Das hochverfügbare Hochleistungs-Hardware Security Module

Die Hardware Security Module (HSM) der X-Series sind die Geräte der Wahl für höchste Sicherheits-, Leistungs- und Verfügbarkeitsansprüche. Sie sind in unterschiedlichen Leistungsklassen erhältlich: X200, X400, X700 und X1000. Die Zahl gibt Auskunft darüber, wie viele RSA-4096-Operationen das Gerät pro Sekunde ausführen kann. Die höchste Leistungsklasse X1000 ist sogar fähig, bis zu 1200 Operationen pro Sekunde auszuführen. Oder bezogen auf RSA-2048 4000 Operationen.

Zur X-Series gibt es optional Decanus, unser Bedienungsgerät für Fernzugriffe.

 

Die X-Series entspricht dem höchsten Sicherheits- und Leistungslevel in der HSM-Domäne. Sie eignet sich zum Schutz von sensiblen Daten direkt vor Ort.

Was die X-Series kann

Geräte der X-Series können digitale Schlüssel kreieren sowie speichern und deren Zuteilung managen. Daneben erfüllen sie auch Authentisierungs- und Verschlüsselungsaufgaben.

Zwecks Redundanz und Lastausgleich können mehrere Geräte der X-Series gruppiert und vom Anwendungsprogramm gesteuert werden. Gleichzeitig kann jedes Gerät für mehrere User partitioniert werden.

Geräte der Primus X-Series sind in unterschiedlichen Leistungsklassen erhältlich: X200, X400, X700 und X1000. Die Zahl gibt Auskunft darüber, wie viele RSA-4096-Operationen das Gerät pro Sekunde ausführen kann. Die höchste Leistungsklasse X1000 liefert sogar bis zu 1200 RSA-4096-Signaturen pro Sekunde, oder 4000 RSA-2048-Operationen.

Wie sie Schlüssel generieren

Schlüssel werden mittels unterschiedlichen Geräuschmechanismen in zwei separaten True Random Number Generation-Modulen (TRNG) generiert. Diese basieren auf unterschiedlichen physikalischen Rausch-Prozessen: Temperaturrauschen und Diodenrauschen

X-Geräte unterstützen unterschiedliche kryptographische Algorithmen:

  • Symmetrische (AES, 3DES, Camellia)
  • Asymmetrische (RSA, ECC, Diffie-Hellman)
  • Hashing (SHA-2, SHA-3).

Welche Sicherheitsmechanismen sie besitzen

Die X-Series umfasst ultrasichere Netzwerk-Appliances mit einer Vielzahl von Tamper-Sensoren und -Mechanismen:

  • Ultrasicherer Mikrotresor Im dedizierten Security-Chip
  • Dynamische Architektur
  • Vorbereitet auf Quantumcomputer (Algorithmus-Update via Software-/ Firmware-Upgrade)

Die X-Series zeichnet sich als Gerätetyp für Hoch- und Höchstverfügbarkeitsnetze durch grosse Sicherheit und Manipulationsresistenz aus. Zwecks Lastverteilung und Redundanz können mehrere Geräte gruppiert werden – sogar über unterschiedliche Lokalitäten hinweg.

Jedes Gerät ist mit zwei Stromversorgungen ausgestattet, auf die während des Betriebs umgestellt werden kann.

Auf einem Primus HSM der X-Series können bis zu 120 Partitionen eingerichtet werden, welche über je bis zu 240 MB geschützten Speicherplatz verfügen. Die Zahl der Benutzer und Clients ist unbegrenzt. Verbinden kann man sich mit dem Gerät via Java (JCE/JCA), Windows (CNG, PKCS#11) und Linux (PKCS#11, openSSL).

Ein spezielles Augenmerk haben wir beim Design der Primus X-Series auf die Detektion von Manipulationsversuchen und Sidechannel-Attacken gelegt. Deswegen verfügen die Geräte über ein robustes Aluminiumgehäuse. Die kritischen Teile sind dabei zusätzlich abgeschirmt. Entsprechend erzeugt das Gerät keine elektromagnetische Strahlung. Mehrere Manipulationssensoren stellen sicher, dass das  Gerät sauber läuft und zweckgemäss eingesetzt wird. Sollten sie ausgelöst werden, löschen sie selbsttätig sämtliche Schlüssel. Die Sensoren sind auch in Betrieb, wenn das Gerät nicht mit Strom versorgt ist. Entsprechend schützt es sich auch während des Transports und der Aufbewahrung, und es benachrichtigt seinen Owner, sobald es wieder mit Strom versorgt ist.

