Yubikey YubiHSM2
Recursos y documentación


La Yubikey YubiHSM 2
El YubiHSM 2 redefine los estándares de la protección criptográfica al ofrecer un módulo de seguridad de hardware (HSM) ultracompacto y asequible para todas las organizaciones. Diseñado para proteger servidores, aplicaciones críticas y bases de datos, admite operaciones avanzadas de cifrado (generación, almacenamiento y gestión de claves simétricas y asimétricas). Al aislar físicamente los secretos criptográficos en un formato Nano, protege sus infraestructuras contra el robo de datos, las intrusiones lógicas y el compromiso de las autoridades de certificación.
Especificaciones técnicas del YubiHSM 2
Interfaces e integraciones criptográficas
API PKCS#11: Compatibilidad nativa a partir de la versión 2.40 para garantizar la compatibilidad universal con el software de seguridad.
Yubico Key Storage Provider (KSP): Permite una integración transparente con la arquitectura CNG (Cryptography Next Generation) de Microsoft. El KSP está disponible para arquitecturas de bibliotecas DLL de 32 y 64 bits.
Bibliotecas Core YubiHSM: Acceso programático directo y completo a todas las funciones del módulo a través de los SDK oficiales de Yubico (disponibles en C y Python).
Criptografía asimétrica (RSA)
Tamaños de clave admitidos: 2048, 3072 y 4096 bits (con el exponente público fijo $e=65537$).
Mecanismos de firma: Compatibles con los esquemas PKCS#1v1.5 y RSA-PSS.
Mecanismos de descifrado: Compatibles con los esquemas PKCS#1v1.5 y RSA-OAEP.
Criptografía basada en curvas elípticas (ECC)
Curvas compatibles: secp224r1, secp256r1, secp256k1, secp384r1, secp521r1, bp256r1, bp384r1, bp512r1, Ed25519.
Firmas digitales: ECDSA (compatible con todas las curvas excepto Ed25519) y EdDSA (exclusivamente para Ed25519).
Derivación de claves: Protocolo ECDH (compatible con todas las curvas excepto Ed25519).
Funciones hash y cifrado simétrico
Algoritmos de hash: SHA-1, SHA-256, SHA-384, SHA-512.
Cifrado y enmascaramiento de claves (Key Wrap): Importación y exportación seguras de objetos criptográficos según la norma aprobada por el NIST: AES-CCM Wrap con claves de 128, 192 y 256 bits.
Generación de números aleatorios: Generador de números aleatorios por hardware integrado directamente en el chip (TRNG), utilizado para inicializar el algoritmo determinista AES-256 CTR_DRBG de conformidad con la norma NIST SP 800-90A Rev. 1.
Funcionalidades de gestión y seguridad
Certificación criptográfica: Los pares de claves asimétricas generados de forma aislada en el dispositivo pueden certificarse criptográficamente. Esto se lleva a cabo bien mediante una clave de certificación y un certificado de Yubico específicos del hardware, bien importando sus propias claves y certificados de certificación al HSM.
Gestión de sesiones: autenticación mutua obligatoria y cifrado sistemático de los canales de comunicación (Secure Channel) entre las aplicaciones host y el YubiHSM 2.
Recuperación de claves (esquema de reparto M de N): Recuperación segura de la clave maestra de desbloqueo (Unwrap Key) mediante la herramienta oficial YubiHSM Setup Tool, lo que permite dividir el secreto entre varios administradores.
Rendimiento y métricas: ejemplos
El rendimiento varía en función de las solicitudes simultáneas y de la carga del sistema. A continuación se indican los tiempos de procesamiento orientativos para una operación aislada en un módulo YubiHSM 2 sin ningún proceso en ejecución:
| Algoritmo / Operación | Tiempo medio de tramitación |
| RSA-2048-PKCS1-SHA256 | ~ 139 ms |
| RSA-3072-PKCS1-SHA384 | ~ 504 ms |
| RSA-4096-PKCS1-SHA512 | ~ 852 ms |
| ECDSA-P224-SHA1 | ~ 64 ms |
| ECDSA-P256-SHA256 | ~ 73 ms |
| ECDSA-P384-SHA384 | ~ 120 ms |
| ECDSA-P521-SHA512 | ~ 210 ms |
| AES-(128/192/256)-CCM-Wrap | ~ 10 ms |
| HMAC-SHA-(1/256) | ~ 4 ms |
| HMAC-SHA-(384/512) | ~ 243 ms |
Capacidad de almacenamiento de objetos
Todos los datos almacenados en el HSM se estructuran y almacenan en forma de objetos seguros. El módulo dispone de 256 ubicaciones para objetos, con un espacio total asignado de 126 KB.
A modo de ejemplo, siempre que se haya configurado una única clave de autenticación de sesión, el módulo puede almacenar como máximo:
Hasta 127 claves privadas RSA-2048
O hasta 93 claves privadas RSA-3072
O hasta 68 claves privadas RSA-4096
O hasta 255 claves de curvas elípticas (de cualquier tipo).
Tipos de objetos admitidos: claves de autenticación (establecimiento de sesiones seguras), claves privadas asimétricas, datos binarios opacos (p. ej., certificados X.509), claves de cifrado de tipo Wrap y claves HMAC.
Especificaciones físicas y ambientales
Formato: USB-A «Nano» (diseñado para integrarse directamente en la parte trasera o en el interior de los chasis de servidor).
Dimensiones: 12 mm x 13 mm x 3,1 mm.
Peso: 1 g.
Rangos de temperatura de seguridad:
Rangos de funcionamiento: de 0 °C a 40 °C
Rangos de temperatura de almacenamiento: de -20 °C a 85 °C
Sistemas operativos y arquitecturas compatibles
El módulo y sus herramientas de software complementarias son compatibles con los siguientes entornos de servidores y estaciones de trabajo:
Linux (arquitectura amd64): CentOS 6, CentOS 7, Debian 8, Debian 9, Fedora 25, Ubuntu 14.04, Ubuntu 16.04 (y distribuciones posteriores basadas en estos núcleos).
Microsoft Windows (arquitectura amd64): Windows 10, Windows Server 2012, Windows Server 2016 (y versiones posteriores).
macOS (arquitectura amd64 / Apple Silicon a través de una capa de compatibilidad): 10.12 Sierra, 10.13 High Sierra (y versiones posteriores).
