ПАКМ "КриптоПро HSM" представляет собой сетевое устройство, подключаемое либо непосредственно к серверу (хосту), использующему криптографические сервисы ПАКМ  "КриптоПро HSM", либо в сегмент локальной сети через стандартные сетевые устройства (коммутаторы, маршрутизаторы, концентраторы) для обслуживания групп серверов и компьютеров пользователей сети.

ПАКМ "КриптоПро HSM" может быть использован в качестве СКЗИ в различных системах/подсистемах криптографической защиты информации (ПКЗИ), поддерживающих криптографические интерфейсы "КриптоПро CSP" (Microsoft CryptoAPI 2.0).

Централизованное хранение ключей

ПАКМ "КриптоПро HSM" позволяет организовать централизованное хранение и управление как ключами серверов, так и ключами всех пользователей внутри корпорации.

ПАКМ "КриптоПро HSM" предоставляет удобный интерфейс взаимодействия с серверами и рабочими станциями пользователей, а также возможность идентификации и аутентификации пользователей при локальном и удаленном доступе к ПАКМ "КриптоПро HSM".

Все секретные ключи пользователей хранятся в ПАКМ в зашифрованном на специальных ключах шифрования виде. Ключи шифрования в свою очередь шифруются на разделенном по схеме "3 из 5-ти" ключе активации ПАКМ, защитные части которого хранятся на смарт-картах и распределяются между работниками службы безопасности компании.

Расшифрование секретного ключа пользователя осуществляется в оперативной памяти ПАКМ и лишь в момент обращения к нему владельца.

Доступ пользователей к ПАКМ возможен только после активации ПАКМ (ввода защитных частей ключа активации) и при успешной процедуре аутентификации, использующей стандартный протокол TLS с двухсторонней аутентификацией. TLS ключи доступа формируются пользователям либо на смарт-картах (ОСКАР, МАГИСТРА), либо на USB ключах типа eToken, ruToken. Существует возможность хранения данного ключа в реестре Windows на рабочем компьютере пользователя.

Все ключи пользователей, хранящиеся в ПАКМ "КриптоПро HSM", кроме всего защищаются индивидуальным пин-кодом, задаваемым владельцем ключа в момент его генерации, либо в процедуре смены пин-кода. Пин-код доступа к ключу задается на рабочем месте пользователя. Для ключей системных сервисов (например, ключа Уполномоченного лица Центра сертификации) имеется возможность защищенного ввода пин-кода с LCD панели ПАКМ.

Простота и удобство администрирования

Управление ПАКМ "КриптоПро HSM" включает:

• Управление учетными записями пользователей;
• Управление ключами ПАКМ (ключ подписи ПАКМ, ключ активации ПАКМ, ключи шифрования ПАКМ, ключи TLS сервера ПАКМ);
• Управление журналами событий и аудита ПАКМ;
• Управление встроенным межсетевым экраном ПАКМ;
• Управление сетевыми настройками ПАКМ;
• Прочие настройки.

Все операции по управлению ПАКМ "КриптоПро HSM" могут быть выполнены как с LCD панели ПАКМ "КриптоПро HSM", так и с использованием WEB доступа.

Удаленное рабочее место администратора ПАКМ "КриптоПро HSM" представляет собой отдельно стоящий компьютер с установленными ОС Windows, КриптоПро CSP 4.0  (лицензия входит в комплект) и Internet Explorer версии от 6.0. Данный компьютер подключается к ПАКМ "КриптоПро HSM" по отдельному сетевому интерфейсу с ограничением доступа при помощи правил встроенного межсетевого экрана ПАКМ, двухсторонней TLS аутентификации привилегированного пользователя и ПАКМ "КриптоПро HSM".

Ролевое разграничение доступа

В соответствии с требованиями класса защиты KB2 в ПАКМ "КриптоПро HSM" реализована ролевая модель доступа к функциям ПАКМ. При этом привилегированные пользователи ПАКМ (члены группы администраторов, имеющие доступ в контролируемую зону) могут являться потенциальными нарушителями, но возможность сговора между ними исключается.

Данное требование реализовано с использованием ролевой модели доступа к различным функциям ПАКМ. Это означает, что каждому отдельному члену административной группы дается доступ только к строго определенному набору административных функций, не позволяющих провести успешную атаку на получение контроля над ключами пользователей, хранящихся в ПАКМ "КриптоПро HSM".

Программное обеспечение ПАКМ "КриптоПро HSM" различает следующие роли:

• Обычный пользователь СКЗИ ПАКМ "КриптоПро HSM";
• Администратор сервера, сервисы которого используют СКЗИ ПАКМ "КриптоПро HSM";
• Администратор ПАКМ "КриптоПро HSM";
• Аудитор ПАКМ "КриптоПро HSM";
• Администратор резервного копирования ПАКМ "КриптоПро HSM";
• Привилегированный пользователь ПАКМ "КриптоПро HSM" - хранитель одной части разделенного секрета ключа активации ПАКМ;
• Суперпользователь ПАКМ "КриптоПро HSM" (группа Привилегированных пользователей ПАКМ – владелец ключа активации ПАКМ).

Признак того, что пользователю назначена та или иная роль хранится в сертификате ключа доступа к функциям ПАКМ, как специальное расширение (Extended Key Usage) сертификата. Доступ к ПАКМ (локальный или удаленный) осуществляется только с использованием данного сертификата ключа доступа и самого ключа (секретной его части).

Ключи и сертификат доступа к ПАКМ "КриптоПро HSM" формируются ПАКМ и выдаются обычным пользователям администратором ПАКМ "КриптоПро HSM".

Надежность криптографических сервисов

ПАКМ "КриптоПро HSM" предоставляет:

• Проверку целостности критичного к безопасному функционированию ПО при инициализации ПАКМ "КриптоПро HSM", как с помощью устройства электронного замка  "Соболь", так и собственными механизмами встроенного СКЗИ; 
• Периодическое внутреннее тестирование выполнения криптографических функций ПАКМ "КриптоПро HSM";
• Периодическое внутреннее тестирование памяти ПАКМ "КриптоПро HSM";
• Генерацию случайных чисел с использованием аппаратного ДСЧ;
• Генерацию закрытого ключа подписи с использованием исходного материала, предоставленного уполномоченной организацией;
• Возможность внутреннего (а при выполнении специальных требований и процедур и внешнего) резервирования ключевой информации, включая клонирование ПАКМ (холодный резерв) и репликацию изменяемой ключевой информации в реальном времени в резервные ПАКМ (горячий резерв).

Простота встраивания

ПАКМ "КриптоПро HSM" предоставляет интерфейс к прикладным криптографическим функциям в соответствии со спецификацией Microsoft Cryptographic Service Provider.

ПАКМ "КриптоПро HSM" обеспечивает:

• возможность использования функций ПАКМ "КриптоПро HSM" через интерфейсы Microsoft CryptoAPI;
• возможность встречной работы ПАКМ "КриптоПро HSM" с СКЗИ "КриптоПро HSM".

Соответствие требованиям безопасности

ПАКМ "КриптоПро HSM" – программно-аппаратный криптографический модуль, разработан в соответствии с "Требованиями к шифровальным (криптографическим) средствам, предназначенным для защиты информации не содержащей сведений, составляющих государственную тайну", и удовлетворяет классу защиты КВ2 данных требований (при выполнении "Правил пользования ПАКМ "КриптоПро HSM". ЖТЯИ.00096-01 95 01" в части условий применения и "Руководства Администратора безопасности" ЖТЯИ.00096-01 91 01).