криптопро hsm что это
Криптопро hsm что это
КриптоПро HSM
КриптоПро HSM 2.0
Пользовательские ключи хранятся в HSM в зашифрованном виде с использованием специальных мастер-ключей защиты. Эти мастер-ключи, в свою очередь, зашифрованы с использованием ключа активации HSM, который защищен с использованием схемы разделения секрета «3 из 5» с хранением компонент на смарт-картах администраторов безопасности.
Ключи пользователей в долговременной памяти всегда надежно защищены, их использование возможно только по аутентифицированному запросу и при условии активации HSM администраторами безопасности. Работа с ключами производится при выполнении полного комплекса специальных мер противодействия атакам, соответствующим высокому классу защиты KB2.
КриптоПро HSM предоставляет интерфейсы CryptoAPI, PKCS#11 и JCA (Java), доступные для использования после успешной аутентификации пользователя с помощью ключей доступа. С помощью этих интерфейсов обеспечивается возможность бесшовного перехода на работу с долговременными ключами в HSM для повышения защиты криптографических подсистем удостоверяющих центров, OCSP-серверов, служб штампов времени, серверов облачной электронной подписи и прочих доверенных подсистем и любых других приложений, использующих КриптоПро CSP/JCP
КриптоПро HSM обеспечивает выполнение следующих операций:
В КриптоПро HSM 2.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Поддерживаются отказоустойчивые конфигурации и горизонтальное масштабирование при множественной подписи.
КриптоПро HSM 2.0 обеспечивает высокую производительность выполнения криптографических операций. При помощи пакетной обработки может быть достигнута производительность до 50 000 формирований электронной подписи в секунду.
КриптоПро HSM 2.0 позволяет безопасно хранить до 500 000 секретных ключей с возможностью расширения до 20 000 000 и более.
Безопасное хранилище ключей электронной подписи
КриптоПро HSM в первую очередь предназначен для безопасного хранения и использования секретных ключей электронной подписи удостоверяющих центров и пользователей. Любая система, которая использует Microsoft Cryptographic API/Java Cryptography Architecture для выполнения криптографических операций может воспользоваться преимуществами размещения секретных ключей в HSM.
Благодаря классу защиты KB2 КриптоПро HSM может использоваться в банках для выполнения требований по взаимодействию с Единой Биометрической Системой (ЕБС) – как для электронной подписи собираемых биометрических персональных данных, так и для взаимодействия с ЕБС при аутентификации и авторизации пользователей.
Подпись кода
КриптоПро HSM может быть использован для подписи кода распространенных платформ и для безопасного хранения секретных ключей подписи кода. Ведущие поставщики EV-сертификатов (DigiCert) позволяют использовать КриптоПро HSM в качестве хранилища секретных ключей.
Поддерживаемые технологии подписи:
SSL/TLS сервер
КриптоПро HSM может использоваться как защищенное хранилище секретных ключей SSL/TLS сервера для секретных ключей ГОСТ и RSA/ECDSA:
Комплектация
В состав поставки входит клиентское ПО, которое поставляется на CD-ROM совместно с ПАКМ «КриптоПро HSM».
Криптопро hsm что это
КриптоПро HSM
КриптоПро HSM 2.0
Пользовательские ключи хранятся в HSM в зашифрованном виде с использованием специальных мастер-ключей защиты. Эти мастер-ключи, в свою очередь, зашифрованы с использованием ключа активации HSM, который защищен с использованием схемы разделения секрета «3 из 5» с хранением компонент на смарт-картах администраторов безопасности.
Ключи пользователей в долговременной памяти всегда надежно защищены, их использование возможно только по аутентифицированному запросу и при условии активации HSM администраторами безопасности. Работа с ключами производится при выполнении полного комплекса специальных мер противодействия атакам, соответствующим высокому классу защиты KB2.
