Меню

Luna PCIe HSM

Общее

Luna PCIe HSM

Luna PCIe - HSM общего назначения, применяется для аутентификации, подписи, генерации ключей и защищенного хранения криптографического материала ключи, сертификаты, ключевые пары

Это самый производительный и наилучшим образом защищенный криптографический ускоритель в отрасли.

Luna PCIe имеет сертификат FIPS 140-2 Level 3 определяющему требования к физической и логической защите криптографических ключей, применяемых в информационных системах.

Сферы применения:

  • PKI - генерация и хранение ключей
  • проверка подписание сертификатов
  • подписание документов
  • обработка финансовых транзакций
  • шифрование баз данных
  • выпуск смарт-карт

На сайте производителя: https://safenet.gemalto.com/data-encryption/hardware-security-modules-hsms/pci-hsm/

Внешний вид и подключения

LUNA PCIe выполнен в виде карты поддерживающей стандарты PCI-Express CEM 3.0, PCI, PCI Express Base 2.0 - устанавливается в серверные платформы со слотами PCIe x4.

Его можно установить и в серверы с более широкими разъемами (x4 до x16), однако надо иметь ввиду, что на материнских платах некоторых компьютеров разъемы x16 предназначены ТОЛЬКО для установки видеоадаптеров – если HSM установить в них, то система не будет загружаться. Если при установке Вы столкнулись с такой проблемой, попробуйте установить HSM в другой разъем.

NB! Мы советуем перед покупкой внутреннего HSM (это относится не только к LUNA PCIe, но и к любым внутренним модулям) проверить – совместим ли модуль с сервером, в который Вы собираетесь его устанавливать. Для этого нужно свериться с последним релизом Customer Release Notes (crn) для выбранного HSM. Его, как правило, легко найти на сайте производителя, или просто запустить поиск (лучший результат дает Google) – Luna PCIe crn и выбрать ссылку на самый свежий (по номеру).

Характеристики

Мы свели существенную информацию в таблицу – она находится в разделе ХАРАКТЕРИСТИКИ.

Особенности

Архитектура этого HSM предоставляет целый набор возможностей, которые отсутствуют (вернее – пока отсутствуют) в платежных HSM. Эти возможности (или опции) дают пользователю широкий спектр инструментов для построения гибкой и управляемой системы PKI.

Итак:

1. Способ аутентификации администраторов/пользователей

Либо ПАРОЛЬ, либо PED (Pin Entry Device)

Парольная схема не нуждается в пояснениях, а вот про аутентификацию с помощью PED поговорим поподробнее:

PED - специальное устройство, которое подключается либо непосредственно к HSM (для этого на HSM есть специальный разъем), и тогда это LOCAL PED, либо к компьютеру, через который осуществляется УДАЛЕННОЕ управление HSM – соответственно – REMOTE PED

  • 1- Клавиатура для ввода данных (ПИН)
  • 2 - 8-строчный LCD
  • 3 - гнездо для подключения блока питания
  • 4 - разъем USB mini-B используется для обмена файлами
  • 5 – разъем micro-D subminiature (MDSM) для подключения к Luna HSM (данные и питание)
  • 6 – разъем USB A для USB ключей
  • 7 – показан один из USB ключей

PED предназначен для усиленной двухфакторной аутентификации доступа к HSM и разделения ролей (администратор, пользователь и т.д.).

Подробнее об этом можно узнать здесь

NB! Решение о способе аутентификации (пароль или PED) нужно принимать ДО покупки HSM. Переход с одного способа на другой возможен лишь на заводе.

2. Экспорт ключевого материала и резервирование

В “классической” конфигурации для резервирования применяют Backup HSM -его можно подсоединить к Luna через USB, либо по сети.

3. Конфигурация высокой доступности / HA

Объединение Luna PCIe в группу - до 3х модулей в одном сервере, дает возможность:

  • балансировать нагрузку, и
  • обеспечить избыточность таким образом, что если один из HSM выйдет из строя (или намеренно отключен по каким-либо причинам) , то оставшиеся возьмут на себя его функции.

Под группой здесь понимаются карты Luna PCIe установленные в ОДИН сервер. HSM, установленные в другие серверы, в общую группу объединяться не могут.

Производительность группы HSM линейно зависит от их количества.

Так как HSM находятся в ОДНОМ сервере, то отказ сервера с очевидностью приводит к отказу всей группы HSM.

Для обеспечения функции высокой доступности в полном объеме, мы советуем рассмотреть применение СЕТЕВЫХ HSM – Luna Network HSM [ссылка на документ …/LUNA / luna_nw_description].

Модельный ряд – как читать название

Подытожим описанные выше опции, приведя наименование продуктов, в нотации прайс листа. Параметры каждой модели включены в его название – например, нотация HSM:

Luna PCIe HSM A700 (PWD,Standard PERF,2MB,FM Ready,FW 7.0.3)

Luna PCIe HSM A750 (PWD,Enterprise PERF,16MB,FM Ready,FW 7.0.3)

Luna PCIe HSM A790 (PWD,Maximum PERF,32MB,FM Ready,FW 7.0.3)

Luna PCIe HSM S700 (PED,Standard PERF,2MB,FM Ready,FW 7.0.3)

Luna PCIe HSM S750 (PED,Enterprise PERF,16MB,FM Ready,FW 7.0.3)

Luna PCIe HSM S790 (PED,Maximum PERF,32MB,FM Ready,FW 7.0.3)

Означает (это оценочно и зависит от различных условий):

Производительность моделей

700 750 790
RSA-2048: 1,000
ECC P256: 2,000
AES-GCM: 2,000
RSA-2048: 5,000
ECC P256: 10,000
AES-GCM: 10,000
RSA-2048: 10,000
ECC P256: 20,000
AES-GCM: 20,000

PWD или PED – тип аутентификации – пароль/PED соответственно.

FM Ready – в Модуль можно загрузить пользовательскую утилиту

FW 5.2.2 – версия Firmware (прошивки).

Прошивку пользователь может модернизировать с помощью загружаемых файлов.

Подробнее общее описание функционала HSM Luna можно посмотреть здесь




наверх