Найти в Дзене
Лаборатория сисадмина
7241 подписчик

КриптоПро HSM 2.0

78
6 мин
Оглавление

КриптоПро HSM 2.0 – это мощный программно-аппаратный модуль для криптографической защиты данных, оснащённый:

  • датчиками, предотвращающими несанкционированное вскрытие;
  • механизмом распределённого хранения ключей по схеме "3 из 5";
  • доверенной операционной системой;
  • защищёнными средствами аудита и контроля подключений.

Он соответствует требованиям для ключей класса KB2 (согласно Приказу ФСБ РФ № 796 от 27.12.2011 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра") и может использоваться, в частности, в качестве платёжного HSM для обеспечения безопасности данных в финансовых системах.

https://base.garant.ru/70139150/

Организация защиты ключей в КриптоПро HSM

Ключи пользователей хранятся в HSM в зашифрованном виде. Их безопасность обеспечивается за счёт иерархии ключей шифрования:

  • Мастер-ключи защищают пользовательские ключи.
  • Сами мастер-ключи зашифрованы с помощью ключа активации HSM, доступ к которому контролируется по схеме разделения секрета "3 из 5".

Условия использования ключей

  • Доступ к ключам возможен только после аутентификации и активации HSM администраторами безопасности.
  • Все операции выполняются с полным комплексом защитных мер, соответствующих классу безопасности KB2, что исключает возможность несанкционированного доступа.

Поддерживаемые интерфейсы

КриптоПро HSM предоставляет стандартные криптографические API для интеграции:

  • CryptoAPI
  • PKCS#11
  • JCA (Java Cryptography Architecture)

Доступ к ним открывается только после успешной аутентификации пользователя с помощью ключей доступа.

Сферы применения

Решение позволяет безболезненно перевести криптографические операции на защищённые долговременные ключи в HSM, что особенно важно для:

  • Удостоверяющих центров (УЦ)
  • OCSP-серверов
  • Служб штампов времени (TSP)
  • Серверов облачной электронной подписи
  • Других доверенных подсистем и приложений, использующих КриптоПро CSP/JCP

Таким образом, HSM обеспечивает максимальный уровень защиты ключевой информации на всех этапах её хранения и использования.

КриптоПро HSM обеспечивает выполнение следующих операций:

  • Формирование и проверка электронной подписи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, ECDSA и RSA
  • Вычисление значений хэш-функции по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012, SHA-1, SHA-2
  • Шифрование и расшифрование данных по ГОСТ Р 34.12-2015 (Кузнечик и Магма), ГОСТ 28147-89, AES, DES, 3DES, RC2, RC4
  • Имитозащита данных
  • Операции на эллиптических кривых, включая работу на сверхскоростных скрученных эллиптических кривых Эдвардса в соответствии с Рекомендациями по стандартизации ТК 26 Р 50.1.114–2016

В КриптоПро HSM 2.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Поддерживаются отказоустойчивые конфигурации и горизонтальное масштабирование при множественной подписи.

Производительность

  • Формирование электронной подписи: 50 000 операций в секунду
  • Хранение секретных ключей
    500 000 ключей (по умолчанию)
    20 000 000 ключей (с расширением)

Безопасное хранилище ключей электронной подписи

КриптоПро HSM представляет собой специализированное защищенное устройство, основная задача которого - безопасное хранение и использование закрытых ключей электронной подписи как для удостоверяющих центров, так и для конечных пользователей.

Универсальная интеграция

Система совместима с любыми решениями, использующими:

  • Microsoft Cryptographic API (CryptoAPI)
  • Java Cryptography Architecture (JCA)

Это позволяет легко перенести криптографические операции с обычных носителей в защищенную среду HSM.

Основные сферы применения

  1. Удостоверяющие центры (КриптоПро УЦ)
  2. Автоматизированные системы создания ЭП
  3. Сервисы проверки статусов сертификатов (КриптоПро OCSP Server)
  4. Службы временных меток (КриптоПро TSP Server)
  5. Платформы облачной подписи (КриптоПро DSS)

Соответствие требованиям банковского сектора

Благодаря сертификации по классу защиты KB2, устройство полностью соответствует требованиям:

  • Подпись биометрических данных для Единой Биометрической Системы (ЕБС)
  • Безопасная аутентификация и авторизация пользователей через ЕБС
  • Защита критически важных операций в финансовых организациях

КриптоПро HSM обеспечивает максимальный уровень безопасности при работе с цифровыми ключами, удовлетворяя самым строгим отраслевым стандартам и нормативным требованиям.

Подпись кода

КриптоПро HSM обеспечивает безопасное хранение закрытых ключей и криптографические операции для подписи программного кода. Устройство совместимо с EV-сертификатами ведущих поставщиков (например, DigiCert) и может использоваться в качестве защищённого хранилища ключей для подписи.

Поддерживаемые технологии подписи:

  • Microsoft Authenticode (подпись Windows-приложений и драйверов)
  • Java Code Signing (подпись Java-приложений и апплетов)

Доступные криптографические интерфейсы:

  • Microsoft CryptoAPI (стандартный API для Windows-приложений)
  • Microsoft CNG (Cryptography API: Next Generation)
  • PKCS#11 (кроссплатформенный стандарт для работы с HSM)
  • JCA (Java Cryptography Architecture) (интеграция с Java-приложениями)

Таким образом, КриптоПро HSM позволяет безопасно подписывать код в соответствии с требованиями современных платформ, обеспечивая защиту ключей от компрометации.

