<img alt="" src="https://secure.weed6tape.com/193471.png" style="display:none;">
x
Sales kontaktieren
Unterstützte Algorithmen herunterladen

Primus X-series

Die Primus X-Series Hardware-Sicherheitsmodule (HSMs) sind in verschiedenen Leistungsklassen (X400/X1000) erhältlich. In seiner leistungsfähigsten Implementierung ist der Primus X1000 HSM in der Lage, 1200 RSA-4096 Operationen (oder etwa 4000 RSA-2048) pro Sekunde durchzuführen. Das Primus X-Series HSM kann mit unserem Fernzugriffsgerät Decanus verwaltet werden.

X-Serie_ganz_rgb_800px_web

ÜBERSICHT

Schlüsselverwaltung und -verschlüsselung

Die Primus HSM X-Serie erfüllt eine Vielzahl von Aufgaben. Es generiert Verschlüsselungscodes, speichert diese Schlüssel und verwaltet die Verteilung dieser Schlüssel. Neben der Schlüsselverwaltung übernimmt es auch Authentifizierungs- und Verschlüsselungsaufgaben. Mehrere Primus HSMs können in einem selbstsynchronisierenden Cluster zusammengefasst werden, um Geo-Redundanz und Lastausgleich zu unterstützen. Jeder Primus kann auch für mehrere Anwendungen partitioniert werden. Primus unterstützt symmetrische (AES, 3DES), asymmetrische (RSA, ECC, Diffie-Hellman), kryptographische Hashalgorithmen (SHA-2, SHA-3), sowie Advanced Encryption Standard-Cipher Message Authentication Code (AES-CMAC) für symmetrische Schlüssel Diversifikation.

Echte Zufallszahlengenerierung (TRNG)

Verschlüsselungscodes mit hoher Entropie sind von grösster Wichtigkeit, um höchste Sicherheit zu gewährleisten. Die Primus HSM X-Serie verfügt über mehrere TRNG-Module (True Random Number Generation). Sie sind mit separaten Hardwarekomponenten aufgebaut und erhalten ihre Zufälligkeit durch verschiedene physikalische Rauschmechanismen.

Kryptographisch-agile Architektur

Aufgrund seiner dynamischen Architektur ist das Primus HSM Quantencomputer bereit. Sollte einer der unterstützten Algorithmen durch Quantencomputer obsolet werden, kann ein sicherer Quantencomputer-Algorithmus durch ein Firmware/Software-Upgrade installiert werden.

Primus X-Series @Securosys

Primus HSM X-Serie Gallerie

Vorteile

Die X-Series zeichnet sich als Gerätetyp für Hoch- und Höchstverfügbarkeitsnetze durch grosse Sicherheit und Manipulationsresistenz aus. Zwecks Lastverteilung und Redundanz können mehrere Geräte gruppiert werden – sogar über unterschiedliche Lokalitäten hinweg.

Unbegrenzte Kundenanbindung

Es gibt keine Begrenzung für die Anzahl der Benutzer und Clients, die auf das Primus X-Series HSM zugreifen können. Anwendungen können sich entweder über Java (JCE/JCA), Windows (CNG, PKCS#11) oder Linux (PKCS#11, openSSL) Provider mit der Primus X-Serie verbinden.

