Często zadawane pytania

Znajdź odpowiedzi na często zadawane pytania dotyczące dedykowanego modułu HSM platformy Microsoft Azure.

Podstawy

Co to jest sprzętowy moduł zabezpieczeń (HSM)?

Sprzętowy moduł zabezpieczeń (HSM) to urządzenie fizyczne używane do ochrony kluczy kryptograficznych i zarządzania nimi. Klucze przechowywane w modułach HSM mogą być używane na potrzeby operacji kryptograficznych. Materiał klucza pozostaje bezpieczny w modułach sprzętowych odpornych na manipulacje, które są widoczne dla manipulacji. Moduł HSM zezwala na używanie kluczy tylko uwierzytelnionych i autoryzowanych aplikacji. Dane dotyczące klucza nigdy nie opuszczają granic zabezpieczeń modułu HSM.

Co to jest oferta dedykowanego modułu HSM platformy Azure?

Dedykowany moduł HSM platformy Azure to oparta na chmurze usługa, która udostępnia moduły HSM hostowane w centrach danych platformy Azure, które są bezpośrednio połączone z siecią wirtualną klienta. Te moduły HSM są dedykowanymi urządzeniami sieciowymi Firmy Thales Luna 7 HSM . Są one wdrażane bezpośrednio w prywatnej przestrzeni adresowej IP klientów, a firma Microsoft nie ma dostępu do funkcji kryptograficznych modułów HSM. Tylko klient ma pełną kontrolę administracyjną i kryptograficzną nad tymi urządzeniami. Klienci są odpowiedzialni za zarządzanie urządzeniem i mogą uzyskać pełne dzienniki aktywności bezpośrednio z urządzeń. Dedykowane moduły HSM pomagają klientom spełnić wymagania dotyczące zgodności/przepisów, takie jak FIPS 140-2 Poziom 3, HIPAA, PCI-DSS i eIDAS oraz wiele innych.

Jakie są ograniczenia dołączania i używania dla dedykowanego modułu HSM?

Klienci muszą mieć przypisanego Menedżera kont Microsoft i spełnić wymóg pieniężny w wysokości 5 milionów USD (5 mln USD) lub większy w ogólnym zatwierdzonym przychód platformy Azure rocznie, aby kwalifikować się do dołączania i korzystania z dedykowanego modułu HSM platformy Azure.

Jaki sprzęt jest używany w przypadku dedykowanego modułu HSM?

Firma Microsoft współpracuje z firmą Thales w celu dostarczania dedykowanego modułu HSM platformy Azure. Używane urządzenie to model HSM Thales Luna 7 A790. To urządzenie nie tylko zapewnia zweryfikowane oprogramowanie układowe FIPS 140-2 level-3 , ale także oferuje małe opóźnienia, wysoką wydajność i wysoką pojemność za pośrednictwem 10 partycji.

Do czego są używane moduły HSM?

Moduły HSM są używane do przechowywania kluczy kryptograficznych, które są używane do funkcji kryptograficznych, takich jak TLS (zabezpieczenia warstwy transportu), szyfrowanie danych, infrastruktura kluczy publicznych (infrastruktura kluczy publicznych), drM (zarządzanie prawami cyfrowymi) i dokumenty podpisywania.

W jaki sposób działa dedykowany moduł HSM?

Klienci mogą aprowizować moduły HSM w określonych regionach przy użyciu programu PowerShell lub interfejsu wiersza polecenia. Klient określa, z jaką siecią wirtualną są połączone moduły HSM i po aprowizacji modułów HSM są dostępne w wyznaczonej podsieci przy przypisanych adresach IP w prywatnej przestrzeni adresów IP klienta. Następnie klienci mogą łączyć się z modułami HSM przy użyciu protokołu SSH na potrzeby zarządzania urządzeniami i administrowania nimi, konfigurować połączenia klienta HSM, inicjować moduły HSM, tworzyć partycje, definiować i przypisywać role, takie jak oficer partycji, oficer kryptograficzny i użytkownik kryptograficzny. Następnie klient używa firmy Thales udostępnionych narzędzi klienckich/zestawu SDK/oprogramowania HSM do wykonywania operacji kryptograficznych z aplikacji.

