Principales caractéristiques du coprocesseur cryptographique PCIe 4767

Coprocesseur sécurisé haut de gamme

L'IBM 4767 est un coprocesseur cryptographique sécurisé haut de gamme monté sur une carte PCIe avec un module multipuce embarqué. Il convient pour les applications exigeant des fonctions cryptographiques haute vitesse pour le chiffrement de données et la signature numérique, le stockage sécurisé de clés de signature, ou des applications cryptographiques sur mesure. On parle ici, entre autres, d'applications financières comme la génération et la vérification de NIP dans les serveurs de guichet automatique bancaire et de transactions de point de vente.

Niveau de certification le plus élevé : FIPS PUB 140-2, Level 4

Les normes FIPS (Federal Information Processing Standards) sont émises par le NIST (U.S. National Institute of Standards and Technology). Les processus cryptographiques de l'IBM 4767 s'exécutent dans un boîtier du module de sécurité matérielle validé conforme à FIPS PUB 140-2, Security Requirements for Cryptographic Modules, Overall Security Level 4. Le niveau 4 (Level 4) est la certification la plus élevée pour les dispositifs cryptographiques commerciaux.

Améliorations aux plans des performances et de l'architecture

Le matériel IBM 4767 présente de substantielles améliorations aux plans des performances et de l'architecture en comparaison avec son prédécesseur tout en supportant la croissance future. Par exemple, le 4767 peut exécuter plus de 15 000 opérations de traduction de NIP par seconde. Le module sécurisé contient des processeurs IBM PowerPC 476 redondants; des clés symétriques personnalisées; et des moteurs de hachage pour le chiffrement AES, DES, T-DES, SHA-1, SHA-384, SHA-512, et SHA2, MD5 et HMAC; et des moteurs personnalisés d'algorithme cryptographique de clé publique pour RSA et Elliptic Curve Cryptography.

Conception résistante aux intrusions

Le module sécurisé répond à une conception résistante aux intrusions qui protège contre une grande variété d'attaques contre le système et détruit immédiatement toutes les clés et les données sensibles si une altération est détectée. Parmi d'autres composants matériels, citons une horloge en temps réel sécurisée, un générateur matériel de nombres aléatoires, et un générateur de nombres premiers.

Interfaces API Common Cryptographic Architecture, Enterprise PKCS #11

IBM offre le logiciel Common Cryptographic Architecture (CCA) Support Program, que vous pouvez charger dans le coprocesseur (HSM) pour exécuter des fonctions cryptographiques communes dans le secteur des finances et les applications d'affaires par Internet. Vous pouvez aussi ajouter des fonctions personnalisées au module HSM en utilisant une trousse de programmation offerte ou par l'entremise de services-conseils IBM. IBM procure aussi l'interface Enterprise PKCS #11 (EP11) pour exécuter des opérations de clés cryptographiques sécurisées à l'aide de l'API standard PKCS #11/openCryptoki.

Certificat intégré pour la vérification externe

Au cours de l'étape de fabrication finale, le coprocesseur génère une paire unique de clés publiques/privées stockée dans le dispositif. Le circuit de détection de sabotage est activé et demeure actif au cours de toute la vie utile du coprocesseur, ce qui protège cette clée privée ainsi que d'autres clés et données sensibles. La clé publique du coprocesseur est certifiée à l'usine par une clé privée IBM et le certificat est gardé dans le coprocesseur. Ces mesures de précaution garantissent que le module HSM est authentique et n'a pas été altéré.

Disponible sur certains serveurs IBM Z, x86 et Power

La technologie est offerte sur certains modèles IBM Z (z14, z13s et z13 seulement) sous le nom Crypto Express5S (CEX5S). Sous z/OS, la prise en charge est assurée par les services cryptographiques ICSF. Sous Linux on Z, le CEX5S est pris en charge par CCA et Enterprise PKCS #11 (EP11). Sur les serveurs x86, la carte PCIeCC2 répond au type de machine 4767-002 avec prise en charge sous diverses versions de Windows, SLES, et RHEL. Sur IBM Power Systems POWER8, la technologie est prise en charge sous IBM AIX, IBM i, et PowerLinux.

Autres produits susceptibles de vous intéresser

IBM Multi-Cloud Data Encryption

IBM Multi-Cloud Data Encryption

En savoir plus

IBM z14

Les serveurs sur grands systèmes IBM sécurisent le nuage

En savoir plus