Die Geräte speichern Verschlüsselungsschlüssel sowie Chiffrierungsanweisungen, Dechiffrierungsschlüssel, Authentifizierungs- sowie Signaturservices. Sie sind unabdingbar für das Management und den Schutz von Transaktionen, Identitäten und Anwendungen.

Sicherheitsmerkmale

Architektur auf militärischem Sicherheitsniveau

  • Software mit mehrfachen Barrieren sowie Hardware-Architektur mit Überprüfungsmechanismus

Verschlüsselung / Authentifizierung

  • 128/192/256 bit AES (GCM, CTR, ECB, CBC, MAC modi)
  • 128, 192 und 256 bit Camellia (GCM, CTR, ECB, CBC, MAC modi)
  • RSA 2048 - 8192 mite PKCS, PSS and OEAP modi
  • ECDSA 256 (mod-p Kurven, etc.), DSA 2048 - 4096
  • ECDH 256, DH 2048 - 4096 • SHA-2, SHA-3 (224 - 512)
  • Aufrüstbar auf Quantencomputer-Algorithmen

Schlüsselerzeugung

  • Zwei Hardware-Erzeuger von Zufallszahlen

Schlüsselmanagement

  • Schlüsselkapazität: über 1’000’000 2048-bit keys
  • Ultrasicherer Tresor für Langzeitschlüssel und Zertifikate

Multikunden/-user/-partitionen/-mandantenfähigkeit 

  • Über 100 Partitionen möglich

Antimanipulationsmechanismen

  • Mehrere Sensoren für die Detektion unautorisierter Zugriffe
  • Modus für die Zerstörung aller Schlüssel und sensibler Daten
  • Schutz vor Manipulation bei Transport und Langzeitspeicherung

Firmware

  • Lokaler firmware update

Security Roles

  • Mehrere Sicherheitsbeauftragte (2 von n Security Officiers)
  • Identifikation basierend auf Smartcard und PIN

Networking Features

Internet Protocol (IPv4, IPv6)

Softwareintegration

  • JCE/JCA Provider
  • PKCS#11
  • MS CNG

Netzwerkmanagement

  • Gesteigerte Testfunktionen
  • Ereignisdetektor
  • Konfiguration, Monitoring und Logging
  • Firmware update

Lastverteilung/Ausfallsicherheit

  • Über softwaregesteuerten Lastverteilung können mehrere Geräte miteinander verbunden werden
  • Hochverfügbare Redundanz 

Technische Daten

Leistung (Securosys Primus X1000)

  • 4000 RSA-2048 pro Sekunde
  • 1200 RSA-4096 pro Sekunde

Steuerungen

  • 3 Slots für Securosys Sicherheits-Smartcards
  • 4 LEDs für den Status des Systems und des Interface (mehrfarbig)
  • 1 Flüssigkristallanzeige für die Handhabung
  • Anzeige für die Menu-Navigation und um das Built-in Test Equipment (BiTE) und die Notfall-Löschung auszulösen

 Interfaces

  • 4 Ethernet RJ45 Ports 1 Gbit/s (Rückseite)
  • 1 RS232 Management Port (Vorderseite)
  • 1 USB Management Port (Vorderseite)

Strom

  • Zwei redundante Stromanschlüsse, unterbruchsfrei anschliessbar. Zur Wahl stehen:
    • 100...240 V Wechselstrom, 50...60 Hz
    • 36…75 V Gleichstrom
  • Stromverbrauch: 75W
  • Ultrakondensator zur Datenspeicherung

Sicherheitskonformität

  • IEC 60950
  • RoHS-konform

Elektromagnetische Kompatibilität (EMC)

  • Strahlungsmessung in Übereinstimmung mit EN 55022
  • Sicherheit: EN 55024

Spezifikationen Umgebungstest

  • Temperaturbandbreite (IEC 60068-2-1 Ad, IEC 60068-2-2 Bd): Speicherung -25...+70 °C; Betrieb 0...+45 °C
  • Feuchtigkeit (IEC 60068-2-78 Cab): 40 °C, 93% RH, nicht-kondensierend, 10 Tage; 8 Tage in Betrieb

Ausfallsicherheit

  • MTBF (RIAC-HDBU-217Plus) bei tamb = 25 °C: 100 000 h

Abmessungen (b × h × l)

  • 400 x 88 x 367 mm (passt in ein 2HE 19” EIA Standard Rack)

Zertifizierung (in Prüfung)

  • FIPS140-2 Level 3

Detailiertes Datenblatt zur Primus HSM X-Series (pdf)


Securosys-not-found-help

Nicht gefunden was suchen?

Versuchen Sie es mit der Decanus Seite oder der  Lösungsseite -  zum Hauptmenu