- Зовнішній вигляд і підключення
- Характеристики
- Особливості
- 1. Спосіб аутентифікації адміністраторів / користувачів
- 2. Експорт ключового матеріалу і резервування
- 3. Конфігурація високої доступності / HA
- Модельний ряд - як читати назву
Luna PCI-e - HSM загального призначення, застосовується для аутентифікації, підписи, генерації ключів і захищеного зберігання криптографічного матеріалу ключі, сертифікати, ключові пари.
Це найпродуктивніший і найкращим чином захищений криптографічний прискорювач в галузі.
Luna PCI-e має сертифікат FIPS 140-2 Level 3 визначає вимоги до фізичної і логічної захисту криптографічних ключів, що застосовуються в інформаційних системах.
- PKI - генерація і зберігання ключів
- перевірка підписання сертифікатів
- підписання документів
- обробка фінансових транзакцій
- шифрування баз даних
- випуск смарт-карт
На сайті виробника: http://www.safenet-inc.com/data-encryption/hardware-security-modules-hsms/luna-hsms-key-management/luna-pci-e/
Зовнішній вигляд і підключення
LUNA PCIe виконаний у вигляді карти стандарту PCIe 1.1 і встановлюється в серверні платформи зі слотами PCIe x4.
Його можна встановити і в сервери з більш широкими роз'ємами (x4 до x16), проте треба мати на увазі, що на материнських платах деяких комп'ютерів роз'єми x16 призначені ТІЛЬКИ для установки відеоадаптерів - якщо HSM встановити в них, то система не буде завантажуватися. Якщо при установці Ви зіткнулися з такою проблемою, спробуйте встановити HSM в інший кінець.
NB! Ми радимо перед покупкою внутрішнього HSM (це відноситься не тільки до LUNA PCI-e, а й до будь-яких внутрішніх модулів) перевірити - чи сумісний модуль з сервером, в який Ви збираєтеся його встановлювати. Для цього потрібно звіритися з останнім релізом Customer Release Notes (crn) для обраного HSM. Його, як правило, легко знайти на сайті виробника, або просто запустити пошук (кращий результат дає Google) - Luna PCI-e crn і вибрати посилання на найсвіжіший (за номером).
Позначення Опис * d Контакти обнулення (Tamper2) JP3 - закорочування призводить до обнулення ключового матеріалу. Якщо Ви відправляєте HSM кому-небудь (наприклад, в ремонт) або виводите його з експлуатації, і не хочете щоб вміст HSM було доступно третім сторонам, закоротити JP3, наприклад, викруткою, і весь ключовий матеріал буде знищений. e Контакти обнулення Master Tamper Key - якщо JP2 з'єднаний з кінцевим вимикачем розтину корпусу сервера, то відкриття корпусу призведе до переведення HSM в режим Tamper і знищення Master Tamper Key. g Роз'єм для підключення шлейфа зовнішнього роз'єму пристрою PED (він використовується, коли LUNA PCIe встановлюється в корпус LUNA SA) h Індикатор LED D1 [ERROR] - мерехтить ЧЕРВОНИМ якщо стався збій або HSM перейшов в стан HALT i Індикатор LED D2 [ACTIVE] - мерехтить зеленим коли HSM знаходиться в робочому стані k Роз'єм USB (використовується для під'єднання backup HSM) l Роз'єм для підключення пристрою PED
PIN Entry Device, пристрій для двофакторної аутентифікації адміністраторів HSM, воно зчитує інформацію з USB токенов iKey (вони також називаються PED Keys) - для початкової аутентифікації доступу до HSM і його розділах (розбиття). PED також має клавіатуру для введення PIN для посиленої аутентифікації доступу.
* Опис інших елементів можна знайти в документації користувача, що поставляється з пристроєм.
Характеристики
Ми звели істотну інформацію в таблицю - вона знаходиться в розділі ХАРАКТЕРИСТИКИ.
Особливості
Архітектура цього HSM надає цілий набір можливостей, які відсутні (вірніше - поки відсутні) в платіжних HSM. Ці можливості (або опції) дають користувачеві широкий спектр інструментів для побудови гнучкої і керованої системи PKI.
