YubiHSM

Bárhol, bármely rendszeren, biztonságosan

Amikor hardver tokenekkel megerősített két-faktoros azonosítást használunk, a felhasználó hardver kulcsának a védelme csak a megoldás egyik fele. Minden azonosítási megoldás csak annyira biztonságos, amennyire az azonosítás végző kiszolgáló biztonsága. Amennyiben a kiszolgáló kompromittálódik, úgy az azon tárolt azonosítási adatok is kompromittálódnak.

A Yubico a megfizethető árú megoldások iránti igény, és a felhasználók kulcsainak legmagasabb szintű védelmében megalkotta a YubiHSM-et. Ez az eszköz egy USB kulcs méretével rendelkezik, ára pedig szerver méretű megoldások költségének csupán töredéke. A kiszolgáló USB portjára csatlakozó Hardware Security Module, a YubiHSM egy könnyen beállítható, könnyen használható hardveres biztonsági megoldás, mellyel az érzékeny azonosítási adatokat védhetjük meg. Rendívül gyorsan integrálható a YubiRADIUS megoldással, még magasabb biztonságot nyújtva a YubiKey azonosításokhoz. Ezen felül bármely más alkalmazás részére kriptográfiai szolgáltatásokat tud nyújtani.

A YubiHSM segítségével biztonságosan tárolhatók az azonosításhoz szükséges titkos adatok az azonosító szerveren. Védelmet biztosít nem csak a távolról végrehajtott behatolási kísérletek, de a belső fenyegetések ellen is. Utóbbi esemény lehet a biztonsági kulcsok üzemeltetők általi másolása.

Optimális hardver kialakítás

Az elterjedt USB csatlakozás használatával a YubHSM sem igényel különleges beállításokat. Telepítése csak annyiból áll, mint egy pendrive telepítése: csatlakoztatjuk a kiszolgálóhoz. Ennek a kialakításnak köszönhetően a tradicionális Hardware Security Module-okhoz képest óriási az energia megtakarítás: fogyasztása kevesebb, mint 0.2W. Tervezésénél a fő szempontok közé tartozott még, hogy ne tartalmazzon mozgó alkatrészt,
így az ebből adód hibák is kiküszöbölésre kerültek.

Titkosítás, és védelem

A robosztus, és hatékony fizikai felépítés mellett a YubiHSM rendkívül hatékony a kriptográfiai szolgáltatások biztosításában.  A YubiHSM képes titkosítások, ellenőrzések  végrehajtására, Message Authentication Code, hashek, valamint kriptográfiailag előállított valódi véletlenszámok generálására. Előre beállított módon támogatja a tokenek által előállított egyszer használatos jelszavakat, de beállítható rajta AES titkosítás/visszafejtés, HMAC-SHA1 aláírások ellenőrzése a HSM-en tárolt kulcs használatával.

Mindig biztonságban

Az eszköz saját processzorral és belső tárterülettel rendelkezik. A YubiKey jelszavak ellenőrzésekor átveszi az egyszer használatos jelszót, majd a kulcshoz társított titkos kulcsot, valamint belső processzorát használva visszafejti a titkosított jelszót, és önmaga elvégzi az azonosítást. A hoszt gépnek csak az azonosítás eredményét, és egyéb kísérő adatokat, mint az azonosítás sorszáma adja át. A visszafejtett kulcs, és jelszó soha nem hagyja el a YubiHSM eszközt.Ez jelentős biztonsági előnyt nyújt, mivel a kiszolgáló kompromitállódása esetén is biztonságban vannak a kulcsok – 128 bites AES kulccsal titkosítva, minden felhasználó azonosítóját védve. Egy eszköz 1000 azonosító tárolására alkalmas.

YubiHSM jellemzők

  • Telepítés utáni további karbantartást nem igényel
  • Bármely szabványos USB csatlakozóval használható, mint Linuxon, mind Windowson
  • Extrém alacsony energia fogyasztás
  • Biztonságos, fizikailag izolált környezetet biztosít a kriptográfiai műveletekhez
  • AES és OATH szonosítás támogatása