Über 1 Million Schlüssel
Das Hardware-Sicherheitsmodul der Primus X-Serie kann mit bis zu 120 Partitionen konfiguriert werden, die jeweils bis zu 240 MB geschützten Speicherplatz bieten. Es kann über eine Million Schlüssel oder Objekte sicher speichern.
Verhinderung von Manipulationen
Beim Primus HSM der X-Serie wurde besondere Sorgfalt darauf verwendet, Manipulationen zu erkennen und zu verhindern, die über die Anforderungen der FIPS- und Common Criteria-Zertifizierung hinausgehen. Mehrere Manipulationssensoren gewährleisten den ordnungsgemässen Betrieb und die Handhabung des Primus X-Series HSM. Im Falle einer Auslösung löschen sie das gesamte Schlüsselmaterial.
Speichern von Schlüsseln
Die HSMs der Primus X-Serie speichern kryptografische Schlüssel und stellen Verschlüsselungs-, Entschlüsselungs-, Authentifizierungs- und digitale Signierdienste bereit. Sie sind unerlässlich für die Verwaltung und den Schutz von Transaktionen, Identitäten und Anwendungen.
Schützen Sie Ihre sensiblen Daten
Schützen Sie Ihre sensiblen Daten und Transaktionen mit branchenführender Sicherheit im leistungsstärksten HSM. Integrieren Sie die Hardware-Verschlüsselungsgeräte der Primus X-Serie direkt in Umgebungen für Datensicherheit vor Ort.
Transportschutz
Die Manipulationssensoren sind auch dann in Betrieb, wenn das HSM nicht mit Strom versorgt ist. Auch wenn das HSM transportiert oder aufbewahrt wird, schützt es sich also selbst vor Manipulationsversuchen und benachrichtigt seinen Besitzer, wenn es wieder eingeschaltet wird.
Vollständig abgeschirmt
Zum Schutz vor Seitenkanalangriffen ist das Primus HSM der X-Serie von einem schweren Aluminiumgehäuse umgeben. Darüber hinaus ist der kritische kryptographische Kern im Inneren des Gehäuses zusätzlich abgeschirmt. Dies führt dazu, dass im Wesentlichen keine elektromagnetische (EM) Strahlung entsteht.

API Integration Ihrer Wahl

Primus HSM bietet eine breite Palette von APIs für ihre Integration. Die APIs werden entweder nativ vom HSM oder über eine Softwareschicht angeboten. Securosys bietet API-Provider (Client-API-Software / Libraries) an, die auf dem Applikationsserver installiert werden und eine sichere Kommunikation mit dem HSM gewährleisten sowie automatisches Failover und Load-Balancing, optional basierend auf Prioritätsklassen, bieten.


Die Kunden können die API frei wählen, die am besten zu den Anforderungen passt:

REST API
  • Am besten geeignet für komplexe Architekturen mit verschiedenen Software-Stacks und Sprachen
  • Aufrüstbar auf Transaction Security Broker 
  • Externes Software-Modul
JCE/JCA
  • Optimal für Java-Integration
  • Erweiterte Funktionsunterstützung: Multi-Authorisation, Kryptowährung, Schlüssel-Attestierung und andere

PKCS#11
  • Am besten für Anwendungen, die die PKCS#11-Standardschnittstelle verwenden, z. B. OpenSSL, Apache, NGINX, PKI, KMS und viele Programmiersprachen-Bibliotheken.
Microsoft CNG
  • Optimal für Microsoft Windows Betriebssysteme
  • Native Integration für viele Anwendungen mit Cryptography Next Generation-Schnittstelle (CNG)

Technische
Spezifikationen

Sicherheitsarchitektur

  • Mehrschichtige Sicherheitsarchitektur mit integrierten Überwachungsmechanismen

Verschlüsselung/Authentifizierung (Auszug)

  • 128/192/256 Bit AES mit GCM-, CTR-, ECB-, CBC-, MAC-Modus
  • Camellia, 3DES (Rückwärtskompatibilität), 
    ChaCha20-Poly1305, ECIES
  • RSA 1024-8192, DSA 1024-8192
  • ECDSA 224-521, GF(P) beliebige Kurven (NIST, Brainpool,...)
  • ED25519, Curve25519
  • Diffie-Hellman 1024, 2048, 4096, ECDH
  • SHA-2/SHA-3 (224 - 512), SHA-1, RIPEMED-160, Keccak
  • HMAC, CMAC, GMAC, Poly1305
  • Aufrüstbar auf quantencomputerresistente Algorithmen

Schlüsselerzeugung

  • Zwei Hardwaregeneratoren zur Erzeugung von echten Zufallszahlen (TRNG)
  • NIST SP800-90-kompatibler Zufallszahlengenerator

Schlüsselmanagement

  • Schlüsselkapazität bis zu 30 GB
  • Bis zu 120 Partitionen mit je 240 MB Kapazität

Betrieb

  • Unbeschränkte Clientverbindungen 
  • Unbegrenzte Anzahl Backups

Anti-Manipulations-Mechanismen

  • Mehrere Sensoren für die Detektion unberechtigter Zugriffe
  • Aktive Zerstörung aller Schlüssel und sensibler Daten bei Manipulation
  • Schutz vor Manipulation bei Transport und Lagerung mittels digitalem Siegel

