Description

Le YubiHSM 2 est une solution matérielle révolutionnaire pour protéger les clés racine des Autorités de Certification contre la copie par des attaquants, des logiciels malveillants et des initiés malveillants.  Il offre une sécurité économique supérieure et un déploiement facile, ce qui le rend accessible à toutes les organisations. Il offre un niveau de sécurité plus élevé pour la génération, le stockage et la gestion des clés numériques cryptographiques, pour les entreprises qui utilisent Microsoft Active Directory Certificate Services.

Les fonctionnalités du YubiHSM 2 sont accessibles via le Key Storage Provider (KSP) de Yubico pour PKCS#11 ou CNG de Microsoft, ou via les bibliothèques natives Windows, Linux et MacOS. Son format "nano" ultra-mince s'adapte à l'intérieur du port USB d'un serveur, éliminant ainsi le besoin de matériel supplémentaire encombrant et offrant une flexibilité pour le transfert ou la sauvegarde hors ligne des clés.

YubiHSM 2 peut être utilisé comme une boîte à outils cryptographique complète pour une large gamme d'applications open source et commerciales. Le cas d'utilisation le plus courant est celui de la génération et de la vérification de signatures numériques basées sur le matériel.

YubiHSM 2 offre une option convaincante pour la génération, le stockage et la gestion sécurisés des clés numériques, y compris les capacités essentielles pour générer, écrire, signer, décrypter, hacher et envelopper les clés.
Avantages

• Solution HSM économique
• Déploiement facile
• Sécurisation du stockage des clés et des opérations

Cas d'utilisation

Améliorer la protection des clés cryptographiques

YubiHSM 2 offre une option convaincante pour la génération, le stockage et la gestion sécurisés des clés. La protection des clés se fait dans le matériel sécurisé sur puce isolé des opérations sur le serveur. La plupart des cas d'utilisation courants impliquent la protection de la clé racine de l'autorité de certification (AC). Les capacités de YubiHSM 2 incluent : générer, écrire, signer, déchiffrer, hacher et envelopper les clés.

Activer les opérations cryptographiques basées sur le matériel

YubiHSM 2 peut être utilisé comme une boîte à outils cryptographique complète pour les opérations à faible volume en conjonction avec un vaste ensemble d'applications open source et commerciales couvrant de nombreux produits et services différents. La plupart des cas d'utilisation courants impliquent un traitement matériel sur puce pour la génération et la vérification des signatures.

Services de certificats Microsoft Active Directory sécurisés

YubiHSM 2 peut fournir des clés matérielles pour votre implémentation PKI basée sur Microsoft. Le déploiement de YubiHSM 2 vers vos services de certificats Microsoft Active Directory protège non seulement les clés racine de l'autorité de certification, mais aussi tous les services de signature et de vérification utilisant la clé racine.

• Sécurisation du stockage des clés et des opérations
• Capacités cryptographiques étendues : RSA, ECC, ECDSA (ed25519), SHA-2, AES
• Session sécurisée entre HSM et l'application
• Contrôles d'accès basés sur les rôles pour la gestion et l'utilisation des clés
• 16 connexions simultanées
• Optionnellement partageable en réseau
• Gestion à distance
• Facteur de forme "Nano" unique, faible consommation d'énergie
• Touche M of N wrap Sauvegarde et restauration
• Interfaces via YubiHSM KSP, PKCS#11 et bibliothèques natives
• Vérification inviolable Enregistrement de l'audit

Détails de l'article

Sécurisation du stockage des clés et des opérations

Créez, importez et stockez des clés, puis effectuez toutes les opérations de cryptage dans le matériel HSM pour empêcher le vol des clés au repos ou pendant leur utilisation. Cela protège à la fois contre les attaques logiques contre le serveur, telles que les exploits du jour zéro ou les logiciels malveillants, et contre le vol physique d'un serveur ou de son disque dur.

