Hauptmerkmale von 4767 PCIe Cryptographic Coprocessor

Sicherer High-End-Koprozessor

IBM 4767 PCIe Crytographic Coprocessor ist ein sicherer High-End-Koprozessor, der auf einer PCIe-Karte mit einem Multichip-Embedded-Modul implementiert ist. Dieser Koprozessor eignet sich für Anwendungen, die Hochgeschwindigkeits- Verschlüsselungsfunktionen für Datenverschlüsselungen und digitale Signaturen, die sichere Speicherung von Signierschlüsseln oder kundenspezifische Verschlüsselungsanwendungen erfordern. Hierzu gehören beispielsweise Finanzanwendungen für die PIN -Generierung und -Überprüfung in Geldautomaten und Point-of-Sale- Transaktionsservern.

Höchste Zertifizierungsebene: FIPS PUB 140-2, Level 4

Federal Information Processing Standards (FIPS) werden vom National Institute of Standards and Technology (NIST) in den USA ausgestellt. Die Verschlüsselungsprozesse bei IBM 4767 Coprocessor werden innerhalb eines Gehäuses auf dem HSM ausgeführt, das nach FIPS PUB 140-2, Security Requirements for Cryptographic Modules, Overall Security Level 4 überprüft wurde. Level 4 ist die höchste Zertifizierungsstufe, die für kommerzielle Verschlüsselungseinheiten erreicht werden kann.

Verbesserungen bei Leistung und Architektur

Die IBM 4767 Hardware bietet gegenüber dem Vorgängerprodukt signifikante Leistungs- und Architekturerweiterungen und ermöglicht gleichzeitig zukünftiges Wachstum. So kann IBM 4767 Coprocessor beispielsweise sogar mehr als 15.000 PIN-Konvertierungsoperationen pro Sekunde verarbeiten. Das sichere Modul enthält redundante IBM PowerPC 476-Prozessoren, angepasste symmetrische Schlüssel und Hashing-Engines für die Ausführung von AES, DES, T-DES, SHA-1, SHA-384, SHA-512 und SHA2, MD5 und HMAC sowie angepasste Verschlüsselungsalgorithmus-Engines für öffentliche Schlüssel zur Unterstützung von RSA und Elliptic Curve Cryptography.

Manipulationssicheres Design

Das Modul ist durch sein manipulationssicheres Design gut geschützt. Es schützt vor einer Vielzahl von Angriffen auf das System und alle Schlüssel und sensiblen Daten werden sofort zerstört, wenn Manipulationen erkannt werden. Weitere Hardwareunterstützung umfasst eine sichere Echtzeituhr, einen hardwarespezifischen Zufallszahlengenerator und einen Primzahlengenerator.

Common Cryptographic Architecture, Enterprise PKCS #11 APIs

Sie können das Common Cryptographic Architecture (CCA) Support Program von IBM in den Koprozessor (HSM) laden, um Verschlüsselungsfunktionen auszuführen, die in der Finanzbranche und in Internet-Geschäftsanwendungen üblich sind. Sie können dem HSM auch benutzerdefinierte Funktionen mit einem verfügbaren Programmier-Toolkit oder über IBM Beratungsservices hinzufügen. IBM stellt auch die Schnittstelle Enterprise PKCS #11 (EP11) bereit, über die sichere Verschlüsselungsoperationen auf Basis des Industriestandards PKCS #11/openCryptoki API ausgeführt werden können.

Integrierte Zertifikate für externe Überprüfungen

Während des letzten Fertigungsschritts generiert der Koprozessor ein eindeutiges öffentlich/privates Schlüsselpaar, das auf dem Gerät gespeichert wird. Die Schaltlogik für die Manipulationserkennung wird aktiviert und bleibt während der gesamten Nutzungsdauer des Koprozessors aktiv. Sie schützt diesen privaten Schlüssel sowie andere Schlüssel und sensible Daten. Der öffentliche Schlüssel des Koprozessors wird werkseitig durch einen privaten IBM Schlüssel zertifiziert. Das Zertifikat wird im Koprozessor aufbewahrt. Dadurch wird sichergestellt, dass das HSM unverfälscht und unversehrt bleibt.

Verfügbar für ausgewählte IBM z-, x86- und Power-Server

Die Technologie ist als Crypto Express5S (CEX5S) Feature auf ausgewählten IBM z®-Modellen (nur z14, z13s und z13) verfügbar. Unter z/OS erfolgt der Support durch ICSF-Verschlüsselungsservices. Unter Linux® on Z erfolgt der CEX5S-Support über CCA und Enterprise PKCS #11 (EP11). Auf x86-Servern ist PCIeCC2 als MTM 4767-002 mit Support durch bestimmte Windows®-, SLES- und RHEL-Releases verfügbar. Auf IBM Power Systems™ POWER8® erfolgt der Support über die Betriebssysteme IBM AIX®, IBM i® und PowerLinux™.

Ähnliche Produkte

IBM Multi-Cloud Data Encryption

IBM Multi-Cloud Data Encryption

Weitere Informationen

IBM z14

IBM Mainframe-Server für eine sichere Cloud

Weitere Informationen

IBM Security Key Lifecycle Manager for z/OS

Zentrales, einfaches und leistungsstarkes Management von Verschlüsselungsschlüsseln

Weitere Informationen