Yubikey YubiHSM2
Recursos y documentación

Logotipo en PDF de la documentación de Yubikey
Fotografía del Yubikey YubiHSM 2

La Yubikey YubiHSM 2

El YubiHSM 2 redefine los estándares de la protección criptográfica al ofrecer un módulo de seguridad de hardware (HSM) ultracompacto y asequible para todas las organizaciones. Diseñado para proteger servidores, aplicaciones críticas y bases de datos, admite operaciones avanzadas de cifrado (generación, almacenamiento y gestión de claves simétricas y asimétricas). Al aislar físicamente los secretos criptográficos en un formato Nano, protege sus infraestructuras contra el robo de datos, las intrusiones lógicas y el compromiso de las autoridades de certificación.

 

Especificaciones técnicas del YubiHSM 2

Interfaces e integraciones criptográficas

  • API PKCS#11: Compatibilidad nativa a partir de la versión 2.40 para garantizar la compatibilidad universal con el software de seguridad.

  • Yubico Key Storage Provider (KSP): Permite una integración transparente con la arquitectura CNG (Cryptography Next Generation) de Microsoft. El KSP está disponible para arquitecturas de bibliotecas DLL de 32 y 64 bits.

  • Bibliotecas Core YubiHSM: Acceso programático directo y completo a todas las funciones del módulo a través de los SDK oficiales de Yubico (disponibles en C y Python).

Criptografía asimétrica (RSA)

  • Tamaños de clave admitidos: 2048, 3072 y 4096 bits (con el exponente público fijo $e=65537$).

  • Mecanismos de firma: Compatibles con los esquemas PKCS#1v1.5 y RSA-PSS.

  • Mecanismos de descifrado: Compatibles con los esquemas PKCS#1v1.5 y RSA-OAEP.

Criptografía basada en curvas elípticas (ECC)

  • Curvas compatibles: secp224r1, secp256r1, secp256k1, secp384r1, secp521r1, bp256r1, bp384r1, bp512r1, Ed25519.

  • Firmas digitales: ECDSA (compatible con todas las curvas excepto Ed25519) y EdDSA (exclusivamente para Ed25519).

  • Derivación de claves: Protocolo ECDH (compatible con todas las curvas excepto Ed25519).

Funciones hash y cifrado simétrico

  • Algoritmos de hash: SHA-1, SHA-256, SHA-384, SHA-512.

  • Cifrado y enmascaramiento de claves (Key Wrap): Importación y exportación seguras de objetos criptográficos según la norma aprobada por el NIST: AES-CCM Wrap con claves de 128, 192 y 256 bits.

  • Generación de números aleatorios: Generador de números aleatorios por hardware integrado directamente en el chip (TRNG), utilizado para inicializar el algoritmo determinista AES-256 CTR_DRBG de conformidad con la norma NIST SP 800-90A Rev. 1.

Funcionalidades de gestión y seguridad

  • Certificación criptográfica: Los pares de claves asimétricas generados de forma aislada en el dispositivo pueden certificarse criptográficamente. Esto se lleva a cabo bien mediante una clave de certificación y un certificado de Yubico específicos del hardware, bien importando sus propias claves y certificados de certificación al HSM.

  • Gestión de sesiones: autenticación mutua obligatoria y cifrado sistemático de los canales de comunicación (Secure Channel) entre las aplicaciones host y el YubiHSM 2.

  • Recuperación de claves (esquema de reparto M de N): Recuperación segura de la clave maestra de desbloqueo (Unwrap Key) mediante la herramienta oficial YubiHSM Setup Tool, lo que permite dividir el secreto entre varios administradores.

Rendimiento y métricas: ejemplos

El rendimiento varía en función de las solicitudes simultáneas y de la carga del sistema. A continuación se indican los tiempos de procesamiento orientativos para una operación aislada en un módulo YubiHSM 2 sin ningún proceso en ejecución:

Algoritmo / OperaciónTiempo medio de tramitación
RSA-2048-PKCS1-SHA256~ 139 ms
RSA-3072-PKCS1-SHA384~ 504 ms
RSA-4096-PKCS1-SHA512~ 852 ms
ECDSA-P224-SHA1~ 64 ms
ECDSA-P256-SHA256~ 73 ms
ECDSA-P384-SHA384~ 120 ms
ECDSA-P521-SHA512~ 210 ms
AES-(128/192/256)-CCM-Wrap~ 10 ms
HMAC-SHA-(1/256)~ 4 ms
HMAC-SHA-(384/512)~ 243 ms

Capacidad de almacenamiento de objetos

Todos los datos almacenados en el HSM se estructuran y almacenan en forma de objetos seguros. El módulo dispone de 256 ubicaciones para objetos, con un espacio total asignado de 126 KB.

A modo de ejemplo, siempre que se haya configurado una única clave de autenticación de sesión, el módulo puede almacenar como máximo:

  • Hasta 127 claves privadas RSA-2048

  • O hasta 93 claves privadas RSA-3072

  • O hasta 68 claves privadas RSA-4096

  • O hasta 255 claves de curvas elípticas (de cualquier tipo).

Tipos de objetos admitidos: claves de autenticación (establecimiento de sesiones seguras), claves privadas asimétricas, datos binarios opacos (p. ej., certificados X.509), claves de cifrado de tipo Wrap y claves HMAC.

Especificaciones físicas y ambientales

Formato: USB-A «Nano» (diseñado para integrarse directamente en la parte trasera o en el interior de los chasis de servidor).
Dimensiones: 12 mm x 13 mm x 3,1 mm.
Peso: 1 g.
Rangos de temperatura de seguridad:

    • Rangos de funcionamiento: de 0 °C a 40 °C

    • Rangos de temperatura de almacenamiento: de -20 °C a 85 °C

Sistemas operativos y arquitecturas compatibles

El módulo y sus herramientas de software complementarias son compatibles con los siguientes entornos de servidores y estaciones de trabajo:

  • Linux (arquitectura amd64): CentOS 6, CentOS 7, Debian 8, Debian 9, Fedora 25, Ubuntu 14.04, Ubuntu 16.04 (y distribuciones posteriores basadas en estos núcleos).

  • Microsoft Windows (arquitectura amd64): Windows 10, Windows Server 2012, Windows Server 2016 (y versiones posteriores).

  • macOS (arquitectura amd64 / Apple Silicon a través de una capa de compatibilidad): 10.12 Sierra, 10.13 High Sierra (y versiones posteriores).



Documentos relacionados con el YubiHSM 2

Osterman Research Cyber Security in Government (en inglés)

Vídeos relacionados con el YubiHSM 2

Cómo - Yubikey y Google (Español)

Introducción - Yubikey y Facebook

Introducción - Yubikey y DropBox

Introducción - Yubikey y Windows Hello

Introducción - Yubikey y MacOs (inglés)

Introducción - Yubikey y Tweeter (inglés)

Introducción - Yubikey y GitHub (inglés)

Actualizando...
  • Su cesta está vacía.