Меню

Luna PCI-e

Общее характеристикиЗагрузка

Luna PCI-e

Luna PCI-e - HSM общего назначения, применяется для аутентификации, подписи, генерации ключей и защищенного хранения криптографического материалаключи, сертификаты, ключевые пары.

Это самый производительный и наилучшим образом защищенный криптографический ускоритель в отрасли.

Luna PCI-e имеет сертификат FIPS 140-2 Level 3 определяющему требования к физической и логической защите криптографических ключей, применяемых в информационных системах.

Сферы применения:

  • PKI - генерация и хранение ключей
  • проверка подписание сертификатов
  • подписание документов
  • обработка финансовых транзакций
  • шифрование баз данных
  • выпуск смарт-карт

На сайте производителя: http://www.safenet-inc.com/data-encryption/hardware-security-modules-hsms/luna-hsms-key-management/luna-pci-e/

Внешний вид и подключения

LUNA PCI-e выполнен в виде карты стандарта PCIe 1.1 и устанавливается в серверные платформы со слотами PCIe x4.

Его можно установить и в серверы с более широкими разъемами (x4 до x16), однако надо иметь ввиду, что на материнских платах некоторых компьютеров разъемы x16 предназначены ТОЛЬКО для установки видеоадаптеров – если HSM установить в них, то система не будет загружаться. Если при установке Вы столкнулись с такой проблемой, попробуйте установить HSM в другой разъем.

NB! Мы советуем перед покупкой внутреннего HSM (это относится не только к LUNA PCI-e, но и к любым внутренним модулям) проверить – совместим ли модуль с сервером, в который Вы собираетесь его устанавливать. Для этого нужно свериться с последним релизом Customer Release Notes (crn) для выбранного HSM. Его, как правило, легко найти на сайте производителя, или просто запустить поиск (лучший результат дает Google) – Luna PCI-e crn и выбрать ссылку на самый свежий (по номеру).

Обозначение Описание*
d Контакты обнуления (Tamper2) JP3 – закорачивание приводит к обнулению ключевого материала. Если Вы отправляете HSM кому-либо (например, в ремонт) или выводите его из эксплуатации, и не хотите чтобы содержимое HSM было доступно третьим сторонам, закоротите JP3, например, отверткой, и весь ключевой материал будет уничтожен.
e Контакты обнуления Master Tamper Key - если JP2 соединен с концевым выключателем вскрытия корпуса сервера, то открытие корпуса приведет к переводу HSM в режим Tamper и уничтожению Master Tamper Key.
g Разъем для подключения шлейфа внешнего разъема устройства PED ( он используется, когда LUNA PCIe устанавливается в корпус LUNA SA)
h Индикатор LED D1 [ERROR] – мерцает КРАСНЫМ если произошел сбой или HSM перешел в состояние HALT
i Индикатор LED D2 [ACTIVE] – мерцает ЗЕЛЕНЫМ когда HSM находится в рабочем состоянии
k Разъем USB (используется для подсоединения backup HSM)
l Разъем для подключения устройства PED
PIN Entry Device, устройство для двухфакторной аутентификации администраторов HSM , оно считывает информацию с USB токенов iKey (они также называются PED Keys) - для первоначальной аутентификации доступа к HSM и его разделам (партициям). PED также имеет клавиатуру для ввода PIN для усиленной аутентификации доступа.

* описание остальных элементов можно найти в пользовательской документации, поставляемой с устройством.

Характеристики

Мы свели существенную информацию в таблицу – она находится в разделе ХАРАКТЕРИСТИКИ.

Особенности

Архитектура этого HSM предоставляет целый набор возможностей, которые отсутствуют (вернее – пока отсутствуют) в платежных HSM. Эти возможности (или опции) дают пользователю широкий спектр инструментов для построения гибкой и управляемой системы PKI.

