Это аппаратное устройство, разработанное для обеспечения высокого уровня защиты секретных ключей. Устройство подключается к серверу и обладает мощными механизмами защиты от физических и логических атак, таких как защита от вскрытия, доверенная ОС, надежные механизмы проверки. Устройство обеспечивает сохранность криптоключей класса KB2, соответствуя требованиям, установленным Приказом ФСБ РФ от 27 декабря. 2011 года № 796 "Об утверждении Требований к средствам ЭП и Требований к средствам УЦ". Производительность и надежность КриптоПро HSM дает возможность использовать его не только в сфере информационной безопасности, а также в банковских и платежных системах. Он гарантирует сохранность и обработку криптографических ключей, что является основой безопасных транзакций.
Хранение ключей ЭП
Секретные ключи размещаются внутри аппаратного устройства. Если злоумышленник получит к нему доступ, он не сможет получить доступ к ключам, так как они находятся в защищенной области. Более того, устройство обладает механизмами аутентификации и контроля доступа, которые позволяют ограничить доступ к ключам только уполномоченным авторизованным пользователям.
Пользовательские ключи шифруются с помощью специально выпущенных мастер-ключей защиты и в таком виде записываются в HSM. Одновременно мастер-ключи шифруются ключом, запускающим HSM. Безопасность этого ключа обеспечивает схема разделения секрета «3 из 5». То есть, для активации HSM необходимо знание нескольких составляющих ключа, которые хранятся на флэш-носителях администраторов защиты информации.
Безопасность секретных ключей не ограничивается только их хранением, шифрованием и активацией HSM. Доступ к ним возможен при запуске HSM идентифицированным администратором защиты информации. Средства безопасности с таким уровнем защиты соответствуют классу KB2 и гарантируют надежность и конфиденциальность пользовательских ключей.
Назначение
Решение позволяет управлять доступом к ключам, устанавливать права доступа различным пользователям и гарантировать их аутентификацию. КриптоПро HSM может быть использован:
- Как хранилище ключей электронной подписи.
Для выполнения криптографических операций комплекс использует технологии Microsoft Cryptographic API и Java Cryptography Architecture. Любое программное обеспечение, использующее указанные стандарты, может хранить ключи HSM. Это обеспечивает совместимость с большим количеством систем. - Для связи с Единой Биометрической Системой.
Такую возможность дает соответствие классу защиты KB2. Банковские учреждения могут пользоваться HSM для хранения персональных данных клиентов и для доступа в Единую Биометрическую Систему. - Для подписи кода программного обеспечения.
Можно хранить подписи кода программных продуктов, которые поддерживают технологии Microsoft Authenticode и Java Code Signing. - Как хранилище секретных ключей SSL/TLS сервера.
Apache Tomcat, nginx, Apache HTTP Server, Microsft IIS и КриптоПро NGate - все эти платформы могут использовать ПАК для ключей ГОСТ и RSA/ECDSA.
Производительность
Система обеспечивает безопасное хранение огромного количества секретных ключей - до 500 тыс., и может масштабироваться до возможности хранения 20 млн. и более. Пакетная обработка операций позволяет достичь скорости порядка 50 тыс. формирований электронной подписи в секунду. Это значительно ускоряет процессы, связанные с шифрованием и безопасностью данных. Все это делает КриптоПро HSM правильным выбором для организаций с высокими требованиями к надежности и производительности.