КриптоПро HSM предоставляет интерфейсы CryptoAPI, PKCS#11 и JCA (Java), доступные для использования после успешной аутентификации пользователя с помощью ключей доступа. С помощью этих интерфейсов обеспечивается возможность бесшовного перехода на работу с долговременными ключами в HSM для повышения защиты криптографических подсистем удостоверяющих центров, OCSP-серверов, служб штампов времени, серверов облачной электронной подписи и прочих доверенных подсистем и любых других приложений, использующих КриптоПро CSP/JCP
КриптоПро HSM обеспечивает выполнение следующих операций:
В КриптоПро HSM 2.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Поддерживаются отказоустойчивые конфигурации и горизонтальное масштабирование при множественной подписи.
КриптоПро HSM 2.0 обеспечивает высокую производительность выполнения криптографических операций. При помощи пакетной обработки может быть достигнута производительность до 50 000 формирований электронной подписи в секунду.
КриптоПро HSM 2.0 позволяет безопасно хранить до 500 000 секретных ключей с возможностью расширения до 20 000 000 и более.
Безопасное хранилище ключей электронной подписи
КриптоПро HSM в первую очередь предназначен для безопасного хранения и использования секретных ключей электронной подписи удостоверяющих центров и пользователей. Любая система, которая использует Microsoft Cryptographic API/Java Cryptography Architecture для выполнения криптографических операций может воспользоваться преимуществами размещения секретных ключей в HSM.
Благодаря классу защиты KB2 КриптоПро HSM может использоваться в банках для выполнения требований по взаимодействию с Единой Биометрической Системой (ЕБС) – как для электронной подписи собираемых биометрических персональных данных, так и для взаимодействия с ЕБС при аутентификации и авторизации пользователей.
Подпись кода
КриптоПро HSM может быть использован для подписи кода распространенных платформ и для безопасного хранения секретных ключей подписи кода. Ведущие поставщики EV-сертификатов (DigiCert) позволяют использовать КриптоПро HSM в качестве хранилища секретных ключей.
Поддерживаемые технологии подписи:
SSL/TLS сервер
КриптоПро HSM может использоваться как защищенное хранилище секретных ключей SSL/TLS сервера для секретных ключей ГОСТ и RSA/ECDSA:
Комплектация
В состав поставки входит клиентское ПО, которое поставляется на CD-ROM совместно с ПАКМ «КриптоПро HSM».
Криптопро hsm что это
ПАКМ «КриптоПро HSM» представляет собой сетевое устройство, подключаемое либо непосредственно к серверу (хосту), использующему криптографические сервисы ПАКМ «КриптоПро HSM», либо в сегмент локальной сети через стандартные сетевые устройства (коммутаторы, маршрутизаторы, концентраторы) для обслуживания групп серверов и компьютеров пользователей сети.
ПАКМ «КриптоПро HSM» может быть использован в качестве СКЗИ в различных системах/подсистемах криптографической защиты информации (ПКЗИ), поддерживающих криптографические интерфейсы «КриптоПро CSP» (Microsoft CryptoAPI 2.0).
Централизованное хранение ключей
ПАКМ «КриптоПро HSM» позволяет организовать централизованное хранение и управление как ключами серверов, так и ключами всех пользователей внутри корпорации.
ПАКМ «КриптоПро HSM» предоставляет удобный интерфейс взаимодействия с серверами и рабочими станциями пользователей, а также возможность идентификации и аутентификации пользователей при локальном и удаленном доступе к ПАКМ «КриптоПро HSM».
Все секретные ключи пользователей хранятся в ПАКМ в зашифрованном на специальных ключах шифрования виде. Ключи шифрования в свою очередь шифруются на разделенном по схеме «3 из 5-ти» ключе активации ПАКМ, защитные части которого хранятся на смарт-картах и распределяются между работниками службы безопасности компании.
Расшифрование секретного ключа пользователя осуществляется в оперативной памяти ПАКМ и лишь в момент обращения к нему владельца.
