Меню

Luna SA

Общее характеристикиЗагрузка

Luna SA

Luna SA - Сетевое исполнение LUNA PCI-E - HSM общего назначения, применяется для аутентификации, подписи, генерации ключей и защищенного хранения криптографического материалаключи, сертификаты, ключевые пары.

Это самый производительный и наилучшим образом защищенный криптографический ускоритель в отрасли, имеющий ряд уникальных особенностей:

  • производительность до 7000 операций в секунду
  • внутри LUNA SA можно создать до 20 “виртуальных” HSM (“партиций”, или “разделов”) каждый со своим администрированием, правами доступа и хранилищем ключей
  • удаленные LUNA SA можно объединять в группы, обеспечив высокую доступность и балансировку нагрузки
  • Группа может обслуживать до 100 серверов приложений
  • система администрирования m из n
  • кроме штатных средств администрирования, внедрение программной платформы SafeNet Crypto Command Center позволяет динамически распределять ресурсы HSM между потребителями
  • средства аудита дают возможность раздельно регистрировать действия пользователей, администраторов и офицера безопасности (в данном случае - лица, отвечающего за криптографический материал)

Все это, наряду с высокой производительностью и большим объемом памяти, делает LUNA SA идеальным инструментом для создания крупных PKI систем, где нужны высокие скорости обработки данных и бескомпромиссная надежность.

Luna SA имеет сертификаты

140-2 Level 2 и FIPS 140-2 Level 3 определяющем требования к физической и логической защите криптографических ключей, применяемых в информационных системах.

Сферы применения:

  • PKI - генерация и хранение ключей
  • проверка подписание сертификатов
  • подписание документов
  • обработка финансовых транзакций
  • шифрование баз данных
  • выпуск смарт-карт

На сайте производителя: http://www.safenet-inc.com/data-encryption/hardware-security-modules-hsms/luna-hsms-key-management/luna-sa-network-hsm/

Концепция LUNA SA



  • 1. Клиенты (приложения)
  • 2.Сервисы Network Trust Link Services (NTLS)
  • 3.PED (Pin Entering Device) система двухфакторной аутентификации (опционально)
  • 4. Крипто процессор K6
  • 5. Партиции
  • 6. Интерфейс Secure Command Line
  • 7. HSM для создания резервных копий (опционально) – может подключаться как непосредственно к LUNA HSM по USB, так и через сеть.

Внешний вид и подключения

LUNA SA выполнена в виде сетевого ПАК.



Полагаю, подписи к портам переводить не нужно, а вот кнопка Recessed Zeroize Button в пояснении нуждается:

  • при нажатии на эту кнопку, HSM немедленно выводится из эксплуатации – в уничтожается Key Encryption Key (Мастер-ключ, уникальный для каждого HSM),
  • а так как все хранимые в HSM объекты (ключи, сертификаты и т.п.) зашифровываются специальными ключами, а они, в свою очередь, зашифровываются KEK, то уничтожение КЕК делает все объекты недоступными и не подлежащими восстановлению,
  • все данные кэша (данные партиций, например) также бесследно исчезают.

После этого HSM нужно будет инициализировать заново.

А если уничтоженные данные нужно будет восстановить, то это можно будет сделать, используя резервную копию с Luna Remote Backup HSM.

  • Кнопка обнуления срабатывает и в том случае, когда сетевое питание HSM отключено.

Характеристики

Мы свели существенную информацию в таблицу – она находится в разделе ХАРАКТЕРИСТИКИ.

Особенности

Архитектура этого HSM предоставляет целый набор возможностей, которые отсутствуют (вернее – пока отсутствуют) в платежных HSM. Эти возможности (или опции) дают пользователю широкий спектр инструментов для построения гибкой и управляемой системы PKI.

Итак:

1. Способ аутентификации администраторов/пользователей

Либо ПАРОЛЬ, либо PED (Pin Entry Device)

Парольная схема не нуждается в пояснениях, а вот про аутентификацию с помощью PED поговорим поподробнее:

PED - специальное устройство, которое подключается либо непосредственно к HSM (для этого на HSM есть специальный разъем), и тогда это LOCAL PED, либо к компьютеру, через который осуществляется УДАЛЕННОЕ управление HSM – соответственно – REMOTE PED

  • 1- Клавиатура для ввода данных (ПИН)
  • 2 - 8-строчный LCD
  • 3 - гнездо для подключения блока питания
  • 4 - разъем USB mini-B используется для обмена файлами
  • 5 – разъем micro-D subminiature (MDSM) для подключения к Luna HSM (данные и питание)
  • 6 – разъем USB A для USB ключей
  • 7 – показан один из USB ключей

PED предназначен для усиленной двухфакторной аутентификации доступа к HSM и разделения ролей (администратор, пользователь и т.д.).

Подробнее об этом можно узнать здесь:
[ библиотека/Luna HSM/ Luna SA 5 Training/ 02 Luna SA 5.0 Appliance In Depth Overview_05_2011.pptx]

NB! Решение о способе аутентификации (пароль или PED) нужно принимать ДО покупки HSM. Переход с одного способа на другой возможен лишь на заводе.

2. Partitions / разделы

Вы можете разбить защищенную область HSM на разделы (partitions). Проще представлять их как виртуальные HSM – к каждому такому виртуальному HSM можно настроить индивидуальный доступ как администраторов, так и пользователей. При этом пользователи/администраторы одного виртуального HSM не будут иметь доступ к другим виртуальным HSM.

Стандартно LUNA поставляется с ДВУМЯ партициями.

