Primus S500: Das HSM des Schweizer Finanzplatzes

Primus HSM S500 ist unser Flaggschiff. Wir haben es für die Bedürfnisse des Finanzplatzes Schweiz massgeschneidert. Wir schützen damit eine kritische Infrastruktur.

Primus S500 ist ein Beispiel für Geräte, die wir massschneidern. Wir haben es in enger Zusammenarbeit mit SIX entwickelt, die im Auftrag der Schweizer Nationalbank (SNB) die Infrastruktur für den Zahlungsverkehr zwischen den Schweizer Banken betreibt. Entsprechend genügt es höchsten Sicherheitsanforderungen und verfügt über eingeschränkte Konfigurationsmöglichkeiten. Es ist bei allen Banken im Einsatz, die an SIC angeschlossen sind, dem Swiss Interbank Clearing.

Was das HSM kann

S500 kann digitale Schlüssel kreieren, speichern und deren Zuteilung managen. Daneben erfüllt es auch Authentifizierungs- und Verschlüsselungsaufgaben.

Zwecks Redundanz und Lastausgleich können mehrere S500 gruppiert und vom Anwendungsprogramm gesteuert werden.

Wie es Schlüssel generiert

Die Schlüssel werden mittels unterschiedlichen Geräuschmechanismen in separaten True Random Number Generation-Modulen (TRNG) generiert.

S500 unterstützen unterschiedliche kryptographische Algorithmen:

  • Symmetrische (AES, Camellia)
  • asymmetrische (RSA, Diffie-Hellman)
  • Hashing (SHA-2, SHA-3).

Welche Sicherheitsmechanismen es besitzt

  • Ultrasicherer Mikrotresor in dediziertem Security-Chip
  • Dynamische Architektur
  • Vorbereitet auf Quantumcomputer (Algorithmus-Update via Software- / Firmware-Upgrade)

 

Das S500 ist exklusiv im Einsatz für das Swiss Interbank Clearing (SIC), das SIX im Auftrag der Schweizer Nationalbank betreibt.

Wegen hoher Sicherheitsstandards verfügt S500 über eingeschränkte Konfigurationsmöglichkeiten.

Angeschlossen sind Schweizer Banken, die an SIC beteiligt sind.

Firmen, die grossen Wert auf höchste Sicherheit, aber erweiterte Konfigurationsmöglichkeiten legen, empfehlen wir unsere X-Series.

Sicherheitsmerkmale

Architektur auf militärischem Sicherheitsniveau

  • Software mit mehrfachen Barrieren sowie Hardware-Architektur mit Überprüfungsmechanismus

Verschlüsselung / Authentifizierung

  • 128- sowie 256-bit AES mit GCM-, CTR-, ECB-, CBC-, MAC-Modus
  • Camellia
  • RSA 2048, 3072, 4096, 8192
  • Diffie-Hellman
  • SHA-2 (256 - 512), SHA-3
  • Aufrüstbar auf Quantencomputer-Algorithmen

Schlüsselerzeugung

  • Zwei Hardware-Erzeuger von Zufallszahlen 

Schlüsselmanagement

  • Schlüsselkapazität:  250 Mbyte
  • Ultrasicherer Tresor für Langzeitschlüssel und -zertifikate

Anti-Manipulations-Mechanismen

  • Mehrere Sensoren für die Detektion unautorisierter Zugriffe
  • Modus für die Zerstörung aller Schlüssel und sensibler Daten
  • Schutz vor Manipulation bei Transport und Langzeitspeicherung 

Firmware

  • Lokaler firmware update

Security Roles

  • Mehrere Sicherheitsbeauftragte (2 von n Security Officiers)

Identifikation basierend auf Smartcard und PIN

Netzwerkmerkmale

Internet Protocol (IPv4, IPv6)

Softwareintegration

  • JCE/JCA Provider

Netzwerkmanagement

  • Gesteigerte Testfunktionen
  • Ereignisdetektor

Gerätemanagement

  • Konfiguration, Monitoring und Logging
  • Firmware Updating

Lastenverteilung/Ausfallsicherheit

  • Über softwaregesteuerten Lastenverteilung können mehrere Geräte miteinander verbunden werden

Technische Daten

Leistung

  • RSA
    • 400 RSA-3072 pro Sekunde
    • 200 RSA-4096 pro Sekunde

Steuerungen

  • 3 Slots für Securosys Sicherheits-Smartcards
  • 4 LEDs für den Status des Systems und des Interface (mehrfarbig)
  • 1 Flüssigkristallanzeige für die Handhabung
  • Anzeige für die Menu-Navigation und um das Built in Test Equipment (BiTE) und die Notfall-Löschung auszulösen

 Interfaces

  • 4 Ethernet RJ45 Ports 1 Gbit/s (Rückseite)
  • 1 RS232 Management Port (Vorderseite)
  • 1 USB Management Port (Vorderseite)

Strom

  • Zwei redundante Stromanschlüsse, unterbruchsfrei anschliessbar. Zur Wahl stehen:
    • 100...240 V Wechselstrom, 50...60 Hz
    • 36…75 V Gleichstrom
  • Stromverbrauch: 75W
  • Ultrakondensator zur Datenspeicherung

Sicherheitskonformität

  • IEC 60950
  • RoHS-konform

Elektromagnetische Kompatibilität (EMC)

  • Strahlungsmessung in Übereinstimmung mit EN 55022
  • Sicherheit: EN 55024

Spezifikationen Umgebungstest

  • Temperaturbandbreite (IEC 60068-2-1 Ad, IEC 60068-2-2 Bd): Speicherung -25...+70 °C; Betrieb 0...+45 °C
  • Feuchtigkeit (IEC 60068-2-78 Cab): 40 °C, 93% RH, nicht-kondensierend, 10 Tage; 8 Tage in Betrieb

Ausfallsicherheit

  • MTBF (RIAC-HDBU-217Plus) bei tamb = 25 °C: 100 000 h

Abmessungen (b × h × l)

  • 400 x 88 x 367 mm (passt in ein 2HE 19” EIA Standard Rack)

Sicherheitsprüfung durch VBS IS Crypt abgeschlossen

Hier finden Sie ein detailiertes Datenblatt über Primus HSM S500


Securosys-not-found-help

Nicht gefunden was suchen?

Versuchen Sie es mit der  Primus X-Series oder der Lösungsseite -  zum Hauptmenu