Módulo de Seguridad en Hardware (HSM)

El Luna G5 se utiliza ampliamente por gobiernos, instituciones financieras y grandes empresas para datos, aplicaciones e identidades digitales para reducir el riesgo y asegurar el cumplimiento reglamentario.

Antecedentes

En el mundo digital actual, las claves criptográficas protegen los datos más confidenciales de empresas, bancos y gobiernos. Las claves por si mismas deben protegerse fuertemente para asegurar su secrecía y autenticidad de manera que la información que pasa a través de la infraestructura en línea no se exponga a partes no autorizadas. Para manejar apropiadamente el gran número de claves requerido en una empresa típica o escenario de e-commerce (comercio electrónico), se emplean comúnmente las Infraestructuras de Clave Pública (PKIs), y requieren la más alta seguridad disponible para proteger sus propias claves de raíz criptográfica.

Los Módulos de Seguridad en Hardware (HSMs) de SafeNet aseguran las claves dentro del aparato de hardware 100% del tiempo – desde la creación y almacenamiento de la clave hasta su uso y destrucción. Mantener las claves en hardware a través de todo su ciclo de vida es una mejor práctica impuesta por los auditores de seguridad de sistemas y los cuerpos de certificación responsables de atestiguar el status de seguridad de los sistemas PKI.

Basándose en las antiguas capacidades de seguridad validadas por la industria de la familia de productos Luna, el HSM G5 de SafeNet de siguiente generación introduce un nuevo diseño que conecta directamente el HSM al servidor de aplicaciones a través de una interfaz USB.

Factor de Forma Conveniente y Seguro

Luna G5 entrega el manejo de claves líderes en la industria en un aparato portátil. Todos los materiales de la clave se mantienen exclusivamente dentro de los límites del hardware. El factor de forma pequeño y el almacenamiento de claves a bordo distinguen el producto, haciéndolo especialmente atractivo a los clientes que necesitan retirar y almacenar físicamente el aparato que contiene sus claves raíz de PKI.

Manejo Seguro de Claves de Hardware

Los HSMs de Luna proporcionan la generación, almacenamiento y copia de protección seguros de la clave de hardware, en un rango de modelos y configuraciones, que ofrecen una amplia selección de capacidades de seguridad, y operacionales. La versión Luna G5 de la familia de productos HSM de SafeNet proporciona una capa adicional de manejo de claves basado en hardware. En su núcleo se encuentra el SafeXcel 3120, un sistema de seguridad robusto, seguro contra fallas en un chip para proteger claves internas y datos confidenciales. Este sistema de seguridad de defensa en profundidad en una arquitectura de chip, aísla el material de la clave de lenguaje legible del firmware primario de los HSMs al encriptar adicionalmente las claves internas con una clave que sólo existe en el hardware de SafeXcel. Dividir las técnicas de clave proporciona una característica de respuesta mejorada contra la manipulación indebida activada por la detección del ataque externo o una anomalía interna del hardware. Este diseño de alta seguridad también incluye una función de recuperación contra la manipulación indebida y el modo de transporte seguro (referidos en la sección especial de más adelante). Luna G5 se empaca de manera segura para cumplir con los requerimientos más rigurosos para la resistencia a la manipulación indebida y la intrusión.

Diseño HSM de Alta Seguridad

El Luna G5 tiene una arquitectura de seguridad interna mejorada que proporciona un nivel sin precedentes de seguridad para las claves y datos confidenciales generados, utilizados y almacenados en el HSM. En el centro de esta arquitectura se encuentra el SafeXcel-3120, que realiza todas las operaciones criptográficas para los algoritmos aprobados por NIST (incluyendo la Serie B). Modelado después de los chips de alta seguridad que desarrolla actualmente SafeNet, el SafeXcel-3120 actúa como un ancla confiable y utiliza un proceso de inicialización seguro para asegurar únicamente las ejecuciones confiables del firmware dentro del HSM. Además de su función de manejo de claves previamente descrito, el SafeXcel 3120 realiza toda la generación de claves para los algoritmos aprobados por NIST y se utilizan para firma, verificación, cifrado y descifrado en ambientes de desempeño medio.

Función de Recuperación contra la Manipulación Indebida

El Luna G5 representa un conjunto de circuitos sofisticados de detección y respuesta a la manipulación indebida para automáticamente poner en ceros las claves internas en el caso de un intento de ataque sobre el HSM. Equilibrando esta postura de seguridad extrema con los problemas por la facilidad de uso del usuario final, el Luna G5 incluye la capacidad para los tenedores de clave púrpura apropiadamente autenticada – por ejemplo un funcionario de seguridad – para recuperarse de un caso de manipulación indebida inadvertida y poner rápidamente el HSM de regreso a su estado utilizable sin la pérdida de ninguna clave o datos confidenciales.

Modo de Transporte Seguro

Los circuitos de respuesta a la manipulación indebida de Luna G5 permiten la introducción de un modo de transporte seguro. Los tenedores de clave púrpura utilizan las claves de la función de recuperación de manipulación indebida del dispositivo para bloquear criptográficamente el HSM antes de transportar el dispositivo. Las claves de la función de recuperación pueden enviarse por separado y recombinarse en el destino para verificar criptográficamente la integridad de los HSMs.