Jakie oprogramowanie jest dostarczane z dedykowaną usługą HSM?

Firma Thales dostarcza wszystkie oprogramowanie dla urządzenia HSM po aprowizacji przez firmę Microsoft. Oprogramowanie jest dostępne w portalu pomocy technicznej klienta firmy Thales. Klienci korzystający z dedykowanej usługi HSM muszą być zarejestrowani w celu uzyskania pomocy technicznej firmy Thales i mieć identyfikator klienta, który umożliwia dostęp i pobieranie odpowiedniego oprogramowania. Obsługiwane oprogramowanie klienckie jest w wersji 7.2, która jest zgodna z zweryfikowanym oprogramowaniem układowym FIPS 140-2 Level 3 w wersji 7.0.3.

Jakie dodatkowe koszty mogą być naliczane w przypadku dedykowanej usługi HSM?

Następujące elementy generują dodatkowy koszt w przypadku korzystania z dedykowanej usługi HSM.

  • Korzystanie z dedykowanego lokalnego urządzenia do tworzenia kopii zapasowych jest możliwe do użycia z dedykowaną usługą HSM, ale wiąże się z dodatkowymi kosztami i powinno być bezpośrednio pochodzące z firmy Thales.
  • Dedykowany moduł HSM jest dostarczany z licencją 10 partycji. Klient może zażądać większej liczby partycji i zapłacić za więcej licencji bezpośrednio uzyskanych od firmy Thales.
  • Dedykowany moduł HSM wymaga infrastruktury sieciowej (sieci wirtualnej, usługi VPN Gateway itp.) i zasobów, takich jak maszyny wirtualne na potrzeby konfiguracji urządzenia. Te zasoby generują dodatkowe koszty i nie są uwzględniane w cenniku dedykowanej usługi HSM.

Czy dedykowany moduł HSM platformy Azure oferuje uwierzytelnianie oparte na hasłach i oparte na protokole PED?

L.p. Dedykowany moduł HSM platformy Azure zapewnia tylko moduły HSM z uwierzytelnianiem opartym na hasłach.

Czy dedykowany moduł HSM platformy Azure obsługuje moduły funkcjonalności?

L.p. Usługa Azure Dedicated HSM nie obsługuje modułów funkcjonalności.

Czy dedykowany moduł HSM platformy Azure będzie hostować moje moduły HSM dla mnie?

Firma Microsoft oferuje tylko model HSM firmy Thales Luna 790 za pośrednictwem dedykowanej usługi HSM i nie może hostować żadnych urządzeń dostarczonych przez klienta.

Czy dedykowany moduł HSM platformy Azure obsługuje funkcje płatności (PIN/EFT)?

Usługa Dedykowanego modułu HSM platformy Azure używa modułów HSM firmy Thales Luna 7. Te urządzenia nie obsługują funkcji specyficznych dla modułu HSM płatności (takich jak numer PIN lub EFT) ani certyfikatów. Jeśli chcesz, aby dedykowana usługa HSM platformy Azure obsługiwała moduły HSM płatności w przyszłości, przekaż opinię przedstawicielowi konta Microsoft.

W których regionach platformy Azure jest dostępny dedykowany moduł HSM?

Od października 2022 r. dedykowany moduł HSM jest dostępny w 22 regionach. Dalsze regiony są planowane i można je omawiać za pośrednictwem przedstawiciela konta Microsoft.

  • East US
  • Wschodnie stany USA 2
  • Zachodnie stany USA
  • Zachodnie stany USA 2
  • Kanada Wschodnia
  • Kanada Środkowa
  • South Central US
  • Southeast Asia
  • Indie Środkowe
  • Indie południowe
  • Japonia Wschodnia
  • Japonia Zachodnia
  • Europa Północna
  • West Europe
  • Południowe Zjednoczone Królestwo
  • Zachodnie Zjednoczone Królestwo
  • Australia Wschodnia
  • Australia Południowo-Wschodnia
  • Szwajcaria Północna
  • Szwajcaria Zachodnia
  • US Gov Wirginia
  • US Gov Teksas

Współdziałanie

Jak moja aplikacja łączy się z dedykowanym modułem HSM?

