Новостной блок

Ходячий робот фирмы «Одетикс»

Это именно тот случай, когда «милого» можно узнать не только по внешнему облику, но и по походке. Ходячий робот фирмы «Одетикс» (США) имеет шесть ног, обеспечивающих ему маневренность, и отличается от множества своих собратьев, предназначенных для работы в опасных зонах (например, на атомных электростанциях или химических производствах), не только конструкцией, но и способностью на ходу изменять свой рост и походку.


Подробнее ...
Главная


Luna PCI-e

  1. Зовнішній вигляд і підключення
  2. Характеристики
  3. Особливості
  4. 1. Спосіб аутентифікації адміністраторів / користувачів
  5. 2. Експорт ключового матеріалу і резервування
  6. 3. Конфігурація високої доступності / HA
  7. Модельний ряд - як читати назву

Luna PCI-e - HSM загального призначення, застосовується для аутентифікації, підписи, генерації ключів і захищеного зберігання криптографічного матеріалу ключі, сертифікати, ключові пари

Luna PCI-e - HSM загального призначення, застосовується для аутентифікації, підписи, генерації ключів і захищеного зберігання криптографічного матеріалу ключі, сертифікати, ключові пари.

Це найпродуктивніший і найкращим чином захищений криптографічний прискорювач в галузі.

Luna PCI-e має сертифікат FIPS 140-2 Level 3 визначає вимоги до фізичної і логічної захисту криптографічних ключів, що застосовуються в інформаційних системах.

  • PKI - генерація і зберігання ключів
  • перевірка підписання сертифікатів
  • підписання документів
  • обробка фінансових транзакцій
  • шифрування баз даних
  • випуск смарт-карт

На сайті виробника: http://www.safenet-inc.com/data-encryption/hardware-security-modules-hsms/luna-hsms-key-management/luna-pci-e/

Зовнішній вигляд і підключення

LUNA PCIe виконаний у вигляді карти стандарту PCIe 1.1 і встановлюється в серверні платформи зі слотами PCIe x4.

Його можна встановити і в сервери з більш широкими роз'ємами (x4 до x16), проте треба мати на увазі, що на материнських платах деяких комп'ютерів роз'єми x16 призначені ТІЛЬКИ для установки відеоадаптерів - якщо HSM встановити в них, то система не буде завантажуватися. Якщо при установці Ви зіткнулися з такою проблемою, спробуйте встановити HSM в інший кінець.

NB! Ми радимо перед покупкою внутрішнього HSM (це відноситься не тільки до LUNA PCI-e, а й до будь-яких внутрішніх модулів) перевірити - чи сумісний модуль з сервером, в який Ви збираєтеся його встановлювати. Для цього потрібно звіритися з останнім релізом Customer Release Notes (crn) для обраного HSM. Його, як правило, легко знайти на сайті виробника, або просто запустити пошук (кращий результат дає Google) - Luna PCI-e crn і вибрати посилання на найсвіжіший (за номером).

Позначення Опис * d Контакти обнулення (Tamper2) JP3 - закорочування призводить до обнулення ключового матеріалу. Якщо Ви відправляєте HSM кому-небудь (наприклад, в ремонт) або виводите його з експлуатації, і не хочете щоб вміст HSM було доступно третім сторонам, закоротити JP3, наприклад, викруткою, і весь ключовий матеріал буде знищений. e Контакти обнулення Master Tamper Key - якщо JP2 з'єднаний з кінцевим вимикачем розтину корпусу сервера, то відкриття корпусу призведе до переведення HSM в режим Tamper і знищення Master Tamper Key. g Роз'єм для підключення шлейфа зовнішнього роз'єму пристрою PED (він використовується, коли LUNA PCIe встановлюється в корпус LUNA SA) h Індикатор LED D1 [ERROR] - мерехтить ЧЕРВОНИМ якщо стався збій або HSM перейшов в стан HALT i Індикатор LED D2 [ACTIVE] - мерехтить зеленим коли HSM знаходиться в робочому стані k Роз'єм USB (використовується для під'єднання backup HSM) l Роз'єм для підключення пристрою PED
PIN Entry Device, пристрій для двофакторної аутентифікації адміністраторів HSM, воно зчитує інформацію з USB токенов iKey (вони також називаються PED Keys) - для початкової аутентифікації доступу до HSM і його розділах (розбиття). PED також має клавіатуру для введення PIN для посиленої аутентифікації доступу.

* Опис інших елементів можна знайти в документації користувача, що поставляється з пристроєм.

Характеристики

Ми звели істотну інформацію в таблицю - вона знаходиться в розділі ХАРАКТЕРИСТИКИ.