Capacités cryptographiques étendues

YubiHSM 2 prend en charge les opérations de hachage, d'habillage de clé, de signature asymétrique et de décryptage, y compris la signature avancée avec ed25519.  L'attestation est également prise en charge pour les paires de clés asymétriques générées sur l'appareil.
Session sécurisée entre HSM et l'application

L'intégrité et la confidentialité des commandes et des données en transit entre le HSM et les applications sont protégées à l'aide d'un tunnel mutuellement authentifié, dont l'intégrité et la confidentialité sont protégées.
Contrôles d'accès basés sur les rôles pour la gestion et l'utilisation des clés

Toutes les clés cryptographiques et autres objets du HSM appartiennent à un ou plusieurs domaines de sécurité. Des droits d'accès sont attribués pour chaque clé d'authentification au moment de la création, ce qui permet d'effectuer un ensemble spécifique d'opérations cryptographiques ou de gestion par domaine de sécurité. Les administrateurs attribuent des droits aux clés d'authentification en fonction de leur cas d'utilisation, comme une application de surveillance d'événements qui nécessite la capacité de lire tous les journaux d'audit dans le HSM, ou une autorité d'enregistrement qui doit délivrer (signer) les certificats numériques des utilisateurs finaux, ou un administrateur de sécurité de domaine qui doit créer et supprimer des clés cryptographiques.
16 connexions simultanées

Plusieurs applications peuvent établir des sessions avec un YubiHSM pour effectuer des opérations cryptographiques. Les sessions peuvent être automatiquement interrompues après inactivité ou durer longtemps pour améliorer les performances en éliminant le temps de création des sessions.
Partage en réseau

Pour augmenter la flexibilité des déploiements, le YubiHSM 2 peut être mis à disposition sur le réseau par des applications sur d'autres serveurs. Cela peut être particulièrement avantageux sur un serveur physique qui héberge plusieurs machines virtuelles.
Gestion à distance

Gérez facilement plusieurs YubiHSM déployés à distance pour l'ensemble de l'entreprise - éliminez la complexité du personnel sur appel et les frais de déplacement.
Facteur de forme "Nano" unique, faible consommation d'énergie

Le facteur de forme Yubico "Nano" permet d'insérer complètement le HSM à l'intérieur d'un port USB-A pour qu'il soit complètement dissimulé - pas de parties externes qui dépassent de l'arrière du serveur ou du châssis avant. Il utilise une puissance minimale, max. 30mA, pour économiser sur votre budget d'énergie.
Touche M of N wrap Sauvegarde et restauration

La sauvegarde et le déploiement de clés cryptographiques sur plusieurs HSM est un composant essentiel d'une architecture de sécurité d'entreprise, mais c'est un risque de permettre à une seule personne d'avoir cette capacité. Le YubiHSM prend en charge le paramétrage des règles M de N sur la clé enveloppante utilisée pour exporter les clés de sauvegarde ou de transport, de sorte que plusieurs administrateurs doivent importer et déchiffrer une clé pour la rendre utilisable sur des HSMs supplémentaires. Par exemple, dans une entreprise, la clé privée de l'AC racine d'Active Directory peut être enveloppée dans une clé pour 7 administrateurs (M=7) et au moins 4 d'entre eux (N=4) sont nécessaires pour importer et déballer (décrypter) la clé dans le nouveau HSM.
Interfaces via YubiHSM KSP, PKCS#11 et bibliothèques natives

Les applications Crypto peuvent exploiter le YubiHSM via le Key Storage Provider (KSP) de Yubico pour le CNG de Microsoft ou le standard industriel PKCS#11. Des bibliothèques natives sont également disponibles sous Windows, Linux et macOS pour permettre une interaction plus directe avec les capacités de l'appareil.
Vérification inviolable Enregistrement de l'audit

Le YubiHSM stocke en interne un journal de tous les événements de gestion et de cryptage qui se produisent dans l'appareil et qui peuvent être exportés pour surveillance et reporting. Chaque événement (ligne) dans le journal est chaîné avec la ligne précédente et signé pour qu'il soit possible de déterminer si des événements sont modifiés ou supprimés.