Recursos-chave do 4767 PCIe Cryptographic Coprocessor

Coprocessador seguro de alta qualidade

O IBM 4767 PCIe Crytographic Coprocessor é um coprocessador seguro de alta qualidade implementado em uma placa PCIe com um módulo integrado multi-chip. Ele é adequado para aplicações que exigem funções criptográficas de alta velocidade para criptografia de dados e assinatura digital, armazenamento seguro de chaves de assinatura ou aplicações criptográficas customizadas. Isso pode incluir aplicações financeiras, como geração de PIN e verificação em caixas automáticos e servidores de transação de ponto de venda.

Maior nível de certificação: FIPS PUB 140-2, Nível 4

Federal Information Processing Standards (FIPS) são emitidos pelo U.S. National Institute of Standards and Technology (NIST). Os IBM 4767 Cryptographic Processes são executados dentro de um gabinete no HSM, que é validado para o FIPS PUB 140-2, Requisitos de segurança para módulos de criptografia, Nível de segurança geral 4. O nível 4 é o nível mais alto de certificação possível para dispositivos criptográficos comerciais.

Melhorias de desempenho e de arquitetura

O hardware IBM 4767 fornece melhorias significativas de desempenho e de arquitetura sobre o predecessor, enquanto permite o crescimento futuro. Por exemplo, o 4767 pode exceder 15.000 operações de conversão de PIN por segundo. O módulo seguro contém processadores IBM PowerPC 476 redundantes, chave simétrica customizada e mecanismos de hashing para executar AES, DES, T-DES, SHA-1, SHA-384, SHA-512 e SHA2, MD5 e HMAC e mecanismos de algoritmo de criptografia de chave pública customizada para suportar o RSA e a Criptografia de Curva Elíptica.

Projeto de resposta a violações

O módulo de segurança é protegido por um projeto de resposta a violações que protege contra uma ampla variedade de ataques contra o sistema e destrói imediatamente todas as chaves e dados confidenciais quando é detectada adulteração. Outro suporte de hardware inclui um relógio seguro de tempo real, gerador de números aleatórios de hardware e um gerador de números primos.

Common Cryptographic Architecture, APIs Enterprise PKCS #11

A IBM fornece o programa de suporte Common Cryptographic Architecture (CCA) que pode ser carregado no coprocessador (HSM) para executar funções criptográficas comuns no setor financeiro e em aplicações de negócios da internet. Também é possível incluir funções customizadas no HSM usando um kit de ferramentas de programação disponível ou por meio de serviços de consultoria da IBM. A IBM também fornece a interface Enterprise PKCS #11 (EP11) para executar operações criptográficas de chave segura usando a API PKCS #11/openCryptoki padrão da indústria.

O certificado integrado permite verificação externa

Durante a etapa final de fabricação, o coprocessador gera um par de chaves públicas/privadas exclusivas que são armazenadas no dispositivo. O circuito de detecção de violação é ativado e permanece ativo durante toda a vida útil do coprocessador, protegendo essa chave privada, assim como outras chaves e dados sensíveis. A chave pública do coprocessador é certificada na fábrica por uma chave privada da IBM e o certificado é retido no coprocessador. Essas proteções garantem que o HSM é genuíno e não violado.

Disponível para selecionar os servidores IBM Z, x86 e Power

A tecnologia está disponível na seleção de modelos do IBM Z® (somente o z14, o z13s e o z13) como o recurso Crypto Express5S (CEX5S). No z/OS, o suporte é fornecido pelos serviços criptográficos de ICSF. No Linux® on Z, o suporte do CEX5S é fornecido pelo CCA e pelo Enterprise PKCS #11 (EP11). Em servidores x86, o PCIeCC2 está disponível como MTM 4767-002 com o suporte de liberações específicas do Windows®, do SLES e do RHEL. No IBM Power Systems™ POWER8®, ele é suportado pelos sistemas operacionais IBM AIX®, IBM i® e PowerLinux™.