Autenticación de Trayectoria Confiable (Trusted Path Autentication) PED

Para evitar el acceso no autorizado al material criptográfico confidencial, Luna G5 ofrece fuerte autenticación de dos factores y múltiples funciones del administrador, con capacidades M de N disponibles para cada función. Luna G5 también ofrece Trusted Path Authentication utilizando el PED de Luna (Dispositivo de Entrada de PIN), una consola de autenticación portátil integrada que no depende de teclados o dispositivos de visualización comerciales para la entrada del PIN del administrador.

Capacidades Criptográficas

Luna G5 soporta un amplio rango de capacidades de encriptación de clave asimétrica e intercambio de claves, así como soporta todos los algoritmos estándar de encriptación simétrica. También soporta todos los algoritmos estándar de cálculo de clave y códigos de autenticación de mensajes (MAC). El Luna G5 tiene un generador de números aleatorios implementado en hardware (AES-DRBG) que cumple con NIST SP 800-90. Mejorando la generación anterior, el soporte de HSM para IDs digitales generadas en fábrica basadas en pares de claves RSA, el Luna G5 también soporta los pares de claves SC para utilizarse en aplicaciones de la Serie B que requieren una ID digital permanente generada en la fábrica.

Protección de Datos de SafeNet

Luna G5 de SafeNet es un componente clave de la solución completa de protección de datos empresariales de SafeNet para reducir el costo y la complejidad del cumplimiento reglamentario, la privacidad de datos y la administración del riesgo de la información. La Protección de Datos Empresariales de SafeNet (EDP) es la única solución que asegura los datos a través de las empresas con enlaces de comunicación, con protección de los datos en reposo, los datos en tránsito y los datos en uso. A diferencia de las distintas soluciones de los múltiples puntos de venta que pueden crear “islas” de seguridad limitada, EDP de SafeNet proporciona una plataforma de seguridad integrada con políticas centralizadas de manejo y reporte para el manejo fluido, rentable de datos encriptados a través de las bases de datos, aplicaciones, redes y dispositivos de punto final. 

Beneficios de Seguridad

• Diseño HSM de alta seguridad
• Autenticación y control de acceso seguros
• Defensa en profundidad de la jerarquía de claves internas
• Detección y respuesta a la manipulación indebida
• Copia de protección a través de la clonación de la clave Luna
• M de N por función
• ID digital ECC (Criptografía de Curvas Elípticas) instalada de Fábrica (Modo de Transporte Seguro)
• RNG (Generador de Números Aleatorios) adaptado a FIPS (en proceso)
• Criterios Comunes EAL 4+ en proceso

Características

• Total soporte API (Interfaz para Programas de Aplicación) criptográfico y kits de herramientas del desarrollador
• Optimizado para el Desempeño de la Serie B
• Parámetros ECC especificados por el usuario
• Soporte de algoritmo coreano
• Soporte para NIST y Brainpool ECC Curves

Certificaciones
• FIPS 140-2 validación de Nivel 2 y Nivel 3 (en proceso)
• BAC y EAC ePasaport
• RoHS

Desempeño

Operaciones por segundo (modo de Alta Disponibilidad)

Algorithm LUNA G5
RSA - 1024 200
RSA - 2048 60
ECC P256 40
ECIES 20
AES-GCM 70

Especificaciones Técnicas

Soporte del Sistema Operativo
• Windows, Linux 

Soporte API del Cliente
• PKCS#11 v2.20, Microsoft CryptoAPI (CAPI), Microsoft Crypto API: Siguiente Generación (CNG)
• Java JCA/JCE
• Open SSL

Procesamiento Cripográfico
Transporte de Claves Asimétricas e Intercambio de Claves
• RSA (1024-4096 bits), PKCS#11 v1.5, OAEP PKCS#1 v2.0, Dif.e-Hellman (DH) (1024 bits)
• Eliptic Curve Diffie – Hellman (ECDH) (numerosas curvas soportadas)

Firma Digital y Verificación
• RSA (1024-4096 bits), DSA (1024 bits), PKCS#11 v1.5, ECDSA (numerosas curvas soportadas), KCDSA

Soporte ECC
• ECDSA, ECDH
• Numerosas curvas soportadas incluyendo NIST P-192 hasta P-521, Brainpool y definido por el usuario,

Algoritmos de Claves Simétricas
• TDES (longitudes doble y triple de clave), RC4, RC5, AES, SEED, ARIA

Algoritmos de Recopilación de Mensajes
• SHA-1, HAS-160, SHA224, SHA256, SHA384, SHA512

Códigos de Autenticación de Mensajes
• HMAC-SHA-1, HMAC-SHA-224, HMACSHA- 256, HMAC-SHA-384, HMACSHA- 512, SSL3-SHA-1-MAC

Soporte del Algoritmo de la Serie B
• AES-128, AES-256
• ECDSA P-256, P-384
• ECDH P-256, P-384
• SHA-256, SHA-384

Generación de Números Aleatorios
• AES-DRBG que cumple con NIST SP 800-90

Compatibilidad de Interfaz
• Dispositivo USB 2.0 de Alta Velocidad

Dimensiones Físicas
• 17 cm (L) x 21.5 cm (A) x 4.3 cm (H)