Características principales del Coprocesador Criptográfico 4767 PCIe

Coprocesador seguro de gama alta

El Coprocesador Criptográfico 4767 PCIe de IBM es un coprocesador seguro de gama alta implementado en una tarjeta PCIe con un módulo integrado de múltiples chips. Es adecuado para aplicaciones que requieren funciones criptográficas de alta velocidad para el cifrado de datos y la firma digital, almacenamiento seguro de claves de firma o aplicaciones criptográficas personalizadas. Estas pueden incluir aplicaciones financieras como la generación y verificación de PIN en servidores de cajeros automáticos y puntos de venta y de transacciones.

El más alto nivel de certificación: FIPS PUB 140-2, Nivel 4

Los Estándares Federales de Procesamiento de la Información (FIPS) son emitidos por el Instituto Nacional de Estándares y Tecnología de Estados Unidos (NIST). Los procesos criptográficos del 4767 de IBM se realizan dentro de un entorno en el MSH que se valida según el FIPS PUB 140-2, Requisitos de seguridad para Módulos Criptográficos, Nivel de Seguridad General 4. El Nivel 4 es el más alto nivel de certificación posible para dispositivos criptográficos comerciales.

Rendimiento y mejoras arquitectónicas.

El hardware del 4767 de IBM proporciona mejoras significativas en el rendimiento y la arquitectura con respecto a su predecesor, a la vez que habilita el crecimiento futuro. Por ejemplo, el 4767 puede sobrepasar las 15.000 operaciones de traducción de PIN por segundo. El módulo seguro contiene procesadores IBM PowerPC 476 redundantes, clave simétrica personalizada y motores hash para realizar AES, DES, T-DES, SHA-1, SHA-384, SHA-512 y SHA2, MD5 y HMAC, y motores algorítmicos de criptografía de clave pública personalizada para soportar RSA y Criptografía de Curva Elíptica.

Diseño que responde a la manipulación

El módulo seguro está protegido por un diseño que responde a la manipulación indebida que protege contra una amplia variedad de ataques contra el sistema e inmediatamente destruye todas las claves y datos confidenciales si se detecta una manipulación indebida. Otro soporte de hardware incluye un reloj seguro en tiempo real, un generador de números aleatorios de hardware y un generador de números primos.

Arquitectura Criptográfica Común, APIs PKCS #11 de empresa

IBM proporciona el Programa de Soporte de Arquitectura Criptográfica Común (ACC) que puede cargar en el coprocesador (MSH) para realizar funciones criptográficas comunes en la industria financiera y en las aplicaciones comerciales de Internet. También puede agregar funciones personalizadas al MSH utilizando un kit de herramientas de programación disponible o a través de los servicios de consultoría de IBM. IBM también proporciona la interfaz Enterprise PKCS #11 (EP11) para ejecutar operaciones criptográficas de claves seguras utilizando la API PKCS #11/openCryptoki estándar de la industria.

El certificado incorporado permite la verificación externa

Durante el paso de fabricación final, el coprocesador genera un par de claves públicas/privadas únicas que se almacenan en el dispositivo. El circuito de detección de manipulación está activado y permanece activo durante toda la vida útil del coprocesador, protegiendo esta clave privada, así como otras claves y datos confidenciales. La clave pública del coprocesador está certificada en la fábrica por una clave privada de IBM y el certificado se conserva en el coprocesador. Estas protecciones garantizan que el HSM sea genuino y sin manipulaciones.

Disponible para ciertos servidores IBM Z, x86 y Power

Esta tecnología está disponible en determinados modelos de IBM Z® (z14, z13s y z13 solamente) como función Crypto Express5S (CEX5S). En z/OS, el soporte es proporcionado por los servicios criptográficos de ICSF. En Linux® para Z, el soporte CEX5S es proporcionado por CCA y por Enterprise PKCS #11 (EP11). En los servidores x86, el PCIeCC2 está disponible como MTM 4767-002 con soporte de versiones específicas de Windows®, SLES y RHEL. En IBM Power Systems™ POWER8®, es compatible con sistemas operativos IBM AIX®, IBM i® y PowerLinux™.