ProtectServer
ProtectServer – классический "платежный" HSM.
Выпускается в виде внутреннего (ProtectServer Internal) или внешнего (ProtectServer External) устройства. ProtectServer External – суть ProtectServer Internal, установленный в корпус.
ProtectServer Internal
- выполнен в виде карты стандарта PCI 2.2 и устанавливается в серверные платформы со слотами PCIe x4.
Его можно установить и в серверы с более широкими разъемами (x4 до x16), однако надо иметь ввиду, что на материнских платах некоторых компьютеров разъемы x16 предназначены ТОЛЬКО для установки видеоадаптеров – если HSM установить в них, то система не будет загружаться. Если при установке Вы столкнулись с такой проблемой, попробуйте установить HSM в другой разъем.
NB! Мы советуем перед покупкой внутреннего HSM (это относится не только к ProtectServer Internal, но и к любым внутренним модулям) проверить – совместим ли модуль с сервером, в который Вы собираетесь его устанавливать. Для этого нужно свериться с последним релизом Customer Release Notes (crn) для выбранного HSM. Его, как правило, легко найти на сайте производителя, или просто запустить поиск (лучший результат дает Google) - ProtectServer Internal crn и выбрать ссылку на самый свежий (по номеру).
Особенности
Концепция ProtectServer предусматривает возможность пользователю загружать и исполнять в защищенной области HSM программы собственной разработки – т.н. Функциональные Модули (Functional Modules – FM).
Это может быть полезно в тех случаях, когда используются собственные алгоритмы, или когда обработку данных небезопасно проводить на самом сервере. Иными словами, загрузив собственный FM в модуль, Вы получаете HSM, в котором Ваши программы становятся частью его firmware.
Соответствующий комплект для разработки входит в стандартный набор ПО, поставляемого с модулем.
Модельный ряд – как читать название
Параметры каждой модели включены в его название – например, нотация SafeNeta:
ProtectServer 2 Card,Toolkit PTK V5.7,PL1500,FW5.04.00
Означает:
- Toolkit PTK V5.7 – версия ПО ProtectTool Kit – набор утилит, обеспечивающий взаимодействие HSM с внешним окружением;
- PL1500 – Performance Level 25– производительность данной модели HSM. Измеряется традиционно в 1024-битных ключах RSA. На настоящий момент Thales/SafeNet производит три модели, различающиеся только производительностью – ProtectServer 2 - 25, 220 и 1500 операций в секунду, а ProtectServer 3 - 25, 220 и 3500 операций в секунду;
- FW5.04.00 – версия Firmware (прошивки).
ProtectServer Internal / детально
NB! Надо иметь ввиду, что разъем USB предназначен ТОЛЬКО для подключения считывателя смарт карт (входит в комплект вместе с необходимыми кабелями). Иные USB устройства (включая принтеры) через него работать не будут.
На задней части карты установлены четыре джампера:
Battery – активирует/деактивирует батарею. Надо иметь ввиду, что деактивация батареи приводит к потере всей хранящейся в HSM информации (включая ключевую)
Decommission - установка этого джампера приводит к уничтожению ключевого материала, хранящегося в HSM
Tamper - для подсоединения внешнего устройства защиты от вскрытия корпуса сервера. установка этого джампера приводит к уничтожению ключевого материала, хранящегося в HSM
Polarity - служебный джампер и трогать его не рекомендуется
Резервное копирование осуществляется на входящие в комплект (2 шт) смарт карты.
Конфигурация высокой доступности и балансировки нагрузки не предусмотрена.
ProtectServer External
По своей сути, ProtectServer External – это ProtectServer Internal, установленный в шасси 19’’ с дополнительными коммуникационными интерфейсами. Помимо этого, корпус имеет датчики вскрытия, соединенные с джампером Tamper карты.
VGA – VGA
Console - консоль
USB - к этим портам подсоединяются клавиатура и мышь
Eth0, eth1 - сетевые интерфейсы 10/100/1000 Mb/s Ethernet. Каждый может иметь свой собственный IP адрес
HSM USB - к нему подключается считыватель карт. Карты предназначены для хранения резервных копий ключевого материала.
Кнопка Reset (между сетевыми и USB портами) - нажатие приводит к перезагрузке ПО – точно так же, как и на обычном ПК. Содержимое HSM не уничтожается.
Так же, как и в случае ProtectServer Internal, Thales производит три модели, различающиеся только производительностью – ProtectServer 2 - 25, 220 и 1500 операций в секунду, а ProtectServer 3 - 25, 220 и 3500 операций в секунду.