Do wykonywania operacji kryptograficznych z aplikacji używa się udostępnianych przez firmę Thales narzędzi klienckich/zestawu SDK/oprogramowania HSM. Oprogramowanie jest dostępne w portalu pomocy technicznej klienta firmy Thales. Klienci korzystający z dedykowanej usługi HSM muszą być zarejestrowani w celu uzyskania pomocy technicznej firmy Thales i mieć identyfikator klienta, który umożliwia dostęp i pobieranie odpowiedniego oprogramowania.

Czy aplikacja może łączyć się z dedykowanym modułem HSM z innej sieci wirtualnej w regionach lub między nimi?

Tak, należy użyć komunikacji równorzędnej sieci wirtualnych w regionie w celu ustanowienia łączności między sieciami wirtualnymi. W przypadku łączności między regionami należy użyć usługi VPN Gateway.

Czy mogę zsynchronizować dedykowany moduł HSM z lokalnymi modułami HSM?

Tak, można synchronizować lokalne moduły HSM z dedykowanym modułem HSM. Sieć VPN typu punkt-punkt lub łączność typu punkt-lokacja może służyć do nawiązywania łączności z siecią lokalną.

Czy mogę zaszyfrować dane używane przez inne usługi platformy Azure przy użyciu kluczy przechowywanych w dedykowanym module HSM?

L.p. Dedykowane moduły HSM platformy Azure są dostępne tylko z poziomu sieci wirtualnej.

Czy mogę zaimportować klucze z istniejącego lokalnego modułu HSM do dedykowanego modułu HSM?

Tak, jeśli masz lokalne moduły HSM firmy Thales Luna 7. Istnieje wiele metod. Zapoznaj się z dokumentacją modułu HSM firmy Thales.

Jakie systemy operacyjne obsługują oprogramowanie klienckie dedykowanego modułu HSM?

  • Windows, Linux, Solaris, AIX, HP-UX, FreeBSD
  • Wirtualne: VMware, Hyper-V, Xen, KVM

Jak mogę skonfigurować moją aplikację kliencką w celu utworzenia konfiguracji wysokiej dostępności z wieloma partycjami z wielu modułów HSM?

Aby zapewnić wysoką dostępność, należy skonfigurować konfigurację aplikacji klienckiej HSM do używania partycji z każdego modułu HSM. Zapoznaj się z dokumentacją oprogramowania klienckiego modułu HSM firmy Thales.

Jakie mechanizmy uwierzytelniania są obsługiwane przez dedykowany moduł HSM?

Dedykowany moduł HSM platformy Azure używa urządzeń z modelem HSM firmy Thales Luna 790 i obsługuje uwierzytelnianie oparte na hasłach.

Jakie zestawy SDK, interfejsy API, oprogramowanie klienckie jest dostępne do użycia z dedykowanym modułem HSM?

PKCS#11, Java (JCA/JCE), Microsoft CAPI i CNG, OpenSSL

Czy mogę zaimportować/zmigrować klucze z modułów HSM Luna 5/6 do dedykowanych modułów HSM platformy Azure?

Tak. Skontaktuj się z przedstawicielem firmy Thales, aby uzyskać odpowiedni przewodnik po migracji firmy Thales.

Czy mogę zainstalować moduły funkcji w dedykowanych modułach HSM platformy Azure?

L.p. Usługa Azure Dedicated HSM nie obsługuje modułów funkcjonalności.

Korzystanie z modułu HSM

Jak mogę zdecydować, czy używać usługi Azure Key Vault, czy dedykowanego modułu HSM platformy Azure?

