КриптоПро HSM 2.0
КриптоПро HSM 2.0 – высокопроизводительный программно-аппаратный криптографический модуль, снабженный датчиками вскрытия, защитой ключевой информации с использованием разделенных по схеме «3 из 5» ключей, доверенной операционной системой, безопасными механизмами аудита и контроля подключений, обеспечивающий защиту криптографических ключей класса KB2 (Приказ ФСБ РФ от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" https://base.garant.ru/70139150/ [1]), который может применяться в том числе в качестве платёжного HSM [2] для криптографической защиты информации, обрабатываемой в платёжных системах.
Пользовательские ключи хранятся в HSM в зашифрованном виде с использованием специальных мастер-ключей защиты. Эти мастер-ключи, в свою очередь, зашифрованы с использованием ключа активации HSM, который защищен с использованием схемы разделения секрета «3 из 5» с хранением компонент на смарт-картах администраторов безопасности.
Ключи пользователей в долговременной памяти всегда надежно защищены, их использование возможно только по аутентифицированному запросу и при условии активации HSM администраторами безопасности. Работа с ключами производится при выполнении полного комплекса специальных мер противодействия атакам, соответствующим высокому классу защиты KB2.
КриптоПро HSM предоставляет интерфейсы CryptoAPI, PKCS#11 и JCA (Java), доступные для использования после успешной аутентификации пользователя с помощью ключей доступа. С помощью этих интерфейсов обеспечивается возможность бесшовного перехода на работу с долговременными ключами в HSM для повышения защиты криптографических подсистем удостоверяющих центров, OCSP-серверов, служб штампов времени, серверов облачной электронной подписи и прочих доверенных подсистем и любых других приложений, использующих КриптоПро CSP/JCP
КриптоПро HSM обеспечивает выполнение следующих операций:
- Формирование и проверка электронной подписи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, ECDSA и RSA
- Вычисление значений хэш-функции по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012, SHA-1, SHA-2
- Шифрование и расшифрование данных по ГОСТ Р 34.12-2015 (Кузнечик и Магма), ГОСТ 28147-89, AES, DES, 3DES, RC2, RC4
- Имитозащита данных
- Операции на эллиптических кривых, включая работу на сверхскоростных скрученных эллиптических кривых Эдвардса в соответствии с Рекомендациями по стандартизации ТК 26 Р 50.1.114–2016
В КриптоПро HSM 2.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Поддерживаются отказоустойчивые конфигурации и горизонтальное масштабирование при множественной подписи.
Производительность
| Формирование электронной подписи | 50 000 операций в секунду |
| Хранение секретных ключей | 500 000 ключей (по умолчанию) 20 000 000 ключей (с расширением) |
КриптоПро HSM 2.0 обеспечивает высокую производительность выполнения криптографических операций. При помощи пакетной обработки может быть достигнута производительность до 50 000 формирований электронной подписи в секунду.
КриптоПро HSM 2.0 позволяет безопасно хранить до 500 000 секретных ключей с возможностью расширения до 20 000 000 и более.
Безопасное хранилище ключей электронной подписи
КриптоПро HSM в первую очередь предназначен для безопасного хранения и использования секретных ключей электронной подписи удостоверяющих центров и пользователей. Любая система, которая использует Microsoft Cryptographic API/Java Cryptography Architecture для выполнения криптографических операций может воспользоваться преимуществами размещения секретных ключей в HSM, например:
- Удостоверяющий центр (КриптоПро УЦ)
- Создание ЭП в автоматизированном режиме
- Служба онлайн проверки статусов сертификатов (КриптоПро OCSP Server)
- Служба штампов времени (КриптоПро TSP Server)
- Система облачной электронной подписи (КриптоПро DSS)
Благодаря классу защиты KB2 КриптоПро HSM позволяет банкам использовать HSM для выполнения требований по взаимодействию с Единой Биометрической Системой (ЕБС) – как для электронной подписи собираемых биометрических персональных данных, так и для взаимодействия с ЕБС при аутентификации и авторизации пользователей.
Подпись кода
КриптоПро HSM может быть использован для подписи кода распространенных платформ и для безопасного хранения секретных ключей подписи кода. Ведущие поставщики EV-сертификатов (DigiCert) позволяют использовать КриптоПро HSM в качестве хранилища секретных ключей.
Поддерживаемые технологии подписи:
- Microsoft Authenticode
- Java Code Signing
Поддерживаемые API:
- Microsoft CryptoAPI
- Microsoft CNG
- PKCS#11
- Java Cryptography Architecture (JCA)
SSL/TLS сервер
КриптоПро HSM может использоваться как защищенное хранилище секретных ключей SSL/TLS сервера для секретных ключей ГОСТ и RSA/ECDSA:
- КриптоПро NGate
- Microsft IIS
- Apache HTTP Server
- nginx
- Apache Tomcat
Комплектация
В состав поставки входит клиентское ПО, которое поставляется на CD-ROM совместно с ПАКМ «КриптоПро HSM».
Технические характеристики
| Корпус: | Серверный промышленный корпус для монтажа в стойку 19” высота 2U, глубиной 485 мм, с двумя вентиляторами охлаждения, смонтированными внутри |
| Напряжение: | 220 В |
| Число электрич. входов: | 2 |
| Блок питания: | 500 Вт двойной с горячей заменой |
| Разъемы электропитания: | C14 (2 шт.) |
| Энергопотребление: | До 300 Вт |
| Процессоры: | INTEL XEON E5-2620V3 2.4 GHz (2 шт.) |
| Сетевая карта: | Allied Telesis, Gigabit Ethernet Fiber Adapter, 1000-Base-SX двойной (1 шт.) |
Габариты и вес
| Высота: | 9 см (2U) |
| Ширина: | 43 см (19”) |
| Глубина: | 52 см |
| Вес нетто: | 12,5 кг |
| Вес с упаковкой: | 17 кг |
| Размер упаковки: | 64х57х21 см |
Комплектация ПАКМ Крипто-Про HSM версия 2.0, вариант исполнения 1
| Системный блок ПАКМ (с крепежом в стойку): | 1 шт. |
| Ключ электронного замка (iButton): | 1 шт. |
| Ключевой носитель (смарт-карта Магистра): | 16 шт. |
| Кабель электропитания: | 2 шт. |
| Считыватель смарт-карт (внешний): | 1 шт. |
| Сетевой адаптер с оптическим интерфейсом (внешний): | 1 шт. |
| Соединительный оптический патч-корд: | 1 шт. |
| Диск CD-ROM с клиентским ПО и документацией: | 2 шт. |
| Формуляр: | 2 шт. |
| Копия сертификата соответствия: | 1 комплект |
Документация
КриптоПро HSM. Руководство администратора безопасности [4]
КриптоПро HSM. Руководство пользователя [5]
КриптоПро HSM. Правила пользования [6]
КриптоПро HSM. Инструкция по использованию [7]
КриптоПро HSM. Использование интерфейсных модулей [8]
Дополнительные материалы
КриптоПро HSM. Листовка А4 с описанием продукта [9] (pdf, 2 МБ)
Обучающий курс "Порядок развертывания PKI с применением ПАКМ "КриптоПро HSM" и настройки платежного модуля КриптоПро PCI HSM" [10]