КриптоПро HSM - Описание

ПАКМ «КриптоПро HSM» представляет собой сетевое устройство, подключаемое либо непосредственно к серверу (хосту), использующему криптографические сервисы ПАКМ «КриптоПро HSM», либо в сегмент локальной сети через стандартные сетевые устройства (коммутаторы, маршрутизаторы, концентраторы) для обслуживания групп серверов и компьютеров пользователей сети.

ПАКМ «КриптоПро HSM» может быть использован в качестве СКЗИ в различных системах/подсистемах криптографической защиты информации (ПКЗИ), поддерживающих криптографические интерфейсы «КриптоПро CSP» (Microsoft CryptoAPI 2.0).

Схема подключения ПАКМ "КриптоПро HSM"

Соответствие требованиям безопасности

ПАКМ «КриптоПро HSM» – программно-аппаратный криптографический модуль, разработан в соответствии с «Требованиями к шифровальным (криптографическим) средствам, предназначенным для защиты информации не содержащей сведений, составляющих государственную тайну», и удовлетворяет классу защиты КВ2 данных требований (при выполнении "Правил пользования ПАКМ «КриптоПро HSM». ЖТЯИ.00046-01 90 02" в части условий применения и «Руководства Администратора безопасности» ЖТЯИ.00046-01 90 03).

Централизованное хранение ключей

ПАКМ «КриптоПро HSM» позволяет организовать централизованное хранение и управление как ключами серверов, так и ключами всех пользователей внутри корпорации.

ПАКМ «КриптоПро HSM» предоставляет удобный интерфейс взаимодействия с серверами и рабочими станциями пользователей, а также возможность идентификации и аутентификации пользователей при локальном и удаленном доступе к ПАКМ «КриптоПро HSM».

Все секретные ключи пользователей хранятся в ПАКМ в зашифрованном на специальных ключах шифрования виде. Ключи шифрования в свою очередь шифруются на разделенном по схеме «3 из 5-ти» ключе активации ПАКМ, защитные части которого хранятся на смарт-картах и распределяются между работниками службы безопасности компании.

Расшифрование секретного ключа пользователя осуществляется в оперативной памяти ПАКМ и лишь в момент обращения к нему владельца.

Доступ пользователей к ПАКМ возможен только после активации ПАКМ (ввода защитных частей ключа активации) и при успешной процедуре аутентификации, использующей стандартный протокол TLS с двухсторонней аутентификацией. TLS ключи доступа формируются пользователям либо на смарт-картах (ОСКАР, МАГИСТРА), либо на USB ключах типа eToken, ruToken. Существует возможность хранения данного ключа в реестре Windows на рабочем компьютере пользователя.

Все ключи пользователей, хранящиеся в ПАКМ «КриптоПро HSM», кроме всего защищаются индивидуальным пин-кодом, задаваемым владельцем ключа в момент его генерации, либо в процедуре смены пин-кода. Пин-код доступа к ключу задается на рабочем месте пользователя. Для ключей системных сервисов (например, ключа Уполномоченного лица Центра сертификации) имеется возможность защищенного ввода пин-кода с LCD панели ПАКМ.

Простота и удобство администрирования

Управление ПАКМ «КриптоПро HSM» включает:

  • Управление учетными записями пользователей;
  • Управление ключами ПАКМ (ключ подписи ПАКМ, ключ активации ПАКМ, ключи шифрования ПАКМ, ключи TLS сервера ПАКМ);
  • Управление журналами событий и аудита ПАКМ;
  • Управление встроенным межсетевым экраном ПАКМ;
  • Управление сетевыми настройками ПАКМ;
  • Прочие настройки.

Все операции по управлению ПАКМ «КриптоПро HSM» могут быть выполнены как с LCD панели ПАКМ «КриптоПро HSM», так и с использованием WEB доступа.

Удаленное рабочее место администратора ПАКМ «КриптоПро HSM» представляет собой отдельно стоящий компьютер с установленными ОС Windows, КриптоПро CSP 3.6 (лицензия входит в комплект) и Internet Explorer версии от 6.0. Данный компьютер подключается к ПАКМ «КриптоПро HSM» по отдельному сетевому интерфейсу с ограничением доступа при помощи правил встроенного межсетевого экрана ПАКМ, двухсторонней TLS аутентификации привилегированного пользователя и ПАКМ «КриптоПро HSM».

Ролевое разграничение доступа

В соответствии с требованиями класса защиты KB2 в ПАКМ «КриптоПро HSM» реализована ролевая модель доступа к функциям ПАКМ. При этом привилегированные пользователи ПАКМ (члены группы администраторов, имеющие доступ в контролируемую зону) могут являться потенциальными нарушителями, но возможность сговора между ними исключается.

Данное требование реализовано с использованием ролевой модели доступа к различным функциям ПАКМ. Это означает, что каждому отдельному члену административной группы дается доступ только к строго определенному набору административных функций, не позволяющих провести успешную атаку на получение контроля над ключами пользователей, хранящихся в ПАКМ «КриптоПро HSM».

Программное обеспечение ПАКМ «КриптоПро HSM» различает следующие роли:

  • Обычный пользователь СКЗИ ПАКМ «КриптоПро HSM»;
  • Администратор сервера, сервисы которого используют СКЗИ ПАКМ «КриптоПро HSM»;
  • Администратор ПАКМ «КриптоПро HSM»;
  • Аудитор ПАКМ «КриптоПро HSM»;
  • Администратор резервного копирования ПАКМ «КриптоПро HSM»;
  • Привилегированный пользователь ПАКМ «КриптоПро HSM» - хранитель одной части разделенного секрета ключа активации ПАКМ;
  • Суперпользователь ПАКМ «КриптоПро HSM» (группа Привилегированных пользователей ПАКМ – владелец ключа активации ПАКМ).

Признак того, что пользователю назначена та или иная роль хранится в сертификате ключа доступа к функциям ПАКМ, как специальное расширение (Extended Key Usage) сертификата. Доступ к ПАКМ (локальный или удаленный) осуществляется только с использованием данного сертификата ключа доступа и самого ключа (секретной его части).

Ключи и сертификат доступа к ПАКМ «КриптоПро HSM» формируются ПАКМ и выдаются обычным пользователям администратором ПАКМ «КриптоПро HSM».

Надежность криптографических сервисов

ПАКМ «КриптоПро HSM» предоставляет:

  • Проверку целостности критичного к безопасному функционированию ПО при инициализации ПАКМ «КриптоПро HSM», как с помощью устройства электронного замка «Соболь», так и собственными механизмами встроенного СКЗИ; 
  • Периодическое внутреннее тестирование выполнения криптографических функций ПАКМ «КриптоПро HSM»;
  • Периодическое внутреннее тестирование памяти ПАКМ «КриптоПро HSM»;
  • Генерацию случайных чисел с использованием аппаратного ДСЧ;
  • Генерацию закрытого ключа подписи с использованием исходного материала, предоставленного уполномоченной организацией;
  • Возможность внутреннего (а при выполнении специальных требований и процедур и внешнего) резервирования ключевой информации.

Простота встраивания

ПАКМ «КриптоПро HSM» предоставляет интерфейс к прикладным криптографическим функциям в соответствии со спецификацией Microsoft Cryptographic Service Provider.

ПАКМ "КриптоПро HSM" обеспечивает:

  • возможность использования функций ПАКМ «КриптоПро HSM» через интерфейсы Microsoft CryptoAPI;
  • возможность встречной работы ПАКМ «КриптоПро HSM» с СКЗИ «КриптоПро CSP».

Купить

Форма заказа

Вход

Подписка на обновления