Dedykowany moduł HSM platformy Azure to odpowiedni wybór dla przedsiębiorstw migrujących do aplikacji lokalnych platformy Azure korzystających z modułów HSM. Dedykowane moduły HSM przedstawiają opcję migracji aplikacji z minimalnymi zmianami. Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub w aplikacji internetowej, mogą używać dedykowanego modułu HSM. Ogólnie rzecz biorąc, Oprogramowanie o mniejszej opakowaniu działające w modelach IaaS (infrastruktury jako usługi), które obsługuje moduły HSM jako magazyn kluczy, może używać dedykowanego modułu HSM, takiego jak menedżer ruchu dla bezkluczających protokołów TLS, ADCS (usług certyfikatów Active Directory) lub podobnych narzędzi PKI, narzędzi/aplikacji używanych do podpisywania dokumentów, podpisywania kodu lub programu SQL Server (IaaS) skonfigurowanego za pomocą technologii TDE (przezroczystego szyfrowania bazy danych) z kluczem podstawowym w module HSM przy użyciu dostawcy EKM (rozszerzalnego zarządzania kluczami). Usługa Azure Key Vault jest odpowiednia dla aplikacji "urodzonych w chmurze" lub w scenariuszach szyfrowania magazynowanych, w których dane klienta są przetwarzane przez usługę PaaS (platforma jako usługa) lub SaaS (oprogramowanie jako usługa), takie jak Klucz klienta usługi Office 365, Azure Information Protection, Azure Disk Encryption, Szyfrowanie usługi Azure Data Lake Store przy użyciu klucza zarządzanego przez klienta, szyfrowanie usługi Azure Storage przy użyciu klucza zarządzanego przez klienta, usługa Azure SQL z kluczem zarządzanym przez klienta.

Jakie scenariusze użycia najlepiej pasują do dedykowanego modułu HSM platformy Azure?

Dedykowany moduł HSM platformy Azure jest najbardziej odpowiedni w scenariuszach migracji, w których migrujesz aplikacje lokalne na platformę Azure, które już korzystają z modułów HSM, zapewniając metodę niskiego tarcia migracji na platformę Azure z minimalnymi zmianami w aplikacji. Jeśli operacje kryptograficzne są wykonywane w kodzie aplikacji uruchomionym na maszynie wirtualnej platformy Azure lub w aplikacji internetowej, może być używany dedykowany moduł HSM. Ogólnie rzecz biorąc, oprogramowanie opakowane w ścięcie działające w modelach IaaS (infrastruktura jako usługa), które obsługuje moduły HSM jako magazyn kluczy, mogą używać dedykowanego modułu HSM, takiego jak:

  • Usługa Traffic Manager dla bezklukowych protokołów TLS
  • ADCS (usługi certyfikatów Active Directory)
  • Podobne narzędzia infrastruktury kluczy publicznych
  • Narzędzia/aplikacje używane do podpisywania dokumentów
  • Podpisywanie kodu
  • Program SQL Server (IaaS) skonfigurowany z funkcją TDE (przezroczyste szyfrowanie bazy danych) z kluczem podstawowym w module HSM przy użyciu dostawcy EKM (rozszerzone zarządzanie kluczami)

Czy dedykowanego modułu HSM można używać wraz z kluczem klienta usługi Office 365, usługą Azure Information Protection, usługą Azure Data Lake Store, usługą Disk Encryption, szyfrowaniem usługi Azure Storage lub szyfrowaniem TDE Azure SQL?

L.p. Dedykowany moduł HSM jest aprowizowany bezpośrednio w prywatnej przestrzeni adresów IP klienta, więc nie jest dostępny przez inną platformę Azure lub usługi firmy Microsoft.

Administracja, dostęp i kontrola

Czy klient ma pełną wyłączną kontrolę nad modułami HSM z dedykowanym modułem HSM?

Tak. Każde urządzenie HSM jest w pełni dedykowane jednemu klientowi i nikt inny nie ma kontroli administracyjnej po aprowizacji i zmianie hasła administratora.

Jaki poziom dostępu ma firma Microsoft do mojego modułu HSM?

Firma Microsoft nie ma żadnej kontroli administracyjnej ani kryptograficznego nad modułem HSM. Firma Microsoft ma dostęp na poziomie monitorowania za pośrednictwem połączenia portów szeregowych w celu pobrania podstawowych danych telemetrycznych, takich jak temperatura i kondycja składnika, aby umożliwić firmie Microsoft proaktywne powiadamianie o problemach z kondycją. W razie potrzeby klient może wyłączyć to konto.

