Thales ProtectServer 3 HSM – это аппаратный модуль безопасности (Hardware Secure Module – HSM), разработанный для обеспечения бескомпромиссной защиты криптографических ключей, а также обеспечения шифрования, электронной цифровой подписи и аутентификации в сервисах, которые нуждаются в обеспечении безопасности.
ProtectServer 3 HSM выпускается в двух вариантах 1U-сервера (ProtectServer 3 External HSM и ProtectServer 3+ External HSM), предназначенных для установки в стандартную серверную стойку, и в виде платы расширения с интерфейсом PCI-Express x4 (ProtectServer 3 PCIe HSM). По функциональным возможностям все версии абсолютно аналогичны, но отличаются дополнительными возможностями.
Высочайший уровень безопасности
Thales ProtectServer 3 HSM включает в себя специализированный криптографический модуль, предназначенный для обработки криптографических данных в защищенной среде, который заключен в сверхнадежный стальной корпус с физической защитой, что гарантирует обеспечение высочайшего уровня логической и физической защиты информации при хранении и обработке особо ценной информации, такой как криптографические ключи, PIN-коды и другие данные. Безопасное хранение и обработка подразумевают, что криптографические ключи никогда не покидают пределы HSM, что обеспечивает уровень безопасности недоступный при использовании программных методов защиты
.Гибкое программирование
Thales ProtectServer 3 HSM предлагает уникальный уровень гибкости для разработчиков приложений, позволяющий разработать собственную прошивку и запустить ее в защищенной среде HSM. Прилагающийся инструментарий имеет широкий функционал и заметно упрощает разработку и развертывание так называемых функциональных приложений. А полнофункциональный программный эмулятор позволяет проводить отладку и тестирование функциональных приложений на рабочем компьютере, без необходимости их установки на HSM. Удобно, что при переносе прошивки из эмулятора в аппаратный модуль безопасности, никаких изменений в разработанное функциональное приложение вносить не придется.
Простое управление
Интуитивно понятный графический интерфейс пользователя упрощает администрирование HSM и управление криптографическими ключами. Для обеспечение быстрого реагирования, некоторые критические задачи управления, такие как добавление, удаление и модификации ключей, могут быть выполнены удаленно, что уменьшает время затрачиваемое на эти действия и снижает расходы на содержание персонала.
Высокая производительность и масштабирование
Thales ProtectServer 3 обеспечивает высокую скорость обработки криптографических команд. Электронная часть, изначально разработанная для использования в криптографическом оборудовании, включая новый специализированный криптографический процессор, память и физический генератор случайных чисел, позволяют освободить хост-систему от операций шифрования.
Внешний Thales ProtectServer 3 External HSM и внутренний Thales ProtectServer 3 PCIe HSM предлагаются в трех версиях, которые отличаются производительностью при работе с симметричным и асимметричным шифрованием, что позволяет клиентам выбрать именно ту модель, которая необходима для решения их задач. Максимальную производительность демонстрирует версия PL3500, обеспечивающая до 3500 подписей в секунду при использовании алгоритма RSA с длиной ключа 1024. Также доступны версии PL25 и PL220.
Thales ProtectServer 3+ External HSM отличается от ProtectServer 3 External HSM наличием двух блоков питания с возможностью "горячей" замены, что обеспечивает дополнительную отказоустойчивост , информационным дисплеем на передней панели и безальтернативной производительностью в 3500 RSA-подписей в секунду.
Благодаря наличию двух или четырех сетевых интерфейсов, ProtectServer 3 External HSM может использоваться как в одной, так и в разных подсетях, что позволяет задействовать его одновременно в разных бизнес-процессах, либо обеспечивать избыточность пропускной способности при использовании в пределах одной сети. Кроме того, модули Thales ProtectServer 3 HSM обеспечивают простоту масштабирования, отменную надежность с поддержкой резервирования и отсутствие ограничений связанных с пропускной способностью интерфейсов благодаря тому, что количество HSM использующихся в сети не ограничено.
Удобство использования
Использование смарт-карт обеспечивает высокий уровень безопасности и удобство администрирования HSM при резервном копировании, восстановлении и переносе криптографических ключей. Обновление программного обеспечения ProtectServer 3 HSM может производится силами персонала компании, без необходимости обращения и отправки HSM в сервисный центр, что позволяет снизить затраты на его содержание.
