YubiHSM от компании Yubico – это недорогой и простой в использовании аппаратный модуль безопасности (HSM), разработанный для защиты ключей (включая криптографические ключи и пароли) на аутентификационных серверах.
Как он работает
YubiHSM — это компактный USB ключ, который вы вставляете в свой аутентификационный сервер. Он генерирует случайные числа, хранит криптографические ключи и одновременно является криптопроцессором. YubiHSM создает или получает ключи и шифрует их, прежде чем они попадут на аутентификационный сервер для хранения. Такой подход позволяет передавать, хранить и идентифицировать неограниченное количество ключей, не опасаясь взлома.
Кроме того, внутренняя памятьYubiHSM вмещает до 1000 ключей, соответственно, он и сам является автономным аутентификационным сервером. В этом режиме YubiHSM имитирует WSAPI протокол Yubico, обеспечивая быструю передачу данных на/от YubiCloud или других WSAPI приложений.
YubiHSM для связи с аутентификационным сервером использует простой последовательный протокол, и ни один криптографический ключ не может покинуть защищённую среду. Благодаря минимальной области охвата и ограниченному набору протоколов, риск удаленных атак значительно снижается.
Основные преимущества
• Позволяет безопасно хранить ключи на вашем аутентификационном сервере, используя стандартное аппаратное обеспечение.
• Защищает от внешних удаленных атак и внутренних угроз, таких как возможность копирования баз данных и ключей персоналом.
• Может выступать как автономный аутентификационный сервер, вмещающий до 1000 ключей.
• Является универсальным криптогенератором, выполняющим следующие функции: шифровка, шифровка +МАС, хеширование, генерация случайных чисел.
• Работает от USB порта. Внушительная экономия энергии по сравнению с дополнительным сервером — < 0.2 Вт против > 300 Вт. Беспроблемная эксплуатация, очень большое среднее время безотказной работы. Стоимость: 500$/шт. и никаких затрат на тех. обслуживание.
Применение
Проверка одноразовых паролей Yubikey
• Безопасное генерирование и шифрование ключей, обеспечивающее удаленное использование.
• Проверка одноразовых паролей с использованием безопасных элементов, хранящихся на диске.
• Проверка одноразовых паролей с использованием встроенной базы данных, вмещающей до 1000 ключей.
Общие случаи использования HSM
• AES шифрование/дешифрование/дешифрование и сравнение с ключом, хранящимся в HSM.
• HMAC-SHA1 с ключом, хранящимся в HSM.
• Генерирование энтропии.
Специальные случаи использования HSM
• Косвенное AES шифрование/дешифрование с одним из миллионов ключей, безопасно хранящихся в HSM.
• Косвенное HMAC-SHA1 с одним из миллионов ключей, безопасно хранящихся в HSM (можно использовать на серверах проверки OATH ).
• Генерирование защищенных ключей и хранение их в формате AEAD.
• Kerberos (сетевой протокол аутентификации, позволяющий передавать данные через незащищённые сети для безопасной идентификации).
• Все ключи для администраторов хранятся в безопасном формате AEAD в центре распределения ключей, и устройство HSM используется для шифрования/дешифрования данных для/от администраторов.
• Безопасная проверка пароля с использованием случайных данных пароля, сохраненных в AEAD (считать их сможет толькоYubiHSM).
В будущем YubiHSM можно будет использовать для ассиметричной криптографии (RSA), рвзличных AES режимов (CBC, CTS, CCM), PKCS #11 библиотеки и OATH сервера.
YubiHSM высоко оценивается ведущими экспертами по интернет-безопасности. Он используется более чем в 50 организациях, включая Министерство обороны США, в том числе для защиты YubiCloud (открытого идентификационного сервера компании YUBICO).
Автор: yubico