Покупая дополнительные лицензии (они называются Partition upgrade license (2->5, 5->10, 10->15 15->20) можно увеличить число партиций до 100.

NB! Увеличивая количество партиций, надо иметь ввиду, что, если для создания резервных копий содержимого HSM Вы используете SafeNet Backup HSM или другой HSM LUNA, то количество партиций на них должно быть также увеличено (для Backup HSM эта опция называется Backup Partition Upgrade License (2->5).

3. Подключение дополнительных “потребителей»

Под потребителями мы здесь понимаем сетевое устройство (другой HSM, за исключением backup HSM, сервер приложений, телекоммуникационное устройство ), использующие сервисы, предоставляемые HSM.

В стандартной конфигурации все HSM Luna имеют лицензии на подключение ОДНОГО потребителя, например, сервера приложений.

Это означает, что для того чтобы подключить сервер приложений к ДВУМ HSM в конфигурации HA, Вам нужно будет дополнительно купить лицензию на еще одно подключение - License for each additional host to connect to networked HSM

Подробно схема лицензирования изложена в документе Understanding Client Licences (…,библиотека/…/ LUNA SA)

4. Экспорт ключевого материала и резервирование

Перед покупкой HSM необходимо заранее решить – какой тип экспорта ключевого материала / резервирования Вам нужен.

Их три вида:

  • Cloning (CL) - копирование ключевого материала возможно ТОЛЬКО на backup HSM или другой Luna HSM,
  • Cloning and Key Export (CKE) – к первому типу добавлена возможность экспорта ключевого материала в защищенный файл (key wrapping),
  • No Backup – никакое резервирование или экспорт ключей не предусмотрено.

В “классической” конфигурации для резервирования применяют Backup HSM -его можно подсоединить к Luna через USB, либо по сети.

5. Конфигурация высокой доступности / HA

Объединение Luna SA в группу - до 4х устройств в одну группу HA, дает возможность:

  • балансировать нагрузку, и
  • обеспечить избыточность таким образом, что если один из HSM выйдет из строя (или намеренно отключен по каким-либо причинам) , то оставшиеся возьмут на себя его функции.

Производительность группы HSM линейно зависит от их количества – так, один HSM дает, например, производительность 7000 RSA 1024-bit подписей в секунду, два - 14000 и тд.

Модельный ряд – как читать название

Подытожим описанные выше опции, приведя наименование продуктов, в нотации прайс листа. Параметры каждой модели включены в его название – например, нотация SafeNeta для двух HSM:

Luna SA 1700,PW-Auth,2 HSMP,CKE,SW 5.2.3,FW 6.2.1/6.10.2

Luna SA 7000 PED-Auth,2 HSMP,CL,SW V5.2.3,FW6.2.1/6.10.2

Означает:

1700 или 7000 – производительность данной модели HSM. Измеряется традиционно в 1024-битных ключах RSA в секунду;

PW-Auth или PED-Auth – тип аутентификации – пароль/PED соответственно.

Следует иметь ввиду, что PED и ключи (USB токены администраторов) в указанную выше конфигурацию НЕ ВХОДЯТ – их надо либо заказывать дополнительно, либо сразу заказывать комплект (bundle) - состав которого описан в примере ниже.

2 HSMP – 2е партиции

CKE или CL или no backup – тип экспорта ключевого материала – Cloning and Key Export / Cloning или экспорт запрещен

SW 6.2.1 – версия ПО

FW 5.2.3 – версия Firmware (прошивки).

И прошивку, и ПО пользователь может модернизировать с помощью загружаемых файлов.

Теперь про комплект с аутентификацией по PED – для этого есть специально скомплектованные продукты - и 1700 и 7000:

Luna SA 1700,Local PED Bundle (2 HSMP,CL,SW 5.2.3,FW 6.2.1/6.10.2,Local PED,20 PED KEYS,Backup HSM)

Или, например,

Luna SA 7000 Remote PED Bundle (2 HSMP,CL,SW 5.2.3,FW 6.2.1/6.10.2,Remote PED,20 PED KEYS,Backup HSM)

В эти комплекты включены : PED (remote или Local) , 20 ключей для PED и Backup HSM . Сюда же входят все необходимые кабели и блок питания для PED - те все, что нужно для работы уже скомплектовано.




Параметр Luna SA 1700 Luna SA 7000
Поддерживаемые ОС Windows, Linux, Solaris
Форм-фактор 1U
Производительность (операций/сек) RSA-1024 1,700 7,000
RSA-2048 360 1,200
ECC P256 500 1,000
ECIES 200 300
AES-GCM 3,700 3,700
тип ключа / количества Обе модели
Объем памяти В базовой конфигурации С расширением до 15.5 MB
AES 256 16 000 129 000
RSA 1024 4 500 35 000
RSA 2048 2 500 20 000
RSA 4096 1 200 10 000
ECDSA 384 9 000 68 000
Типы экспорта / резервирования криптографического материала (ключи, сертификаты) CL (Cloning- зкспорт на Backup HSM или на другой HSM Luna),
CKE (Cloning + Key Export)
CL (Cloning)
No Backup
Количество партиций 2-100
Емкость партиции для хранения криптографического материала Устанавливается администратором в рамках общего объема памяти
Тип аутентификации администратора/пользователей Пароль, PED (Local, Remote)
Максимальное количество HSM в группе HA 4

Другие характеристики можно посмотреть на:
http://www.safenet-inc.com/data-encryption/hardware-security-modules-hsms/luna-hsms-key-management/luna-sa-network-hsm/


наверх