Attestation und Audit-Funktionen

  • Kryptographischer Nachweis von auditrelevanten Parametern (Schlüssel,
    Konfiguration, Hardware, Gerätezustand, Protokolle, Zeitstempel)

Identitätsbezogene Authentisierung

  • Mehrere Sicherheitsbeauftragte (m aus n)
  • Identifizierung mit Smartcard und PIN, über Decanus Terminal oder über virtuelle Smartcard

Softwareintegration

  • JCE/JCA Provider
  • PKCS#11, P11-Kit, OpenSSLv3, Apache, Nginx
  • Microsoft CNG/KSP
  • REST (TSB Modul) 

Netzwerkmanagement

  • IPv4 / IPv6
  • Schnittstellenbündelung (LACP oder aktiv/backup)
  • Aktives Clustering mehrerer Einheiten für Load-Balancing und Ausfallsicherung
  • Überwachung und Log-Streaming (SNMPv2, syslog/TLS)

Gerätemanagement

  • Lokale Konfiguration (GUI, Konsole)
  • Fernverwaltung (Decanus Terminal)
  • Lokale und ferngesteuerte Firmware-Aktualisierung
  • Manipulationsgeschützte Protokollierung und sicheres Audit
  • Verbesserte Diagnosefunktionen

Leistung (Transaktionen pro Sekunde)

  RSA 4096 ECC 256 ECC 521 AES 256
X1000 1000 3000 550 5000
X400 400 3000 550 2000

 

Stromversorgung

  • Zwei redundante Stromanschlüsse, unterbruchsfrei anschliessbar. Zur Wahl stehen:
    • 100...240 V Wechselstrom, 50...60 Hz
    • 36…75 V Gleichstrom
  • Leistung: 60 W (typ.), 80 W (max.)
  • Ultrakondensatoren zur Datenspeicherung
  • Backup-Lithiumbatterie: Lithium Thionyl Chloride 0.65g Li, IEC 60086-4, UL 1642, 3.6V

 

Schnittstellen

  • 4 Ethernet RJ45 Ports 1 Gbit/s (Rückseite)
  • 1 RS-232 Management Port (Vorderseite)
  • 1 USB Management Port (Vorderseite)
  • 3 Slots für Smartcards

Bedienung

  • 3 Steckplätze für Securosys Sicherheits-Smartcards
  • 4 LEDs für System- und Schnittstellen-Status (mehrfarbig)
  • Flüssigkristallanzeige mit Pad für Konfiguration
  • Konsoleninterface
  • Decanus-Terminal für die Fernverwaltung (Option)

Elektromagnetische Kompatibilität (EMC) (Soll)

  • EMV/EMC: EN 55022, EN 55024, FCC Part 15 Class B
  • Sicherheit: IEC 62386-1

Spezifikationen

  • Temperaturbandbreite (IEC 60068-2-1 Ad, IEC 60068-2-2 Bd): 
    Speicherung -25...+70 °C; Betrieb 0...+40 °C, (empfohlen +1...+30 °C)
  • Feuchtigkeit (IEC 60068-2-78 Cab): 
    40 °C, 93% RH, nicht-kondensierend
  • MTBF (RIAC-HDBU-217Plus) bei 25 °C: 100 000 h
  • Abmessungen (B×H×L) 440 x 88 x 441 mm
    (2HE 19” EIA Standardrack)
  • Gewicht 13.5 kg

Zertifizierung

  • FIPS140-2 Level 3
  • CC EN 419221-5 eIDAS Schutzprofil
  • CE, FCC, UL

NICHT GEFUNDEN, WAS SIE GESUCHT HABEN?

Hier finden Sie unsere Produktübersicht oder die Lösungsübersicht.

Kontaktieren Sie uns

Kontaktieren Sie uns, wenn Sie mehr über unsere Angebote wissen möchten.

Hinterlassen Sie uns Ihre Nachricht hier
Sprache
Adresse

Max-Högger-Strasse 2
8048 Zürich
Switzerland

Telefon

+41 44 552 31 00

Fax

+41 44 552 31 99

Copyright © 2024 Securosys SA. Alle Rechte vorbehalten.