Jakie jest konto "administrator dzierżawy" używane przez firmę Microsoft? Jestem przyzwyczajona do administratora będącego "administratorem" w modułach HSM Firmy Thales Luna

Urządzenie HSM jest dostarczane z domyślnym użytkownikiem administratora ze zwykłym hasłem domyślnym. Firma Microsoft nie chciała używać domyślnych haseł, gdy żadne urządzenie znajduje się w puli oczekujące na aprowizowanie przez klientów. Nie spełniałoby to naszych rygorystycznych wymagań dotyczących zabezpieczeń. Z tego powodu ustawiliśmy silne hasło, które jest odrzucane w czasie aprowizacji. Ponadto podczas aprowizacji utworzymy nowego użytkownika w roli administratora o nazwie "administrator dzierżawy". Użytkownik "administrator dzierżawy" ma domyślne hasło, które klienci zmieniają się jako pierwsza akcja podczas pierwszego logowania się do nowo aprowizowanego urządzenia. Ten proces zapewnia wysoki stopień bezpieczeństwa i utrzymuje naszą obietnicę wyłącznej kontroli administracyjnej dla naszych klientów. Należy zauważyć, że użytkownik "administrator dzierżawy" może służyć do resetowania hasła użytkownika administratora, jeśli klient woli używać tego konta.

Czy firma Microsoft lub każda osoba w usłudze Microsoft może uzyskiwać dostęp do kluczy w dedykowanym module HSM?

L.p. Firma Microsoft nie ma dostępu do kluczy przechowywanych w dedykowanym module HSM przydzielonym przez klienta.

Czy dedykowany moduł HSM platformy Azure przechowuje dane klientów?

L.p. Dedykowany moduł HSM platformy Azure to moduł HSM baremetalowy na potrzeby usługi dzierżawy. Nasza usługa nie przechowuje danych klientów. Wszystkie kluczowe materiały i dane są przechowywane w urządzeniu HSM klientów. Każde urządzenie HSM jest w pełni dedykowane jednemu klientowi, dla którego ma pełną kontrolę administracyjną.

Czy mogę uaktualnić oprogramowanie/oprogramowanie układowe dla modułów HSM przydzielonych do mnie?

Klient ma pełną kontrolę administracyjną, w tym uaktualnianie oprogramowania/oprogramowania układowego, jeśli określone funkcje są wymagane z różnych wersji oprogramowania układowego. Przed wprowadzeniem zmian skontaktuj się z pomocą techniczną firmy Thales dotyczącą scenariusza uaktualniania oprogramowania/oprogramowania układowego.

Jak mogę zarządzać dedykowanym modułem HSM?

Dedykowane moduły HSM można zarządzać, korzystając z nich przy użyciu protokołu SSH.

Jak mogę zarządzać partycjami w dedykowanym module HSM?

Oprogramowanie klienckie HSM firmy Thales służy do zarządzania modułami HSM i partycjami.

Jak mogę monitorować mój moduł HSM?

Klient ma pełny dostęp do dzienników aktywności modułu HSM za pośrednictwem dziennika systemowego i protokołu SNMP. Klient musi skonfigurować serwer syslog lub serwer SNMP w celu odbierania dzienników lub zdarzeń z modułów HSM.

Czy mogę uzyskać pełny dziennik dostępu wszystkich operacji HSM z dedykowanego modułu HSM?

Tak. Dzienniki można wysyłać z urządzenia HSM do serwera dziennika systemu

Wysoka dostępność

Czy można skonfigurować wysoką dostępność w tym samym regionie lub w wielu regionach?

Tak. Konfiguracja i konfiguracja wysokiej dostępności są wykonywane w oprogramowaniu klienckim HSM dostarczonym przez firmę Thales. Moduły HSM z tej samej sieci wirtualnej lub innych sieci wirtualnych w tym samym regionie lub w różnych regionach albo lokalne moduły HSM połączone z siecią wirtualną przy użyciu sieci VPN typu lokacja-lokacja lub sieć VPN typu punkt-punkt można dodać do tej samej konfiguracji wysokiej dostępności. Należy zauważyć, że synchronizuje to tylko kluczowe materiały, a nie określone elementy konfiguracji, takie jak role.

Czy mogę dodać moduły HSM z sieci lokalnej do grupy wysokiej dostępności z dedykowanym modułem HSM platformy Azure?

