schlüsselverwaltung und -verwendung
- 16 gleichzeitige Verbindungen
- Optionale Netzwerkfreigabe
- Fernverwaltung
- Einzigartiger "Nano"-Formfaktor, geringer Stromverbrauch
- M of N wrap key Sicherung und Wiederherstellung
- Schnittstellen über YubiHSM KSP, PKCS#11 und native Bibliotheken
- Manipulationssicheres Audit Logging
Mit dem explosionsartigen Wachstum des Kryptowährungsmarktes geht auch ein hohes Volumen an Vermögenswerten einher, die geschützt werden müssen, um aufkommende Sicherheitsrisiken zu mindern. Der YubiHSM 2 ermöglicht es Unternehmen, kryptografische Schlüssel stark zu schützen und sensible Finanzdaten sicher zu halten.
Das Internet der Dinge (IoT) ist ein schnell wachsender Bereich, in dem Systeme oft in feindlichen Umgebungen arbeiten. Umso wichtiger ist die Sicherung kryptografischer Schlüssel, da Unternehmen sensible Daten schützen müssen. Kryptografische Schlüssel werden in zahlreichen IoT-Anwendungen verwendet, die nicht ausreichend gesichert sind. Entwickler, die IoT-Anwendungen entwickeln, können schnell die Unterstützung für den YubiHSM 2 aktivieren, um kryptografische Schlüssel zu schützen und kritische IoT-Umgebungen davor zu bewahren, Opfer feindlicher Übernahmen zu werden.
- Sichere Schlüsselspeicherung und -operationen: Erstellen, importieren und speichern Sie Schlüssel und führen Sie dann alle kryptografischen Operationen in der HSM-Hardware durch, um den Diebstahl von Schlüsseln im Ruhezustand oder während der Nutzung zu verhindern. Dies schützt sowohl vor logischen Angriffen auf den Server, wie Zero-Day-Exploits oder Malware, als auch vor physischem Diebstahl eines Servers oder seiner Festplatte.
- Umfassende kryptografische Fähigkeiten: YubiHSM 2 unterstützt Hashing, Key Wrapping, asymmetrische Signier- und Entschlüsselungsvorgänge, einschließlich der erweiterten Signierung mit ed25519. Auch die Beglaubigung asymmetrischer Schlüsselpaare, die auf dem Gerät erzeugt werden, wird unterstützt.
- Sichere Sitzung zwischen HSM und Anwendung: Die Integrität und Vertraulichkeit von Befehlen und Daten bei der Übertragung zwischen dem HSM und den Anwendungen wird durch einen gegenseitig authentifizierten, integritäts- und vertraulichkeitsgeschützten Tunnel geschützt.
- Rollenbasierte Zugangskontrollen für die Schlüsselverwaltung und die Schlüsselnutzung: Alle kryptografischen Schlüssel und anderen Objekte im HSM gehören zu einer oder mehreren Sicherheitsdomänen. Für jeden Authentifizierungsschlüssel werden zum Zeitpunkt der Erstellung Zugriffsrechte zugewiesen, die die Durchführung bestimmter kryptografischer oder Verwaltungsvorgänge pro Sicherheitsdomäne ermöglichen. Administratoren weisen Authentifizierungsschlüsseln je nach Anwendungsfall Rechte zu, z. B. einer Ereignisüberwachungsanwendung, die in der Lage sein muss, alle Audit-Protokolle im HSM zu lesen, oder einer Registrierungsstelle, die digitale Zertifikate für Endbenutzer ausstellen (signieren) muss, oder einem Domänensicherheitsadministrator, der Kryptoschlüssel erstellen und löschen muss.
- 16 gleichzeitige Verbindungen: Mehrere Anwendungen können Sitzungen mit einem YubiHSM aufbauen, um kryptographische Operationen durchzuführen. Sitzungen können nach Inaktivität automatisch beendet werden oder langlebig sein, um die Leistung zu verbessern, indem die Zeit für den Sitzungsaufbau eliminiert wird.