Отже:
1. Спосіб аутентифікації адміністраторів / користувачів
Або ПАРОЛЬ, або PED (Pin Entry Device)
Парольная схема не потребує пояснень, а ось про аутентифікацію за допомогою PED поговоримо детальніше:
PED - спеціальний пристрій, який підключається або безпосередньо до HSM (для цього на HSM є спеціальний роз'єм), і тоді це LOCAL PED, або до комп'ютера, через який здійснюється віддаленого управління HSM - відповідно - REMOTE PED
- 1 Клавіатура для введення даних (СІН)
- 2 - 8-рядковий LCD
- 3 - гніздо для підключення блоку живлення
- 4 - роз'єм USB mini-B використовується для обміну файлами
- 5 - роз'єм micro-D subminiature (MDSM) для підключення до Luna HSM (дані і харчування)
- 6 - роз'єм USB A для USB ключів
- 7 - показаний один з USB ключів
PED призначений для посиленого двофакторної аутентифікації доступу до HSM і поділу ролей (адміністратор, користувач і т.д.).
Детальніше про це можна дізнатися в закритій частині сайту, призначеної для партнерів. [Бібліотека / Luna HSM / Luna SA 5 Training / 02 Luna SA 5.0 Appliance In Depth Overview_05_2011.pptx]
NB! Рішення про спосіб аутентифікації (пароль або PED) потрібно приймати ДО покупки HSM. Перехід з одного способу на інший можливий лише на заводі.
2. Експорт ключового матеріалу і резервування
Перед покупкою HSM необхідно заздалегідь вирішити - який тип експорту ключового матеріалу / резервування Вам потрібен.
Їх два види:
- Cloning (CL) - копіювання ключового матеріалу можливо ТІЛЬКИ на backup HSM або інший Luna HSM.
- Cloning and Key Export (CKE) - до першого типу додана можливість експорту ключового матеріалу в захищений файл (key wrapping).
В "класичної" конфігурації для резервування застосовують Backup HSM -його можна під'єднати до Luna через USB, або по мережі.
3. Конфігурація високої доступності / HA
Об'єднання Luna PCIe в групу - до 3х модулів в одному сервері, дає можливість:
- балансувати навантаження, і
- забезпечити надмірність таким чином, що якщо один з HSM вийде з ладу (або навмисно відключений з яких-небудь причин), то залишилися візьмуть на себе його функції.
Під групою тут розуміються карти Luna PCI-E встановлені в ОДИН сервер. HSM, встановлені в інші сервери, в загальну групу об'єднуватися не можуть.
Продуктивність групи HSM лінійно залежить від їх кількості - так, один HSM дає, наприклад, продуктивність 7000 RSA 1024-bit підписів в секунду, два - 14000 і тд.
Так як HSM знаходяться в ОДНОМУ сервері, то відмова сервера з очевидністю призводить до відмови всієї групи HSM.
Для забезпечення функції високої доступності в повному обсязі, ми радимо розглянути застосування МЕРЕЖЕВИХ HSM - Luna SA .
Модельний ряд - як читати назву
Підсумуємо описані вище опції, привівши найменування продуктів, в нотації прайс листа. Параметри кожної моделі включені в його назву - наприклад, нотація SafeNeta для двох HSM:
Luna PCI-E-1700, PW-Auth, CKE, SW 5.2.2, FW 6.2.1 / 6.10.2
Luna PCI-E-7000, PED-Auth, CL, SW 5.2.2, FW 6.2.1 / 6.10.2
Чи означає:
- 1700 або 7000 - продуктивність даної моделі HSM. Вимірюється традиційно в 1024-бітних ключах RSA в секунду;
- PW-Auth або PED-Auth - тип аутентифікації - пароль / PED відповідно.
- CKE або CL - тип експорту ключового матеріалу - Cloning and Key Export / Cloning
- SW 6.2.1 - версія ПО
- FW 5.2.2 - версія Firmware (прошивки).
І прошивка, і ПО користувач може модернізувати за допомогою завантаження.