Доступ пользователей к ПАКМ возможен только после активации ПАКМ (ввода защитных частей ключа активации) и при успешной процедуре аутентификации, использующей стандартный протокол TLS с двухсторонней аутентификацией. TLS ключи доступа формируются пользователям либо на смарт-картах (ОСКАР, МАГИСТРА), либо на USB ключах типа eToken, ruToken. Существует возможность хранения данного ключа в реестре Windows на рабочем компьютере пользователя.
Все ключи пользователей, хранящиеся в ПАКМ «КриптоПро HSM», кроме всего защищаются индивидуальным пин-кодом, задаваемым владельцем ключа в момент его генерации, либо в процедуре смены пин-кода. Пин-код доступа к ключу задается на рабочем месте пользователя. Для ключей системных сервисов (например, ключа Уполномоченного лица Центра сертификации) имеется возможность защищенного ввода пин-кода с LCD панели ПАКМ.
Простота и удобство администрирования
Управление ПАКМ «КриптоПро HSM» включает:
Все операции по управлению ПАКМ «КриптоПро HSM» могут быть выполнены как с LCD панели ПАКМ «КриптоПро HSM», так и с использованием WEB доступа.
Удаленное рабочее место администратора ПАКМ «КриптоПро HSM» представляет собой отдельно стоящий компьютер с установленными ОС Windows, КриптоПро CSP 4.0 (лицензия входит в комплект) и Internet Explorer версии от 6.0. Данный компьютер подключается к ПАКМ «КриптоПро HSM» по отдельному сетевому интерфейсу с ограничением доступа при помощи правил встроенного межсетевого экрана ПАКМ, двухсторонней TLS аутентификации привилегированного пользователя и ПАКМ «КриптоПро HSM».
Ролевое разграничение доступа
В соответствии с требованиями класса защиты KB2 в ПАКМ «КриптоПро HSM» реализована ролевая модель доступа к функциям ПАКМ. При этом привилегированные пользователи ПАКМ (члены группы администраторов, имеющие доступ в контролируемую зону) могут являться потенциальными нарушителями, но возможность сговора между ними исключается.
Данное требование реализовано с использованием ролевой модели доступа к различным функциям ПАКМ. Это означает, что каждому отдельному члену административной группы дается доступ только к строго определенному набору административных функций, не позволяющих провести успешную атаку на получение контроля над ключами пользователей, хранящихся в ПАКМ «КриптоПро HSM».
Программное обеспечение ПАКМ «КриптоПро HSM» различает следующие роли:
Признак того, что пользователю назначена та или иная роль хранится в сертификате ключа доступа к функциям ПАКМ, как специальное расширение (Extended Key Usage) сертификата. Доступ к ПАКМ (локальный или удаленный) осуществляется только с использованием данного сертификата ключа доступа и самого ключа (секретной его части).
Ключи и сертификат доступа к ПАКМ «КриптоПро HSM» формируются ПАКМ и выдаются обычным пользователям администратором ПАКМ «КриптоПро HSM».
Надежность криптографических сервисов
ПАКМ «КриптоПро HSM» предоставляет:
Простота встраивания
ПАКМ «КриптоПро HSM» предоставляет интерфейс к прикладным криптографическим функциям в соответствии со спецификацией Microsoft Cryptographic Service Provider.
ПАКМ «КриптоПро HSM» обеспечивает:
Соответствие требованиям безопасности
ПАКМ «КриптоПро HSM» – программно-аппаратный криптографический модуль, разработан в соответствии с «Требованиями к шифровальным (криптографическим) средствам, предназначенным для защиты информации не содержащей сведений, составляющих государственную тайну», и удовлетворяет классу защиты КВ2 данных требований ( при выполнении «Правил пользования ПАКМ «КриптоПро HSM». ЖТЯИ.00096-01 95 01″ в части условий применения и «Руководства Администратора безопасности» ЖТЯИ.00096-01 91 01 ).