Yubikey YubiHSM2
Ressources & documentations
La Yubikey YubiHSM 2
Le YubiHSM 2 redéfinit les standards de la protection cryptographique en proposant un module de sécurité matériel (HSM) ultra-compact et économiquement accessible à toutes les organisations. Conçu pour sécuriser les serveurs, les applications critiques et les bases de données, il prend en charge les opérations de chiffrement avancées (génération, stockage et gestion des clés symétriques et asymétriques). En isolant physiquement les secrets cryptographiques dans un facteur de forme Nano, il immunise vos infrastructures contre le vol de données, les intrusions logiques et la compromission des autorités de certification.
Spécifications techniques de la YubiHSM 2
Interfaces et Intégrations Cryptographiques
API PKCS#11 : Pris en charge nativement en version 2.40 pour une compatibilité universelle avec les logiciels de sécurité.
Yubico Key Storage Provider (KSP) : Permet une intégration transparente avec l’architecture Microsoft CNG (Cryptography Next Generation). Le KSP est fourni pour les architectures de bibliothèques DLL 32 bits et 64 bits.
Bibliothèques Core YubiHSM : Accès programmatique direct et complet à l’ensemble des capacités du module via les SDK officiels de Yubico (disponibles en C et Python).
Cryptographie Asymétrique (RSA)
Tailles de clés supportées : 2048, 3072 et 4096 bits (avec l’exposant public fixe $e=65537$).
Mécanismes de signature : Pris en charge via les schémas PKCS#1v1.5 et RSA-PSS.
Mécanismes de déchiffrement : Pris en charge via les schémas PKCS#1v1.5 et RSA-OAEP.
Cryptographie sur Courbes Elliptiques (ECC)
Courbes prises en charge : secp224r1, secp256r1, secp256k1, secp384r1, secp521r1, bp256r1, bp384r1, bp512r1, Ed25519.
Signatures numériques : ECDSA (compatible avec toutes les courbes sauf Ed25519) et EdDSA (exclusivement pour Ed25519).
Dérivation de clés : Protocole ECDH (compatible avec toutes les courbes sauf Ed25519).
Fonctions de Hachage et Chiffrement Symétrique
Algorithmes de hachage : SHA-1, SHA-256, SHA-384, SHA-512.
Chiffrement et masquage de clés (Key Wrap) : Importation et exportation sécurisées d’objets cryptographiques selon la norme approuvée par le NIST : AES-CCM Wrap avec des clés de 128, 192 et 256 bits.
Génération de nombres aléatoires : Générateur de nombres aléatoires matériel intégré directement sur la puce (TRNG), utilisé pour initialiser l’algorithme déterministe AES-256 CTR_DRBG conformément à la norme NIST SP 800-90A Rév.1.
Fonctionnalités de Gestion et Sécurité
Attestation cryptographique : Les paires de clés asymétriques générées de manière isolée sur le périphérique peuvent être attestées cryptographiquement. Cela s’effectue soit via une clé d’attestation et un certificat Yubico propres au matériel, soit en important vos propres clés et certificats d’attestation au sein du HSM.
Gestion des sessions : Authentification mutuelle obligatoire et chiffrement systématique des canaux de communication (Secure Channel) entre les applications hôtes et le YubiHSM 2.
Restauration des clés (Schéma de partage M de N) : Restauration sécurisée de la clé maîtresse de démasquage (Unwrap Key) via l’outil officiel YubiHSM Setup Tool, permettant de diviser le secret entre plusieurs administrateurs.
Performances et Métriques Échantillons
Les performances varient selon les requêtes concurrentes et la charge du système. Voici les mesures indicatives de temps de traitement pour une opération isolée sur un module YubiHSM 2 libre de tout processus :
| Algorithme / Opération | Temps de traitement moyen |
| RSA-2048-PKCS1-SHA256 | ~ 139 ms |
| RSA-3072-PKCS1-SHA384 | ~ 504 ms |
| RSA-4096-PKCS1-SHA512 | ~ 852 ms |
| ECDSA-P224-SHA1 | ~ 64 ms |
| ECDSA-P256-SHA256 | ~ 73 ms |
| ECDSA-P384-SHA384 | ~ 120 ms |
| ECDSA-P521-SHA512 | ~ 210 ms |
| AES-(128/192/256)-CCM-Wrap | ~ 10 ms |
| HMAC-SHA-(1/256) | ~ 4 ms |
| HMAC-SHA-(384/512) | ~ 243 ms |
Capacité de Stockage des Objets
Toutes les données résidentes au sein du HSM sont structurées et stockées sous forme d’objets sécurisés. Le module dispose de 256 emplacements d’objets pour un espace total alloué de 126 Ko.
À titre d’exemple, sous réserve qu’une seule clé d’authentification de session soit configurée, le module peut stocker au maximum :
Jusqu’à 127 clés privées RSA-2048
Ou jusqu’à 93 clés privées RSA-3072
Ou jusqu’à 68 clés privées RSA-4096
Ou jusqu’à 255 clés de courbes elliptiques (tous types confondus).
Types d’objets acceptés : Clés d’authentification (établissement des sessions sécurisées), clés privées asymétriques, données binaires opaques (ex: certificats X.509), clés de chiffrement de type Wrap, clés HMAC.
Spécifications physiques et Environnement
Facteur de forme : USB-A « Nano » (conçu pour s’intégrer directement à l’arrière ou à l’intérieur des châssis serveurs).
Dimensions : 12 mm x 13 mm x 3,1 mm.
Poids : 1 g.
Plages de températures de sécurité :
Seuils en fonctionnement : 0 °C à 40 °C
Seuils en stockage : -20 °C à 85 °C
Systèmes d'Exploitation et Architectures Supportés
Le module et ses outils logiciels d’accompagnement sont compatibles avec les environnements serveurs et stations de travail suivants :
Linux (Architecture amd64) : CentOS 6, CentOS 7, Debian 8, Debian 9, Fedora 25, Ubuntu 14.04, Ubuntu 16.04 (et distributions ultérieures basées sur ces noyaux).
Microsoft Windows (Architecture amd64) : Windows 10, Windows Server 2012, Windows Server 2016 (et versions ultérieures).
macOS (Architecture amd64 / Apple Silicon via couche de compatibilité) : 10.12 Sierra, 10.13 High Sierra (et versions ultérieures).
Document(s) lié(s) à la YubiHSM 2
Vidéo(s) liée(s) à la YubiHSM 2
How to - Yubikey and Google (English)
Introduction - Yubikey and Facebook (English)
Introduction - Yubikey and DropBox (English)
Introduction - Yubikey and Windows Hello (English)
Introduction - Yubikey and MacOs (English)
Introduction - Yubikey and Tweeter (English)
Introduction - Yubikey and GitHub (English)