- Im Netzwerk gemeinsam nutzbar: Um die Flexibilität von Implementierungen zu erhöhen, kann die YubiHSM 2 für die Nutzung durch Anwendungen auf anderen Servern über das Netzwerk verfügbar gemacht werden. Dies kann besonders auf einem physischen Server von Vorteil sein, auf dem mehrere virtuelle Maschinen laufen.
- Fernverwaltung: Einfache Verwaltung mehrerer YubiHSMs aus der Ferne für das gesamte Unternehmen - dadurch entfallen die Komplexität des Bereitschaftsdienstes und die Reisekosten.
- Einzigartiger "Nano"-Formfaktor, geringer Stromverbrauch: Dank des "Nano"-Formfaktors von Yubico kann das HSM vollständig in einen USB-A-Anschluss eingefügt werden, so dass es völlig unsichtbar ist - es gibt keine externen Teile, die aus der Rückseite oder dem vorderen Gehäuse des Servers herausragen. Der Stromverbrauch ist minimal (max. 30 mA) und schont damit Ihr Energiebudget.
- M of N wrap key Backup und Wiederherstellung: Das Sichern und Bereitstellen von kryptografischen Schlüsseln auf mehreren HSMs ist eine kritische Komponente der Sicherheitsarchitektur eines Unternehmens, aber es ist ein Risiko, diese Fähigkeit einer einzelnen Person zu überlassen. YubiHSM unterstützt das Festlegen von M von N Regeln für den Wrap-Schlüssel, der zum Exportieren von Schlüsseln für die Sicherung oder den Transport verwendet wird, so dass mehrere Administratoren erforderlich sind, um einen Schlüssel zu importieren und zu entschlüsseln, damit er auf weiteren HSMs verwendet werden kann. In einem Unternehmen könnte beispielsweise der private Schlüssel der Active Directory-Stammzertifizierungsstelle für 7 Administratoren (N=7) verschlüsselt sein, und mindestens 4 von ihnen (M=4) müssen den Schlüssel in das neue HSM importieren und entschlüsseln.
- Schnittstellen über YubiHSM KSP, PKCS#11 und native Bibliotheken: Kryptofähige Anwendungen können das YubiHSM über Yubicos Key Storage Provider (KSP) für Microsofts CNG oder den Industriestandard PKCS#11 nutzen. Native Bibliotheken sind auch für Windows, Linux und macOS verfügbar, um eine direktere Interaktion mit den Funktionen des Geräts zu ermöglichen.
-
Manipulationssichere Audit-Protokollierung: Der YubiHSM speichert intern ein Protokoll aller Management- und Kryptooperationsereignisse, die im Gerät auftreten, und dieses Protokoll kann zur Überwachung und Berichterstattung exportiert werden. Jedes Ereignis (Zeile) im Protokoll wird mit der vorhergehenden Zeile durch eine Hash-Verkettung verknüpft und signiert, so dass festgestellt werden kann, ob ein Ereignis geändert oder gelöscht wurde.
-
Direkte USB-Unterstützung: Der YubiHSM 2 kann direkt mit der USB-Schicht kommunizieren, ohne dass ein zwischengeschalteter HTTP-Mechanismus erforderlich ist. Dies bietet eine verbesserte Erfahrung für Entwickler, die Lösungen für virtualisierte Umgebungen entwickeln.
Links | |
---|---|
Anschluss | USB-A |
Anbindung | MS CNG/KSP, PKCS#11, native YubiHSM libraries (C, python) |
Betriebssystem | Windows, MacOS, Linux: Ubuntu, Fedora, Debian, CentOS7 |
Kryptografie | up to RSA 4096, SHA-512, ECC (ECDSA, EdDSA, ECDH), AES CCM Wrap 256, TRNG (AES256 CTR_DRBG) |