• ماژول امنتیت سخت افزاری کیان
      • KeyOn HSM
    • دستگاه ماژول امنیتی سخت افزاری کیان یک HSM کاملا بومی است که با نمونه های خارجی آن کاملا تطابق دارد.



    دستگاه ماژول امنیتی سخت افزاری کیان (HSM) یا Hardware Security Module، سخت افزاری است که مسئولیت تولید، نگهداری، سرویس دهی و ارائه خدمات مرتبط با کلیدهای رمزنگاری را در سامانه های مختلف فناوری اطلاعات برعهده دارد. این دستگاه که عموما قلب امنیتی و نقطه اعتماد سیستم ها محسوب می شود، دارای فناوری های خاص رمزنگاری است که از یک طرف همانند گاوصندوق کلید دیجیتال عمل نموده و از طرف دیگر شتاب دهنده عملیات رمزنگاری می باشد.


    این دستگاه در بسیاری از پروژه های ملی کشور مورد استفاده قرار گرفته و امنیت یا اعتماد سیستم براساس آن بنا می شود. پروژه های بزرگی چون کارت سوخت، گذرنامه الکترونیکی، کارت هوشمند ملی و امثالهم نیازمند استفاده از HSM برای نگهداری کلیدهای اصلی و ریشه هستند. پروژه های بانکی مختلفی نیز مبتنی بر این دستگاه راه اندازی و اجرا می شوند، از جمله پروژه های مرتبط با کارت هوشمند، زیرساخت کلید عمومی (PKI)، رمزنگاری، امنیت شبکه و بسیاری دیگر.

    این دستگاه قادر است تا خدمات مدیریت کلید را مبتنی بر استاندارد PKCS#11 برروی بستر شبکه فراهم نماید و استانداردهای امنیتی لازم مانند FIPS 140-2 را با ارائه PED (Pin Entry Device) رعایت کرده است. این دستگاه آماده است تا سرویس های مورد نیاز سامانه های اطلاعاتی و امنیتی مانند مرکز صدور گواهی (CA) و یا رمزنگاری و تولید PIN برای کارت های بانکی را انجام داده و به صورت استاندارد به ابزارهای مختلفی که هم اکنون وجود دارند، متصل شود.


    بدلیل رعایت الزامات توسعه و امنیتی در معماری و پیاده سازی آن (FIPS) و همچنین پیاده سازی استاندارد متعارف PKCS#11 در تعامل با چنین ادواتی, این تضمین وجود دارد که بتوان دستگاه را با معادل خارجی آن از شرکت های مثل SafeNet, Gemalto, Thales و دیگر برندها جابجا نمود. این جابجایی تنها به تغییر رابط برنامه نویسی و نصب درایور سمت سرویس گیرنده محدود خواهد شد. درحقیقت برنامه کاربردی بدون نیاز به هرگونه اصلاح و یا کامپایل جدید می تواند با تجهیز جدید ادامه کار داشته باشد.


    این تجهیز در دو مدل از نظر سطح کارایی در کار با الگوریتم های مختلف رمزنگاری تولید شده و نسبت به نیاز مصرف کننده قابل سفارش می باشد:

     

    همچنین سطح تصدیق هویت آن نسبت به استفاده از PED نیز برای هر دو مدل فراهم شده است.


    بله, خوشبختانه این تجهیز از ساختار Clustering/Load balancing بصورت کامل پشتیبانی می نماید و می توان حسب نیاز مشتری کارایی افزایش داد. همچنین در صورت استفاده از دو یا چند تجهیز در کنار یکدیگر ضمن افزایش کارایی قابلیت Fault Tolerance نیز به مجموعه افزوده خواهد شد.


    استاندارد فدرال پردازش اطلاعات ياFIPS استانداردي است که به تشريح ملزومات محصولات فناوري اطلاعات طبقه بندي نشده مي پردازد. اين استاندارد توسط NIST تهيه شده و توسط CSBو ANSI پذيرفته شده است.چهار سطح امنيتي براي اين استاندارد لحاظ شده : سطح 1 ( ضعيف ترين سطح ) تا سطح 4 ( قويترين سطح ) . اين سطوح براي تحت پوشش قرار دادن تمام محصولات امنيتي در نظر گرفته شده است و شامل موارد زير مي شود :طرح اصلي و مستندات، واسط ماژول، سرويس ها و خدمات، ايمني فيزيکي، ايمني نرم افزاري، مديريت کليد، الگوريتم هاي رمز نگاري، سازگاري الکترومغناطيسي/ تداخل الکترومغناطيسي (EMI/EMC) و خود آزمايي تماما در این استاندارد تعریف شد ه است.


    این استاندارد جهت مدیریت کلیدهای رمزنگاری و کاربری آنها در ماژول امن سخت افزاری تعریف شده است. این استاندارد توسط RSA lab منتشر شده و با نام Cryptoki نیز شناخته می شود. این استاندارد باعث شده تا تمامی تجهیزات رمزنگاری از سطح توکن تا ماژول امن سخت افزاری بتواند با انواع برنامه های کاربردی کار نموده و بدون تغییر در کد برنامه, بتوانند جایگزین هم شوند. البته بدیهست که استفاده از هریک از ادوات مذکور نسب به جایگاه و معماری اعتماد و امنیت نرم افزار جایگاه خود را دارند.

    Asymmetric:

    • RSA (1024 to 4096 bit)

    Padding: PKCS#1 v1.5,

    PKCS#1 v2.2 (OAEP, PSS)

    • Diffie-Hellman

    Symmetric:

    • AES (128 to 256)
    • DES, 3DES (112, 168)

    Modes:

    ECB, CBC, OFB,CTR,GCM

    Hash/Message Digest:

    • MD5, SHA1, SHA2 (224, 256, 384, 512)
    • HMAC, CMAC, MAC (ANSI X9.9, X9.19)

    Random Number Generation:

    • Hardware-based True Noise Source
    • NIST SP 800-90A compliant CTR-DRBG

    Up to 4500 RSA-1024 signings/sec
    Up to 800 RSA-2048 signings/sec
    Up to 8000 AES-ECB Enc/Dec
    Dual LAN
    Multi-threaded APIs
    Multi-processed APIs

    PKCS#11
    Java JCA/JCE
    OpenSSL Engine
    Microsoft .Net

    FIPS 140-2 Level 2, Level 3 compliances
    Physical tamper protection
    True Random Number Generation
    Backup of key material (M of N)
    Cloning (HSM to HSM)

    Ethernet 10/100/1000 mbps
    USB (Management)
    LED (Power, Tamper)
    LCD
    PED (PIN Entry Device)

    Standard 2U rack mount chassis
    Dimensions:
    53 mm x 42mm x 8.5 mm
    Dual swappable AC power supplies
    Weight: 12.7kg
    Input Voltage: 100-240V, 50-60Hz
    Power Consumption: 180W maximum
    Temperature: operating 0°C – 35°C, storage -20°C – 60°C
    Relative Humidity: 5% to 95% (38°C) non-condensing

    Multiple Administrators per HSM Device
    Two distinct Users per HSM Partition:

    • Security Officer
    • Normal User