Khóa bảo mật Yubico YubiHSM 2 FIPS

Khóa bảo mật Yubico YubiHSM 2 FIPS là sản phẩm chuyên dùng cho các tổ chức thuộc mọi quy mô khác nhau, cho phép tăng cường bảo mật, giảm thiểu rủi ro và đảm bảo tuân thủ các quy định. Khóa được xác thực qua cổng USB – A tiêu chuẩn 1.0, 2.0 và 3.0 và có thể truy cập được bằng cách tích hợp với bộ công cụ phát triển phần mềm (SDK) hay tạo và xác minh chữ ký số dựa trên phần cứng. Ngoài ra sản phẩm còn được sử dụng để bảo mật trao đổi tiền điện tử và cổng IoT.

Đạt chứng nhận FIPS 140-2

YubiHSM 2 FIPS đạt chứng nhận FIPS 140-2, là một tiêu chuẩn bảo mật máy tính của chính phủ Hoa Kỳ – được sử dụng để đánh giá tính hiệu quả của phần cứng mật mã. Xác thực FIPS 140-2 cho phép các cơ quan chính phủ đạt mức độ đảm bảo xác thực cao nhất (AAL3).

Lưu trữ và vận hành khóa an toàn

YubiHSM 2 FIPS có thể tạo, nhập và lưu trữ khóa, sau đó thực hiện tất cả các hoạt động mã hóa trong phần cứng HSM để ngăn chặn hành vi trộm cắp khóa khi nghỉ hoặc đang sử dụng. Điều này giúp chống lại cả các cuộc tấn công nhằm vào máy chủ, chẳng hạn như: khai thác zero-day, phần mềm độc hại và đánh cắp vật lý máy chủ hoặc ổ cứng của máy chủ.

Chứng chỉ Microsoft Active Directory an toàn

YubiHSM 2 FIPS có thể cung cấp các khóa được phần cứng hỗ trợ để triển khai Public Key Infrastructure (PKI) dựa trên Microsoft của bạn. Việc triển khai YubiHSM 2 cho các dịch vụ Chứng chỉ Microsoft Active Directory của bạn không chỉ bảo vệ các khóa gốc CA mà còn bảo vệ tất cả các dịch vụ ký và xác minh bằng khóa riêng.

Khả năng mã hóa mở rộng: RSA, ECC, ECDSA (ed25519), SHA-2, AES
Phiên bảo mật giữa HSM và ứng dụng
Kiểm soát truy cập dựa trên vai trò để quản lý khóa và sử dụng khóa
16 kết nối đồng thời
Quản lý từ xa
Thiết kế tối giản với đầu kết nối USB-A chuẩn 1.0, 2.0, 3.0, sử dụng ít năng lượng
Giao diện thông qua YubiHSM KSP, PKCS#11 và các thư viện gốc
Ghi nhật ký kiểm tra rõ ràng giả mạo

Trao đổi tiền điện tử an toàn

Với sự tăng trưởng bùng nổ của thị trường tiền điện tử cũng dẫn đến một lượng lớn tài sản cần được bảo vệ để giảm thiểu rủi ro bảo mật. YubiHSM 2 FIPS cho phép các tổ chức bảo mật mạnh mẽ với các khóa mật mã và giữ an toàn cho thông tin tài chính nhạy cảm.

Ngoài ra trong môi trường IoT, việc bảo mật các khóa mật mã thậm chí còn quan trọng hơn vì các tổ chức cần bảo vệ thông tin nhạy cảm. Khóa mật mã được sử dụng trong nhiều ứng dụng IoT, không đủ bảo mật. Các nhà phát triển đang xây dựng các ứng dụng có thể nhanh chóng kích hoạt hỗ trợ cho YubiHSM 2 FIPS để đảm bảo các khóa không trở thành nạn nhân của các cuộc đánh cắp thông tin.

Thông số kỹ thuật

Chứng nhận	FIPS 140-2
USB Type	USB-A
NFC-Enabled	No
Kích thước	12mm x 13mm x 3.1mm
Storage capacity	All data stored as objects. 256 object slots, 128KB (base 10) max total Stores up to 127 rsa2048, 93 rsa3072, 68 rsa4096 or 255 of any elliptic curve type, assuming only one authentication key is present Object types: Authentication keys (used to establish sessions); asymmetric private keys; opaque binary data objects, e.g. x509 certs; wrap keys; HMAC keys
Cryptographic interfaces (APIs)	Microsoft CNG (KSP); PKCS#11 (Windows, Linux, macOS); Native YubiHSM Core Libraries (C, python)
Storage capacity	All data stored as objects. 256 object slots, 128KB (base 10) max total Stores up to 127 rsa2048, 93 rsa3072, 68 rsa4096 or 255 of any elliptic curve type, assuming only one authentication key is present Object types: Authentication keys (used to establish sessions); asymmetric private keys; opaque binary data objects, e.g. x509 certs; wrap keys; HMAC keys
Safety and environmental compliance	FCC; CE; WEEE; ROHS
Certifications	FIDO 2 Certified, FIDO Universal 2nd Factor (U2F) Certified
Cryptographic Specifications	Hashing (used with HMAC and asymmetric signatures): SHA-1, SHA-256, SHA-384, SHA-512 RSA: 2048, 3072, and 4096 bit keys; Signing using PKCS#1v1.5 and PSS; Decryption using PKCS#1v1.5 and OAEP ECC: Curves: secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519; Signing: ECDSA (all except curve25519), EdDSA (curve25519 only); Decryption: ECDH (all except curve25519) Key wrap: Import and export using NIST AES-CCM Wrap at 128, 196, and 256 bits Random numbers: On-chip True Random Number Generator (TRNG) used to seed NIST SP 800-90 AES 256 CTR_DRBG Attestation: Asymmetric key pairs generated on-device may be attested using a factory certified attestation key and certificate, or using your own key and certificate imported into the HSM
Design & Durability	Water Resistant, Crush Resistant, No Batteries Required, No Moving Parts
Performance	RSA-2048-PKCS1-SHA256: ~139ms avg RSA-3072-PKCS1-SHA384: ~504ms avg RSA-4096-PKCS1-SHA512: ~852ms avg ECDSA-P256-SHA256: ~73ms avg ECDSA-P384-SHA384: ~120ms avg ECDSA-P521-SHA512: ~210ms avg EdDSA-25519-32Bytes: ~105ms avg EdDSA-25519-64Bytes: ~121ms avg EdDSA-25519-128Bytes: ~137ms avg EdDSA-25519-256Bytes: ~168ms avg EdDSA-25519-512Bytes: ~229ms avg EdDSA-25519-1024Bytes: ~353ms avg AES-(128\|192\|256)-CCM-Wrap: ~10ms avg HMAC-SHA-(1\|256): ~4ms avg HMAC-SHA-(384\|512): ~243ms avg
Manufacturing	Made in USA and Sweden