Tak. Muszą spełniać wymagania dotyczące wysokiej dostępności dla modułów HSM firmy Thales Luna 7

Czy mogę dodać moduły HSM Luna 5/6 z sieci lokalnych do grupy wysokiej dostępności z dedykowanym modułem HSM platformy Azure?

L.p.

Ile modułów HSM można dodać do tej samej konfiguracji wysokiej dostępności z jednej aplikacji?

Szesnaście członków grupy wysokiej dostępności nie zostało przetestowanych z pełnym ograniczeniem z doskonałymi wynikami.

Pomoc techniczna

Co to jest umowa SLA dla dedykowanej usługi HSM?

Nie ma określonej gwarancji czasu pracy dla dedykowanej usługi HSM. Firma Microsoft zapewnia dostęp na poziomie sieci do urządzenia, dlatego mają zastosowanie standardowe umowy SLA dotyczące sieci platformy Azure.

W jaki sposób moduły HSM są chronione w dedykowanym module HSM platformy Azure?

Centra danych platformy Azure mają rozbudowane mechanizmy kontroli zabezpieczeń fizycznych i proceduralnych. Oprócz tych dedykowanych modułów HSM są hostowane w bardziej ograniczonym obszarze dostępu centrum danych. Te obszary mają więcej kontroli dostępu fizycznego i nadzoru kamer wideo w celu zapewnienia dodatkowych zabezpieczeń.

Co się stanie w przypadku naruszenia zabezpieczeń lub zdarzenia naruszenia sprzętu?

Dedykowana usługa HSM używa urządzeń HSM firmy Thales Luna 7. Te urządzenia obsługują wykrywanie naruszenia fizycznego i logicznego. Jeśli kiedykolwiek wystąpi zdarzenie naruszenia, moduły HSM są automatycznie zerowane.

Jak mogę upewnić się, że klucze w dedykowanych modułach HSM nie zostaną utracone z powodu błędu lub złośliwego ataku wewnętrznego?

Zdecydowanie zaleca się użycie lokalnego urządzenia do tworzenia kopii zapasowych modułu HSM w celu regularnego wykonywania okresowych kopii zapasowych modułów HSM na potrzeby odzyskiwania po awarii. Należy użyć połączenia sieci VPN typu peer-to-peer lub lokacja-lokacja z lokalną stacją roboczą połączoną z urządzeniem kopii zapasowej modułu HSM.

Jak mogę uzyskać pomoc techniczną dotyczącą dedykowanego modułu HSM?

Pomoc techniczna jest zapewniana zarówno przez firmę Microsoft, jak i firmę Thales. Jeśli masz problem ze sprzętem lub dostępem do sieci, zgłoś wniosek o pomoc techniczną w firmie Microsoft i jeśli masz problem z konfiguracją modułu HSM, oprogramowaniem i tworzeniem aplikacji, zgłoś wniosek o pomoc techniczną w firmie Thales. Jeśli masz nieokreślony problem, zgłoś wniosek o pomoc techniczną z firmą Microsoft, a następnie firma Thales może być zaangażowana zgodnie z potrzebami.

Jak mogę uzyskać oprogramowanie klienckie, dokumentację i dostęp do wskazówek dotyczących integracji modułu HSM firmy Thales Luna 7?

Po zarejestrowaniu się w usłudze otrzymasz identyfikator klienta firmy Thales, który umożliwia rejestrację w portalu pomocy technicznej klienta firmy Thales, umożliwiając dostęp do wszystkich programów i dokumentacji, a także żądań pomocy technicznej bezpośrednio w firmie Thales.

Jeśli znaleziono lukę w zabezpieczeniach i opublikowano poprawkę firmy Thales, kto jest odpowiedzialny za uaktualnianie/stosowanie poprawek systemu operacyjnego/oprogramowania układowego?

Firma Microsoft nie ma możliwości łączenia się z modułami HSM przydzielonymi klientom. Klienci muszą uaktualnić i zastosować poprawki swoich modułów HSM.

Co zrobić, jeśli muszę ponownie uruchomić moduł HSM?