Примеры приложений
- Шифрование
- Аутентификация пользователей и данных
- Целостность сообщений
- Защищенное хранение и управление ключами для электронной коммерции
- Инфраструктура открытых ключей
- Управление документами
- Электронное представление и оплата счета
- Шифрование баз данных
- Финансовые EFT-транзакции
- Блокчейн
- и другие
Постоянная безопасность
- Ключи всегда хранятся в защищенном аппаратном модуле, соответствующем требованиям FIPS 140-2 Level 3
- Безопасный вывод из эксплуатации
- Журнал аудита
- Многофакторная аутентификация
Возможности и преимущества
Программируемость
- Функциональные модули - возможность кастомизации прошивок
Программный эмулятор
- Гибкие инструменты разработчика для отладки кастомных прошивок
- Тестовое приложение для прошивок без необходимость их загрузки в HSM
- Простая миграция на актуальный HSM без необходимости доработок программного обеспечения
Опции производительности
- Три градации производительности (PL3500, PL220, PL25)
Надежность
- Высокая доступность / Распределение рабочей нагрузки
- Два блока питания с поддержкой горячей замены (PSE 3+ HSM)
- Обновление на месте эксплуатации
Простое управление
- Интерфейсы управления GUI и CLI
- Удаленное управление HSM
Хост-интерфейсы
- 4 Гигабитных порта Ethernet с поддержкой Port Bonding (PSE 3+ HSM)
- 2 Гигабитных порта Ethernet с поддержкой Port Bonding (PSE 3 HSM)
Гибкое резервирование ключей
- Резервирование и восстановление ключевого материал с использованием смарт-карт
Поддерживаемые операционные системы
- Windows, Linux
Интерфейсы приложений
- PKCS#11, JCA/JCE, CAPI/CNG, OpenSSL, JCProv
Алгоритмы шифрования
- Asymmetric: RSA, DSA, Diffie-Hellman, Elliptic Curve Cryptography (ECDSA, ECDH, Ed25519) with named, user defined and Brainpool curves, и другие
- Симметричные: AES, AES-GCM, AES-CCM, Triple DES, DES, CAST 128, RC2, RC4, SEED, ARIA и другие
- Хэширование: SHA-1, SHA-2, SHA-3, MD5, MD2, RIPEMD 128, RIPEMD 160, DES MDC2 PAD1 и другие
- Коды аутентификации приложений: SHA-1, SHA-2, SHA-3, MD2, RIPEMD128, RIPEMD160, DES MDC-2 PAD1, SSL3 MD5 MAC, AES MAC, CAST-128 MAC, DES MAC, DES3 MAC, DES3 Retail CFB MAC, DES30x9.19 MAC, IDEA MAC, RC-2 MAC, SEED MAC, ARIA MAC, VISA CVV
- Шифрование электронных кошельков: BIP32
- Криптографические механизмы 5G для аутентификации подписчика: MILENAGE и TUAK
Физические характеристики
Thales Protect Server 3 HSM выпускаются в трех версиях: в виде карты расширения Thales ProtectServer 3 PCIe HSM (модель PROTECTSERVER 3 CARD) и серверов 1U - Thales ProtectServer 3 External HSM (модель PROTECTSERVER 3 EXTERNAL) и Thales ProtectServer 3+ HSM (модель PROTECTSERVER 3 PLUS)
Характеристики Thales ProtectServer 3 PCIe HSM (модель PROTECTSERVER 3 CARD)
- Интерфейс: PCI-Express CEM 3.0, PCI, PCI Express Base 2.0
- Габариты: Низкопрофильная карта PCI-Express (69,6мм x 167мм x 187мм)
- Энергопотребление: Максимальное 18 Ватт, Типичное 14 ватт
- Рабочая температура: от 0° до +50°C
Характеристики Thales ProtectServer 3 External HSM (модель PROTECTSERVER 3 EXTERNAL)
- Габариты: стандартный U1 для монтажа в 19’’ серверную стойку (размеры 437 мм x 270 мм x 44 мм, вес 3.1 кг)
- Энергопотребление: Максимальное 90 Ватт, Типичное 58 ватт
- Питание: 100-240 В, 50-60 Гц
- Рабочая температура: от 0° to +35°C
- Влажность без конденсации при 38С°: от 5 до 85%
- Интерфейсы: 2 гигабитных Ethernet с поддержкой Port Bonding
Характеристики Thales ProtectServer 3+ External HSM (модель PROTECTSERVER 3 PLUS)
- Габариты: стандартный U1 для монтажа в 19’’ серверную стойку (размеры 482,6 мм x 533,4 мм x 43,815 мм, вес 12.7 кг)
- Резервирование: два блока питания с поддержкой "горячей" замены
- Питание: 100-240 В, 50-60 Гц
- Рабочая температура: от 0° to +35°C
- Влажность без конденсации при 38С°: от 5 до 95%
- Интерфейсы: 4 гигабитных Ethernet с поддержкой Port Bonding
Соответствие стандартам безопасности
- FIPS 140-2 Level 3
Производительность
| ProtectServer 3 HSM | Модель | Производительность |
|---|---|---|
| ProtectServer 3+ External HSM | PL3500 | 3500 RSA |
| ProtectServer 3 External HSM | PL3500 | 3500 RSA 1024 tps |
| PL220 | 220 RSA 1024 tps | |
| PL25 | 25 RSA 1024 tps | |
| ProtectServer 3 PCIe HSM | PL3500 | 3500 RSA 1024 tps |
| PL220 | 220 RSA 1024 tps | |
| PL25 | 25 RSA 1024 tps |