Итак:

1. Способ аутентификации администраторов/пользователей

Либо ПАРОЛЬ, либо PED (Pin Entry Device)

Парольная схема не нуждается в пояснениях, а вот про аутентификацию с помощью PED поговорим поподробнее:

PED - специальное устройство, которое подключается либо непосредственно к HSM (для этого на HSM есть специальный разъем), и тогда это LOCAL PED, либо к компьютеру, через который осуществляется УДАЛЕННОЕ управление HSM – соответственно – REMOTE PED

  • 1- Клавиатура для ввода данных (ПИН)
  • 2 - 8-строчный LCD
  • 3 - гнездо для подключения блока питания
  • 4 - разъем USB mini-B используется для обмена файлами
  • 5 – разъем micro-D subminiature (MDSM) для подключения к Luna HSM (данные и питание)
  • 6 – разъем USB A для USB ключей
  • 7 – показан один из USB ключей

PED предназначен для усиленной двухфакторной аутентификации доступа к HSM и разделения ролей (администратор, пользователь и т.д.).

Подробнее об этом можно узнать в закрытой части сайта, предназначенной для партнеров. [ библиотека/Luna HSM/ Luna SA 5 Training/ 02 Luna SA 5.0 Appliance In Depth Overview_05_2011.pptx]

NB! Решение о способе аутентификации (пароль или PED) нужно принимать ДО покупки HSM. Переход с одного способа на другой возможен лишь на заводе.

2. Экспорт ключевого материала и резервирование

Перед покупкой HSM необходимо заранее решить – какой тип экспорта ключевого материала / резервирования Вам нужен.

Их два вида:

  • Cloning (CL) - копирование ключевого материала возможно ТОЛЬКО на backup HSM или другой Luna HSM.
  • Cloning and Key Export (CKE) – к первому типу добавлена возможность экспорта ключевого материала в защищенный файл (key wrapping).

В “классической” конфигурации для резервирования применяют Backup HSM -его можно подсоединить к Luna через USB, либо по сети.

3. Конфигурация высокой доступности / HA

Объединение Luna PCIe в группу - до 3х модулей в одном сервере, дает возможность:

  • балансировать нагрузку, и
  • обеспечить избыточность таким образом, что если один из HSM выйдет из строя (или намеренно отключен по каким-либо причинам) , то оставшиеся возьмут на себя его функции.

Под группой здесь понимаются карты Luna PCI-E установленные в ОДИН сервер. HSM, установленные в другие серверы, в общую группу объединяться не могут.

Производительность группы HSM линейно зависит от их количества – так, один HSM дает, например, производительность 7000 RSA 1024-bit подписей в секунду, два - 14000 и тд.

Так как HSM находятся в ОДНОМ сервере, то отказ сервера с очевидностью приводит к отказу всей группы HSM.

Для обеспечения функции высокой доступности в полном объеме, мы советуем рассмотреть применение СЕТЕВЫХ HSM – Luna SA.

Модельный ряд – как читать название

Подытожим описанные выше опции, приведя наименование продуктов, в нотации прайс листа. Параметры каждой модели включены в его название – например, нотация SafeNeta для двух HSM:

Luna PCI-E-1700,PW-Auth,CKE,SW 5.2.2,FW 6.2.1/6.10.2

Luna PCI-E-7000,PED-Auth,CL,SW 5.2.2,FW 6.2.1/6.10.2

Означает:

  • 1700 или 7000 – производительность данной модели HSM. Измеряется традиционно в 1024-битных ключах RSA в секунду;
  • PW-Auth или PED-Auth – тип аутентификации – пароль/PED соответственно.
  • CKE или CL – тип экспорта ключевого материала – Cloning and Key Export / Cloning
  • SW 6.2.1 – версия ПО
  • FW 5.2.2 – версия Firmware (прошивки).

И прошивка, и ПО пользователь может модернизировать с помощью загружаемых файлов.




Параметр Luna PCI-E 1700 Luna PCI-E 7000
Поддерживаемые ОС Windows, Linux, Solaris
Форм-фактор PCI-Express X4, PCI CEM 1.0a
Производительность (операций/сек) RSA-1024 1 700 7 000
RSA-2048 360 1 200
ECC P256 580 2 000
ECIES 200 310
AES-GCM 3 600 3 600
Типы экспорта / резервирования криптографического материала (ключи, сертификаты) CL (Cloning- зкспорт на Backup HSM или на другой HSM Luna),
CKE (Cloning + Key Export)
CL (Cloning)
Количество партиций 1
Емкость партиции для хранения криптографического материала 2 MB
Тип аутентификации администратора/пользователей Пароль, PED (Local, Remote)
Максимальное количество HSM в одном сервере 3
Максимальное количество HSM в группе HA 3

наверх