Мы попросили переводческую компанию "Алгоритм" перевести ознакомительную часть документа ProtectServer 3_PTK_Installation - Вы можете кликнуть сюда: ProtectServer_3_PTK_Инструкция по установке 1-9_16-32_rus.pdf
Оригинальная документация – описание и инструкции расположены на сайте Thales: click here
(архивы документов предыдущих релизов PTK на этом же сайте в шапке: ProtectServer HSM Documentation Archive)
ProtectServer Internal и ProtectServer External имеют идентичные характеристики, с той лишь разницей, что ProtectServer External установлен в корпус, имеющий дополнительные интерфейсы – это отражено в его описании.
Общие характеристики:
Operating System Support
Windows, Linux
Cryptographic Support
Cryptography
- Asymmetric: RSA (1024-8192), DSA (1024-3072), Diffie-Hellman, KCDSA, Elliptic Curve Cryptography (ECDSA, ECDH, ECIES) with named, user-defined and Brainpool curves
- Symmetric: AES, RC2, RC4, RC5, CAST, DES, Triple DES, ARIA, SEED
- Hash/Message Digest/HMAC: SHA-1, SHA-2 (224-512), SSL3-MD5-MAC, SSL3-SHA-1-MAC
- Random Number Generation: FIPS 140-2 approved DRBG (SP 800-90 CTR mode)
Cryptographic APIs
PKCS#11, Java (JCA/JCE), Microsoft CAPI and CNG, OpenSSL, JCProv
Physical Characteristics (ProtectServer Internal-Express)
Dimensions
4.16” x 6.63”
Power Consumption
+5V@3A max; +12V@0.2A max
Temperature
Operating 0° to 40°C
Physical Characteristics (ProtectServer External)
Rack Mountable
Standard 19" EIA rack mount chassis (1U height)
Dimensions
437 mm(W) x 270 mm (D) x 44 mm (H)
Weight
3.1 kg
Power Consumption
220/110 Volts Switchable
Temperature
Operating 0° to 40°C
Relative Humidity
5% to 95% (38°C) non-condensing
Security Certifications
Certifications
FIPS 140-2 Level 2 and Level 3 (http://csrc.nist.gov/groups/STM/cmvp/documents/140-1/140InProcess.pdf)
Safety and Environmental Compliance
Compliance
- UL, CSA, CE
- FCC, KC Mark, VCCI, CE
- RoHS, WEEE
Комплектация
| Item No. | PRODUCT | Country of origin | HS Code | Net Weight, kg |
|---|---|---|---|---|
| EN 1 | Cryptography Adapter ProtectServer Internal-Express PL25 (or 220 or 600) -packaging: • PCI-Express card • smart-card reader (w/cable, stand & USB –PS/2 adapter) • CD-ROM - Protect Tool Kit SafeNet (w/documentation and soft release on DVD) • smart-cards- 2 pcs. |
USA | 8471.70.6000 | 1,2 |
| RU 2 | Криптографический адаптер ProtectServer Internal-Express PL25 (or 220 or 600) – в комплектации: • Карта стандарта PCI-Express • считыватель смарт-карт (с кабелем, подставкой, USB-9-pin адаптером) • Смарт-карты - 2 шт. • Компакт-диск Protect Tool Kit ( c документацией и инструкцией по установке на DVD) |
США | 8471.70.6000 | 1,2 |
| Item No. | PRODUCT | Country of origin | Part number | HS Code | Net Weight, kg |
|---|---|---|---|---|---|
| EN 1 | ProtectServer External PL25 - packaging: • ProtectServer External Appliance • Power cord – 2 pcs. • smart-card reader (w/cable & stand) • Adapter – 2 pcs, • smart-cards- 2 pcs. • Keys of appliance – 1 pack x2 • Protect ToolKit (documentation, CD, DVD) • Rubber Feet - 1 pack x4 • Rack mounting kit (brackets x2, screws x6) |
USA | 934-000075-001 | 8471.80.9000 | 6,97 |
| RU 2 | Модуль безопасности ProtectServer External PL25 в комплектации: • внешнее устройство ProtectServer External • кабель питания – 2 шт. • считыватель смарт-карт (с кабелем, подставкой) • адаптер – 2 шт. • смарт-карты- 2 шт. • ключи от модуля – комплект из 2-х шт. • резиновые ножки – комплект из 4-х шт. • Protect Tool Kit (документация, СD, DVD) • набор для крепления в стойку ( уголки - 2 шт., винты – 6 шт.) |
США | 934-000057-001 | 8471.80.9000 | 6,97 |
Маркировка комплекта PSE PSE 2:
Part Number: 934-000075-001
Description: PROTECTSERVER EXTERNAL 2, TOOLKIT PTK 5.0, PL25, FW5.00.02
Переходники в комплекте 2 шт.
- USB-PS/2 [переходник с разъемами USB и PS/2
- USB-COM (RS-232) [кабель-переходник предназначен для подключения и передачи данных между устройствами, имеющими USB и COM порты: компьютеров, программаторов, терминалов, модемов, периферийных устройств. Разъемы USB AM (папа), разъем 9-контактный DB9M