Thales Luna PCIe HSM
Sprzętowy moduł bezpieczeństwa bardzo dużej elastyczności
Thales Luna PCIe HSM to sprzętowy moduł bezpieczeństwa bardzo dużej elastyczności. Rozbudowane funkcje i duża liczba dostępnych opcji powoduje, że jest to flagowe urządzenie w ofercie Thalesa w kategorii modułów HSM ogólnego zastosowania. Prezentowana odmiana jest urządzeniem w formie karty PCI Express, do zastosowań dedykowanych dla pojedynczego serwera. Dla zastosowań, gdzie wymagane jest obsłużenie wielu klientów odpowiednia jest opcja sieciowa czyli Thales Luna Network HSM, pozwalający obsłużyć, w odpowiedniej wersji wydajnościowej, bardzo dużą liczbę klientów. Dla najbardziej wymagających rozwiązań możliwe jest użycie wielu urządzeń sieciowych pracujących równolegle.
HSM został certyfikowany zgodnie z metodologią FIPS 140-2 do poziomu 3 oraz zgodnie z CommonCriteria do poziomu EAL4+. Moduł może być też wykorzystywany do usług zaufania zdefiniowanych w europejskim rozporządzeniu eIDAS (Electronic Identification and Trust Services Regulation).
Elementem charakterystycznym dla tej konstrukcji jest możliwość zastosowania partycji czyli izolowanych od siebie przestrzeni do przechowywania kluczy kryptograficznych, przeznaczonych do różnych zastosowań. Daje to dodatkową warstwę ochrony materiału kryptograficznego.
HSM jest wyposażony w oczywiste w tej klasie urządzeń mechanizmy jak uwierzytelnienie wieloskładnikowe z podziałem klucza czy rozbudowany zapis operacji. Możliwe jest także wygodne i zaawansowane monitorowanie pracy urządzeń jak też w pełni zdalne zarządzanie.
Wersja PCI modułu Luna jest typową kartą PCI Express typu low profile. Co prawda w porównaniu z wersją sieciową liczba dostępnych opcji jest mniejsza, niemniej jednak w dalszym ciągu konieczne jest podjęcie wielu istotnych decyzji projektowych. Dlatego też każdorazowe wdrożenie wymaga starannego przygotowania z pomocą doświadczonego partnera.
Dokumentacja
Wydajność
Obecna generacja urządzeń Luna, oznaczona jako Luna 7, dostępna jest w trzech wersjach, różniących się możliwościami. Szczegółowe róznice widoczne są w poniższej tabeli. Duża rozpiętość wydajności urządzeń pozwala dobrać stosowne rozwiązanie do każdego zastosowania.
Wydajność jest podawana w ilości wykonywanych transakcji/podpisów na sekundę (TPS):
Wydajność podpisów | RSA | ECC |
---|---|---|
model 700 Standard Performance Ilość pamięci: 2MB Maksymalna liczba partycji: 5 | 1000 - 2048 bit | 2000 - 256 bit |
model 750 Enterprise Performance Ilość pamięci: 16MB Maksymalna liczba partycji: 20 | 5000 - 2048 bit | 10000 - 256 bit |
model 790 Maximum Performance Ilość pamięci: 32MB Maksymalna liczba partycji: 100 | 10000 - 2048 bit | 20000 - 256 bit |
Uwaga: wydajność może zależeć od systemu operacyjnego, aplikacji i innych czynników
Obsługiwane algorytmy kryptograficzne | |
---|---|
Symetryczne | AES, AES-GCM, Triple DES, DES, ARIA, SEED, RCS, RC4, RC5, CAST |
Asymetryczne | RSA, DSA, Diffie-Hellman, Elliptic Curve, Cryptography (ECDSA, ECDH, Ed25519, ECIES) |
Funkcje HASH | SHA-1, SHA-2, SHA-3, SM2, SM3, SM4 |
Specyfikacja techniczna | |
---|---|
Specyfikacja fizyczna | 69,6mm x 167mm x 187mm Pobór energii: 18W max, 14W typowo |
Wspierane systemy operacyjne* | Windows Linux |
Interfejsy aplikacyjne | PKCS#11 Microsoft CAPI and CNG Java JCA/JCE OpenSSL |
Certyfikaty | FIPS 140-2 Level 3—Password and Multi-Factor (PED) eIDAS CC EAL4+ (AVA_VAN.5 and ALC_FLR.2) against the Protection Profile 419221-5 (w trakcie) UL, CSA, CE, FCC, CE, VCCI, C-TICK, KC MARK, RoHS2, WEEE, TAA |