Moduł HSM ma jednak opcję ponownego uruchamiania wiersza polecenia, jednak występują problemy, gdy ponowny rozruch przestaje odpowiadać sporadycznie i z tego powodu zaleca się najbezpieczniejszy ponowny rozruch, który zgłasza wniosek o pomoc techniczną w firmie Microsoft w celu fizycznego ponownego uruchomienia urządzenia.

Kryptografia i standardy

Czy można bezpiecznie przechowywać klucze szyfrowania dla moich najważniejszych danych w dedykowanym module HSM?

Tak, dedykowany moduł HSM aprowizuje moduły HSM Thales Luna 7, które są zweryfikowane ze standardem FIPS 140-2 Level-3 .

Dedykowany moduł HSM obsługuje klucze kryptograficzne i algorytmy?

Dedykowana usługa HSM aprowizuje urządzenia HSM firmy Thales Luna 7. Obsługują szeroką gamę typów kluczy kryptograficznych i algorytmów, w tym: obsługa pełnego pakietu B

  • Asymetryczny:
    • RSA
    • DSA
    • Diffie-Hellman
    • Krzywa eliptyczna
    • Kryptografia (ECDSA, ECDH, Ed25519, ECIES) z nazwami, zdefiniowanymi przez użytkownika i krzywymi Brainpool, KCDSA
  • Symetryczny:
    • AES-GCM
    • Triple DES
    • DES
    • ARIA, NASION
    • RC2
    • RC4
    • RC5
    • CAST
    • Skrót/skrót wiadomości/HMAC: SHA-1, SHA-2, SM3
    • Wyprowadzanie klucza: TRYB licznika SP 800-108
    • Zawijanie kluczy: SP 800-38F
    • Generowanie losowych numerów: zatwierdzone drBG ZE STANDARDU FIPS 140-2 (tryb SP 800-90 CTR), zgodne z BSI DRG.4

Czy zweryfikowano dedykowany moduł HSM FIPS 140-2 poziom 3?

Co należy zrobić, aby upewnić się, że działam dedykowany moduł HSM w trybie zweryfikowanym na poziomie 140-2 FIPS 140-2?

Dedykowana usługa HSM aprowizuje urządzenia HSM firmy Thales Luna 7. Te urządzenia to zweryfikowane moduły HSM ze standardem FIPS 140–2 poziom 3. Domyślna wdrożona konfiguracja, system operacyjny i oprogramowanie układowe są również weryfikowane ze standardem FIPS. Nie trzeba podejmować żadnych działań dotyczących zgodności ze standardem FIPS 140–2 poziom 3.

Jak klient upewnia się, że gdy moduł HSM zostanie wycofany z obsługi administracyjnej wszystkich kluczowych materiałów, zostanie wyczyszczony?

Przed żądaniem anulowania aprowizacji klient musi mieć zerowane moduł HSM przy użyciu firmy Thales dostarczonych narzędzi klienckich modułu HSM.

Wydajność i skalowalność

Ile operacji kryptograficznych jest obsługiwanych na sekundę w przypadku dedykowanego modułu HSM?

Dedykowany moduł HSM aprowizuje moduły HSM Thales Luna 7. Poniżej przedstawiono podsumowanie maksymalnej wydajności niektórych operacji:

  • RSA-2048: 10 000 transakcji na sekundę
  • ECC P256: 20 000 transakcji na sekundę
  • AES-GCM: 17 000 transakcji na sekundę

Ile partycji można utworzyć w dedykowanym module HSM?

Używany model HSM firmy Thales Luna 790 obejmuje licencję na 10 partycji w kosztach usługi. Urządzenie ma limit 100 partycji i dodanie partycji do tego limitu spowoduje naliczenie dodatkowych kosztów licencjonowania i wymaga zainstalowania nowego pliku licencji na urządzeniu.

Ile kluczy można obsługiwać w dedykowanym module HSM?

Maksymalna liczba kluczy jest funkcją dostępnej pamięci. Używany model A790 thales Luna 7 ma 32 MB pamięci. Poniższe liczby mają również zastosowanie do par kluczy w przypadku używania kluczy asymetrycznych.

  • RSA-2048 - 19 000
  • ECC-P256 - 91 000

Pojemność różni się w zależności od określonych atrybutów klucza ustawionych w szablonie generowania kluczy i liczbie partycji.