SafeNet Luna PCI-E

Úvodní stránka / Produkty / HSM moduly / HSM PCI-E karty

Stejně jako u standalone modulů se v případě Luny PCI-E jedná o vysoce zabezpečený hardware primárně určený pro ukládání kryptografických klíčů v zabezpečeném hardwarovém úložišti, dále k řízení životního cyklu klíčů a značné akceleraci kryptografických operací. Šifrovací výkon systému využívajícího jednotku Luna PCI-E se zvyšuje pomocí optimalizovaného procesoru pro kryptografické operace.

Samostatná karta SafeNet Luna PCI-E komunikuje s aplikačním serverem pomocí PCI Express rozhraní. Seznam podporovaných serverů lze nalézt v dokumentu Customer Release Notes (strana 7 - 8) dostupném na odkazu níže.

Vnitřní bezpečnostní architektura Luny PCI-E poskytuje bezprecedentní úroveň bezpečnosti pro kryptografické klíče a podobně citlivá data generovaná, spravovaná a uložená v rámci HSM karty. Jádrem je robustní fail-safe bezpečnostní systém integrovaný do čipu SafeXcel 3120. Tato architektura izoluje důležitá data od řídících instrukcí firmwaru. Všechny HSM Luna jsou i fyzicky ochráněny proti vniknutí do hardwaru a reverznímu inženýrství. Při pokusu o fyzický (i v jistých případech logického) útok na jednotku dojde ke smazání její paměti. Úroveň bezpečnosti dokazuje seznam certifikací, které karta obdržela.

Pro vysokou dostupnost lze použít High Availability mód (HA) dvou karet, tím se vyřeší i symetrické distribuování zátěže mezi tyto karty. Pro další zvýšení bezpečnosti lze využívat autentizační PED (PIN Entry Device, zařízení disponující hardwarovou klávesnicí a USB porty pro autentizační tokeny) a to i pro vzdálený přístup a zálohování. Karty podporují i Secure Transport Mode, kdy dojde k rozdělení všech klíčů v jednotce na části (tomu je opět vyhrazena zvláštní role) a po splnění všech podmínek, řádné autentizaci dostatečným množstvím (množství lze nastavit či použít M of N) tokenů/rolí dojde opět k obnovení jednotky.

Výkon HSM karet se udává počtem ověření 1024b RSA transakcí za vteřinu. Luna PCI-E se stejně jako Luna SA dodává ve dvou provedeních. Výchozí varianta Luna SA 1700 a výkonnější varianta Luna SA 7000 (což se samozřejmě promítne na koncové ceně). Jak samotné číselné hodnoty napovídají, Luna SA 1700 zvládá ověřit 1700 transakcí za vteřinu a výkonnější varianta Luna SA 7000 disponuje výkonem až 7000 transakcí za vteřinu. Spolehlivost karet také dokazuje hodnota MTBF (Mean Time Between Failures – střední doba mezi poruchami). Výrobce uvádí hodnotu 216 204 hodin, což přesahuje 20 let provozu 24/7. Kartu lze zakoupit i v konfiguraci s rozšířenou pamětí, Key Export nebo třeba Secure Delivery.

HSM moduly Luna společnosti SafeNet lze snadno integrovat např. s Microsoft SQL Serverem, jak se můžete dočíst v přiložené studii.

Rozhraní	PCI ExpressX4 PCI CEM 1.0a
Podporované OS	Windows Server Linux Solaris
Klientské API	PKCS#11 v.2.20 Microsoft CryptoAPI Java JCA/JCE OpenSSL
Asymetrické a symetrické šifrovací algoritmy	RSA (1024-8192 bit) Diffie-Hellman (1024-bit) ECDSA, ECC Brainpool curves DSA (1024-3072 bit) DES, Triple DES, RC4, RC5, CAST, SEED AES
Hashovací algoritmy	MD2, MD5, SHA1, SHA256, SHA512
Message Authentication Codes	HMAC-MD5, HMAC-SHA1 SSL3-MD5-MAC, SSL3-SHA1-MAC
Certifikace	FIPS 140-2 level 2, level 3 Common Criteria EAL4+ BAC&EAC ePassport support
Bezpečnostní a enviromentální certifikace	UL, CSA, CE FCC, KC Mark, VCCI RoHS, WEEE