КриптоПро HSM

КриптоПро HSM 2.0

КриптоПро HSM 2.0 – высокопроизводительный программно-аппаратный криптографический модуль, снабженный датчиками вскрытия, защитой ключевой информации с использованием разделенных по схеме «3 из 5» ключей, доверенной операционной системой, безопасными механизмами аудита и контроля подключений, обеспечивающий защиту криптографических ключей класса KB2 (Приказ ФСБ РФ от 27 декабря 2011 г. № 796 "Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра" https://base.garant.ru/70139150/), который может применяться в том числе в качестве платёжного HSM для криптографической защиты информации, обрабатываемой в платёжных системах.

Пользовательские ключи хранятся в HSM в зашифрованном виде с использованием специальных мастер-ключей защиты. Эти мастер-ключи, в свою очередь, зашифрованы с использованием ключа активации HSM, который защищен с использованием схемы разделения секрета «3 из 5» с хранением компонент на смарт-картах администраторов безопасности.

Ключи пользователей в долговременной памяти всегда надежно защищены, их использование возможно только по аутентифицированному запросу и при условии активации HSM администраторами безопасности. Работа с ключами производится при выполнении полного комплекса специальных мер противодействия атакам, соответствующим высокому классу защиты KB2.

КриптоПро HSM предоставляет интерфейсы CryptoAPI, PKCS#11 и JCA (Java), доступные для использования после успешной аутентификации пользователя с помощью ключей доступа. С помощью этих интерфейсов обеспечивается возможность бесшовного перехода на работу с долговременными ключами в HSM для повышения защиты криптографических подсистем удостоверяющих центров, OCSP-серверов, служб штампов времени, серверов облачной электронной подписи и прочих доверенных подсистем и любых других приложений, использующих КриптоПро CSP/JCP

КриптоПро HSM обеспечивает выполнение следующих операций:

  • Формирование и проверка электронной подписи по ГОСТ Р 34.10-2001 и ГОСТ Р 34.10-2012, ECDSA и RSA
  • Вычисление значений хэш-функции по ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012, SHA-1, SHA-2
  • Шифрование и расшифрование данных по ГОСТ Р 34.12-2015 (Кузнечик и Магма), ГОСТ 28147-89, AES, DES, 3DES, RC2, RC4
  • Имитозащита данных
  • Операции на эллиптических кривых, включая работу на сверхскоростных скрученных эллиптических кривых Эдвардса в соответствии с Рекомендациями по стандартизации ТК 26 Р 50.1.114–2016

В КриптоПро HSM 2.0 наряду с российскими реализованы зарубежные криптографические алгоритмы. Поддерживаются отказоустойчивые конфигурации и горизонтальное масштабирование при множественной подписи.

Производительность

Формирование электронной подписи 50 000 операций в секунду
Хранение секретных ключей 500 000 ключей (по умолчанию)
20 000 000 ключей (с расширением)

КриптоПро HSM 2.0 обеспечивает высокую производительность выполнения криптографических операций. При помощи пакетной обработки может быть достигнута производительность до 50 000 формирований электронной подписи в секунду.

КриптоПро HSM 2.0 позволяет безопасно хранить до 500 000 секретных ключей с возможностью расширения до 20 000 000 и более.

Безопасное хранилище ключей электронной подписи

КриптоПро HSM в первую очередь предназначен для безопасного хранения и использования секретных ключей электронной подписи удостоверяющих центров и пользователей. Любая система, которая использует Microsoft Cryptographic API/Java Cryptography Architecture для выполнения криптографических операций может воспользоваться преимуществами размещения секретных ключей в HSM, например:

  • Удостоверяющий центр (КриптоПро УЦ)
  • Создание ЭП в автоматизированном режиме
  • Служба онлайн проверки статусов сертификатов (КриптоПро OCSP Server)
  • Служба штампов времени (КриптоПро TSP Server)
  • Система облачной электронной подписи (КриптоПро DSS)

Благодаря классу защиты KB2 КриптоПро HSM позволяет банкам использовать HSM для выполнения требований по взаимодействию с Единой Биометрической Системой (ЕБС) – как для электронной подписи собираемых биометрических персональных данных, так и для взаимодействия с ЕБС при аутентификации и авторизации пользователей.

Подпись кода

КриптоПро HSM может быть использован для подписи кода распространенных платформ и для безопасного хранения секретных ключей подписи кода. Ведущие поставщики EV-сертификатов (DigiCert) позволяют использовать КриптоПро HSM в качестве хранилища секретных ключей.

Поддерживаемые технологии подписи:

  • Microsoft Authenticode
  • Java Code Signing

Поддерживаемые API:

  • Microsoft CryptoAPI
  • Microsoft CNG
  • PKCS#11
  • Java Cryptography Architecture (JCA)

SSL/TLS сервер

КриптоПро HSM может использоваться как защищенное хранилище секретных ключей SSL/TLS сервера для секретных ключей ГОСТ и RSA/ECDSA:

  • КриптоПро NGate
  • Microsft IIS
  • Apache HTTP Server
  • nginx
  • Apache Tomcat

Комплектация

В состав поставки входит клиентское ПО, которое поставляется на CD-ROM совместно с ПАКМ «КриптоПро HSM».

Технические характеристики

Корпус: Серверный промышленный корпус для монтажа в стойку 19” высота 2U, глубиной 485 мм, с двумя вентиляторами охлаждения, смонтированными внутри
Напряжение: 220 В
Число электрич. входов: 2
Блок питания: 500 Вт двойной с горячей заменой
Разъемы электропитания: C14 (2 шт.)
Энергопотребление: До 300 Вт
Процессоры: INTEL XEON E5-2620V3 2.4 GHz (2 шт.)
Сетевая карта: Allied Telesis, Gigabit Ethernet Fiber Adapter, 1000-Base-SX двойной (1 шт.)

Габариты и вес

Высота: 9 см (2U)
Ширина: 43 см (19”)
Глубина: 52 см
Вес нетто: 12,5 кг
Вес с упаковкой: 17 кг
Размер упаковки: 64х57х21 см

Комплектация ПАКМ Крипто-Про HSM версия 2.0, вариант исполнения 1

Системный блок ПАКМ (с крепежом в стойку): 1 шт.
Ключ электронного замка (iButton): 1 шт.
Ключевой носитель (смарт-карта Магистра): 16 шт.
Кабель электропитания: 2 шт.
Считыватель смарт-карт (внешний): 1 шт.
Сетевой адаптер с оптическим интерфейсом (внешний): 1 шт.
Соединительный оптический патч-корд: 1 шт.
Диск CD-ROM с клиентским ПО и документацией: 2 шт.
Формуляр: 2 шт.
Копия сертификата соответствия: 1 комплект

Документация

КриптоПро HSM. Формуляр

КриптоПро HSM. Руководство администратора безопасности

КриптоПро HSM. Руководство пользователя

КриптоПро HSM. Правила пользования

КриптоПро HSM. Инструкция по использованию

КриптоПро HSM. Использование интерфейсных модулей

Дополнительные материалы

КриптоПро HSM. Листовка А4 с описанием продукта (pdf, 2 МБ)

Обучающий курс "Порядок развертывания PKI с применением ПАКМ "КриптоПро HSM" и настройки платежного модуля КриптоПро PCI HSM"