SSL/TLS сервер

КриптоПро HSM может использоваться как защищенное хранилище секретных ключей SSL/TLS сервера для секретных ключей ГОСТ и RSA/ECDSA:

  • КриптоПро NGate
  • Microsft IIS
  • Apache HTTP Server
  • nginx
  • Apache Tomcat

Комплектация

В состав поставки входит клиентское ПО, которое поставляется на CD-ROM совместно с ПАКМ "КриптоПро HSM".

Характеристики

  • Корпус: Серверный промышленный корпус для монтажа в стойку 19” высота 2U, глубиной 485 мм, с двумя вентиляторами охлаждения, смонтированными внутри
  • Напряжение: 220 В
  • Число электрических входов: 2
  • Блок питания: 500 Вт двойной с горячей заменой
  • Разъемы электропитания: C14 (2 шт.)
  • Энергопотребление: До 300 Вт
  • Процессоры: INTEL XEON E5-2620V3 2.4 GHz (2 шт.)
  • Сетевая карта: Allied Telesis, Gigabit Ethernet Fiber Adapter, 1000-Base-SX двойной (1 шт.)
  • Высота: 9 см (2U)
  • Ширина: 43 см (19”)
  • Глубина: 52 см
  • Вес нетто: 12,5 кг
  • Вес с упаковкой: 17 кг
  • Размер упаковки: 64 х 57 х 21 см

Комплектация ПАКМ Крипто-Про HSM версия 2.0, вариант исполнения 1

  • Системный блок ПАКМ (с крепежом в стойку): 1 шт.
  • Ключ электронного замка (iButton): 1 шт.
  • Ключевой носитель (смарт-карта Магистра): 16 шт.
  • Кабель электропитания: 2 шт.
  • Считыватель смарт-карт (внешний):  1 шт.
  • Сетевой адаптер с оптическим интерфейсом (внешний):  1 шт.
  • Соединительный оптический патч-корд: 1 шт.
  • Диск CD-ROM с клиентским ПО и документацией: 2 шт.
  • Формуляр: 2 шт.
  • Копия сертификата соответствия: 1 комплект

Внешний вид

Пришла коробка. Тяжёлая.

-2

Распакуем.

-3

Сверху формуляры. Слева интересная коробка.

-4

А внутри... медиаконвертер tp-link Omada MC200CM.

MC200CM – это медиаконвертер, предназначенный для преобразования среды передачи данных с 1000BASE-SX (оптика) на 1000Base-T (медь) и наоборот. Разработанный в соответствии со стандартами IEEE802.3ab (1000Base-T) и IEEE802.3z (1000Base-SX), MC200CM предназначен для работы с многомодовым оптоволоконным кабелем, использующим разъём SC-типа.

Полезная штука.

-5

Диск.

-6

Интро.

-7
-8

Вид спереди. И нас радует наклеечка Advantech, подсказывающая, что за начинка внутри устройства. С этой маркой уже приходилось встречаться.

-9

Вид сбоку.

-10

Вид сверху.

-11

Откроем крышку. Получим доступ к передней панели с кнопками, экраном, кард-ридером.

-12

У крышки даже съёмный фильтр есть, как у пылесоса.

-13

Уши уже на корпусе. Слева индикация. Высота устройства два юнита.

-14

Задняя панель.

-15

Справа сетевые разъёмы и USB. Есть винт для заземления.

-16

Слева два блока питания.

-17

Неожиданно выстрелила проблема: верхний блок питания не извлекается. Он упирается углом в загнутую часть крышки. Об этом было сообщено в техподдержку, ответ убил: "нужно применить силу". Если я силу применю, то нафиг разворочу всё, и гарантия прикажет долго жить.

-18

С помощью лома и какой-то матери БП извлекли.

-19

Модель БП: DPS-500AB-9.

-20

Можно я не буду рассказывать как мы засовывали БП обратно?

В общем, с такими дефектами пользоваться устройством не реально. Будь моя воля - отправил бы обратно с требованием обеспечить беспрепятственную замену БП. Не представляю как будет меняться сгоревший блок питания на установленном в стойку устройстве.

Кабели питания:

-21

Сделано в России.

-22

Комплектующие.

-23

Карты.

-24

Расцветка такая, будто помятые. Я аж напрягся.

-25

Ключи.

-26

Оптический патч-корд.

-27

DPC-MM50(OM3)-3.0-LC/UPC-SC/UPC-3.

-28

Это, кажется, заземление.

-29

И внешний карт-ридер.

-30

Источник:

internet-lab.ru
КриптоПро HSM 2.0 | internet-lab.ru

💰 Поддержать проект

Если вам понравилась статья, то ставьте 👍🏻 каналу.
Пишите комментарии, задавайте вопросы, подписывайтесь.

Взгляните на эти темы
Умные часы
Камеры и фототехника
Найти тему
Графические планшеты
Планшеты
Фитнес-трекеры
Ноутбуки HP
Фототехника Ricoh
Дроны и квадрокоптеры DJI
Ноутбуки Lenovo
Гаджеты и электроника
Игровые консоли
Колонки и аудиосистемы
VR-очки
Ноутбуки
Наушники
Электронные книги
Производственные технологии
Наушники Apple
Мониторы
Технологии в музыке
Гаджеты и электроника
5,73 млн интересуются