YubiHSM 2
YUBICO
YubiHSM2
Meilleur prix / performance module de sécurité matérielle
Racine de confiance pour les serveurs et les appareils informatiques
Le YubiHSM 2 est un module de sécurité matérielle (HSM) économique pour les serveurs et les passerelles IoT, offrant des fonctionnalités avancées de protection des clés numériques et des avantages à un prix accessible à toutes les organisations.
Il offre les plus hauts niveaux de sécurité pour la génération, le stockage et la gestion de clés numériques cryptographiques, prenant en charge un large éventail d’environnements et d’applications d’entreprise. Les fonctionnalités de YubiHSM 2 sont accessibles via le KSP (Key Storage Provider) de Yubico pour le PKCS # 11 ou le CNG de Microsoft, ou via les librairies natives Windows, Linux et macOS. Son facteur de forme «nano» ultra-mince s’ajuste à l’intérieur du port USB d’un serveur, éliminant le besoin de matériel supplémentaire volumineux et offrant une flexibilité pour le transfert ou la sauvegarde de clés hors ligne. Fonctions de sécurité essentielles, y compris le hachage, la cryptographie asymétrique et symétrique pour protéger les clés cryptographiques au repos ou en cours d’utilisation. Ces clés sont le plus souvent utilisées par les autorités de certification, les bases de données et la signature de code pour sécuriser les applications critiques, les identités et les données sensibles dans une entreprise.
Sécuriser les services de certificats Microsoft Active Directory
YubiHSM 2 fournit une clé sécurisée par le matériel pour sécuriser les clés numériques utilisées dans une implémentation PKI basée sur Microsoft. Le déploiement de YubiHSM 2 dans les services de certificats Microsoft Active Directory protège non seulement les clés racine de l’autorité de certification, mais protège également tous les services de signature et de vérification à l’aide de la clé racine.
Activer les opérations cryptographiques basées sur le matériel
YubiHSM 2 peut être utilisé comme une boîte à outils cryptographique complète pour un large éventail d’applications open source et commerciales. Le cas d’utilisation le plus courant est la génération et la vérification de signature numérique basée sur le matériel.
Améliorer la protection des clés cryptographiques
YubiHSM 2 offre une option convaincante pour la génération sécurisée, le stockage et la gestion des clés numériques, y compris les capacités essentielles pour générer, écrire, signer, déchiffrer, hacher et empaqueter des clés.
Présentation des fonctionnalités
Stockage sécurisé des clés et opérations
Capacités cryptographiques étendues: RSA, ECC, ECDSA (ed25519), SHA-2, AES
Session sécurisée entre HSM et l’application Contrôles d’accès basés sur les rôles pour la gestion des clés et l’utilisation des clés 16 connexions simultanées
En option, le réseau peut être partagé
Gestion à distance
Facteur de forme unique « Nano »
Faible consommation d’énergie
Sauvegarde et restauration de la clé M de N
Interfaces via YubiHSM KSP, PKCS # 11 et les bibliothèques natives
Journalisation d’audit inviolable
Capacités cryptographiques étendues YubiHSM 2 prend en charge le hachage, l’encapsulation des clés, la signature asymétrique et les opérations de décryptage, y compris la signature avancée en utilisant ed25519. L’attestation est également prise en charge pour les paires de clés asymétriques générées sur le périphérique.
16 connexions simultanées
Plusieurs applications peuvent établir des sessions avec un YubiHSM pour effectuer des opérations cryptographiques. Les sessions peuvent être automatiquement interrompues après l’inactivité ou être de longue durée pour améliorer les performances en éliminant le temps de création de la session.