Особливості

Архітектура цього HSM надає цілий набір можливостей, які відсутні (вірніше - поки відсутні) в платіжних HSM. Ці можливості (або опції) дають користувачеві широкий спектр інструментів для побудови гнучкої і керованої системи PKI.

Отже:

1. Спосіб аутентифікації адміністраторів / користувачів

Або ПАРОЛЬ, або PED (Pin Entry Device)

Парольная схема не потребує пояснень, а ось про аутентифікацію за допомогою PED поговоримо детальніше:

Парольная схема не потребує пояснень, а ось про аутентифікацію за допомогою PED поговоримо детальніше:

PED - спеціальний пристрій, який підключається або безпосередньо до HSM (для цього на HSM є спеціальний роз'єм), і тоді це LOCAL PED, або до комп'ютера, через який здійснюється віддаленого управління HSM - відповідно - REMOTE PED

  • 1 Клавіатура для введення даних (СІН)
  • 2 - 8-рядковий LCD
  • 3 - гніздо для підключення блоку живлення
  • 4 - роз'єм USB mini-B використовується для обміну файлами
  • 5 - роз'єм micro-D subminiature (MDSM) для підключення до Luna HSM (дані і харчування)
  • 6 - роз'єм USB A для USB ключів
  • 7 - показаний один з USB ключів

PED призначений для посиленого двофакторної аутентифікації доступу до HSM і поділу ролей (адміністратор, користувач і т.д.).

Детальніше про це можна дізнатися в закритій частині сайту, призначеної для партнерів. [Бібліотека / Luna HSM / Luna SA 5 Training / 02 Luna SA 5.0 Appliance In Depth Overview_05_2011.pptx]

NB! Рішення про спосіб аутентифікації (пароль або PED) потрібно приймати ДО покупки HSM. Перехід з одного способу на інший можливий лише на заводі.

2. Експорт ключового матеріалу і резервування

Перед покупкою HSM необхідно заздалегідь вирішити - який тип експорту ключового матеріалу / резервування Вам потрібен.

Їх два види:

  • Cloning (CL) - копіювання ключового матеріалу можливо ТІЛЬКИ на backup HSM або інший Luna HSM.
  • Cloning and Key Export (CKE) - до першого типу додана можливість експорту ключового матеріалу в захищений файл (key wrapping).

В "класичної" конфігурації для резервування застосовують Backup HSM -його можна під'єднати до Luna через USB, або по мережі.

3. Конфігурація високої доступності / HA

Об'єднання Luna PCIe в групу - до 3х модулів в одному сервері, дає можливість:

  • балансувати навантаження, і
  • забезпечити надмірність таким чином, що якщо один з HSM вийде з ладу (або навмисно відключений з яких-небудь причин), то залишилися візьмуть на себе його функції.

Під групою тут розуміються карти Luna PCI-E встановлені в ОДИН сервер. HSM, встановлені в інші сервери, в загальну групу об'єднуватися не можуть.

Продуктивність групи HSM лінійно залежить від їх кількості - так, один HSM дає, наприклад, продуктивність 7000 RSA 1024-bit підписів в секунду, два - 14000 і тд.

Так як HSM знаходяться в ОДНОМУ сервері, то відмова сервера з очевидністю призводить до відмови всієї групи HSM.

Для забезпечення функції високої доступності в повному обсязі, ми радимо розглянути застосування МЕРЕЖЕВИХ HSM - Luna SA .

Модельний ряд - як читати назву

Підсумуємо описані вище опції, привівши найменування продуктів, в нотації прайс листа. Параметри кожної моделі включені в його назву - наприклад, нотація SafeNeta для двох HSM:

Luna PCI-E-1700, PW-Auth, CKE, SW 5.2.2, FW 6.2.1 / 6.10.2

Luna PCI-E-7000, PED-Auth, CL, SW 5.2.2, FW 6.2.1 / 6.10.2

Чи означає:

  • 1700 або 7000 - продуктивність даної моделі HSM. Вимірюється традиційно в 1024-бітних ключах RSA в секунду;
  • PW-Auth або PED-Auth - тип аутентифікації - пароль / PED відповідно.
  • CKE або CL - тип експорту ключового матеріалу - Cloning and Key Export / Cloning
  • SW 6.2.1 - версія ПО
  • FW 5.2.2 - версія Firmware (прошивки).

І прошивка, і ПО користувач може модернізувати за допомогою завантаження.


Читайте нас:

Голосование

Какой раздел вам наиболее интересен?
 
Яндекс.Метрика