Technical Specifications
Operating System Support
Windows, Linux, macOS
| Operating System | Version | Architecture |
| Linux | CentOS 6 CentOS 7 Debian 8 Debian 9 Fedora 25 Ubuntu 1404 Ubuntu 1604 | amd64 |
| Windows | Windows 10 Windows Server 2012 Windows Server 2016 | amd64 |
| macOS | 10.12 Sierra 10.13 High Sierra | amd64 |
Interfaces cryptographiques (API) Microsoft CNG (KSP) PKCS # 11 (Windows, Linux, macOS) Bibliothèques de base natives YubiHSM (C, python) Capacités cryptographiques Hashing (utilisé avec HMAC et signatures asymétriques) SHA-1, SHA-256, SHA-384, SHA-512 RSA 2048, 3072 et 4096 bits Signature en utilisant PKCS # 1v1.5 et PSS Décryptage utilisant PKCS # 1v1.5 et OAEP Cryptographie de courbe elliptique (ECC) Courbes: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519 Signature: ECDSA (tous sauf la courbe25519), EdDSA (courbe25519 seulement) Décryptage: ECDH (tous excepté curve25519) Emballage clé Importation et exportation à l'aide de NIST AES-CCM Wrap à 128, 196 et 256 bits Nombres aléatoires Générateur de nombre aléatoire vrai sur puce (TRNG) utilisé pour semer NIST SP 800-90 AES 256 CTR_DRBG Attestation Les paires de clés asymétriques générées sur le périphérique peuvent être attestées à l'aide d'une clé d'attestation et d'un certificat certifiés en usine ou à l'aide de votre propre clé et certificat importés dans le module HSM. Performance Les performances varient en fonction de l'utilisation. Le kit de développement logiciel fourni comprend des outils de performance pouvant être utilisés pour des mesures supplémentaires. Exemple de métriques provenant d'un YubiHSM 2 autrement inoccupé:
RSA-2048-PKCS1-SHA256: ~ 139ms moy. RSA-3072-PKCS1-SHA384: ~ 504ms en moyenne RSA-4096-PKCS1-SHA512: ~ 852ms moy. ECDSA-P256-SHA256: ~ 73ms moy. ECDSA-P384-SHA384: ~ 120ms moy. ECDSA-P521-SHA512: ~ 210ms moy. EdDSA-25519-32Bytes: ~ 105ms en moyenne.
Capacité de stockage
Toutes les données stockées en tant qu’objets.
256 emplacements d’objet
128 Ko (base 10) maximum total
Stocke jusqu’à 127 rsa2048
93 rsa3072
68 rsa4096
ou 255 de n’importe quel type de courbe elliptique, en supposant qu’une seule clé d’authentification est présente.
Types d’objets:
Clés d’authentification (utilisées pour établir des sessions); clés privées asymétriques; des objets de données binaires opaques, par ex. x509 certificats; envelopper les clés; Clés HMAC La gestion Authentification mutuelle et canal sécurisé entre les applications et HSM M de N restaurer la clé par l’outil de configuration YubiHSM Kit de développement logiciel Un kit de développement logiciel pour YubiHSM 2 est disponible en téléchargement sur Yubico.com et comprend:
Caractéristiques physiques Facteur de forme: ‘nano’ conçu pour les espaces confinés tels que les ports USB internes dans les serveurs Dimensions: 12mm x 13mm x 3.1mm Poids: 1 gramme Exigences actuelles 20mA moy, max 30mA Connecteur USB-A Conformité à la sécurité et l’environnement FCC CE DEEE ROHS Interface hôte Périphérique USB (Universal Serial Bus) 1.x pleine vitesse (12Mbit / s) avec interface en masse.
EdDSA-25519-64Bytes: ~ 121ms moy.
EdDSA-25519-128Bytes: ~ 137ms moy.
EdDSA-25519-256Bytes: ~ 168ms moy.
EdDSA-25519-512Bytes: ~ 229 ms moy.
EdDSA-25519-1024Bytes: ~ 353ms en moyenne
AES- (128 | 192 | 256) -CCM-Wrap: ~ 10ms moy.
HMAC-SHA- (1 | 256): ~ 4ms moy.
HMAC-SHA- (384 | 512): ~ 243ms moy.
EdDSA-25519-128Bytes: ~ 137ms moy.
EdDSA-25519-256Bytes: ~ 168ms moy.
EdDSA-25519-512Bytes: ~ 229 ms moy.
EdDSA-25519-1024Bytes: ~ 353ms en moyenne
AES- (128 | 192 | 256) -CCM-Wrap: ~ 10ms moy.
HMAC-SHA- (1 | 256): ~ 4ms moy.
HMAC-SHA- (384 | 512): ~ 243ms moy.