Fonctions principales du coprocesseur cryptographique 4767 PCIe

Coprocesseur sécurisé haut de gamme

Le coprocesseur cryptographique IBM 4767 PCIe est un coprocesseur sécurisé haut de gamme implémenté sur une carte PCIe avec un module intégré à plusieurs puces. Il convient aux applications nécessitant des fonctions cryptographiques à grande vitesse pour le cryptage des données et la signature numérique, le stockage sécurisé des clés de signature ou des applications cryptographiques personnalisées.Celles-ci peuvent inclure des applications financières telles que la génération et la vérification de code PIN dans des serveurs de guichets automatiques et de points de vente.

Niveau de certification le plus élevé : FIPS PUB 140-2, Niveau 4

Les Federal Information Processing Standards (FIPS) sont publiés par le NIST (National Institute of Standards and Technology), une agence du département du Commerce des États-Unis. Les processus cryptographiques IBM 4767 sont exécutés dans une enceinte du module HSM validée FIPS PUB 140-2, Exigences de sécurité pour les modules cryptographiques, Niveau de sécurité générale 4. Le niveau 4 est le niveau de certification le plus élevé possible pour les unités cryptographiques commerciales.

Améliorations architecturales et de performances

Le matériel IBM 4767 apporte des améliorations architecturales et de performances importantes par rapport à son prédécesseur tout en autorisant la croissance future. Par exemple, le 4767 peut dépasser 15000 opérations de conversion de code PIN par seconde. Le module sécurisé contient des processeurs IBM PowerPC 476 redondants, une clé symétrique personnalisée et des moteurs de hachage pour exécuter les chiffrements AES, DES, T-DES, SHA-1, SHA-384, SHA-512, et SHA2, MD5 et HMAC, et des moteurs d'algorithmes cryptographiques à clé publique personnalisés pour supporter les méthodes de chiffrement RSA et ECC (Elliptic Curve Cryptography).

Conception anti-sabotage

Le module sécurisé est protégé par une conception anti-sabotage qui protège le système contre une grande variété d’attaques et détruit immédiatement toutes les clés et les données sensibles si une altération est détectée. Un autre support matériel inclut une horloge temps réel sécurisée, un générateur matériel de nombres aléatoires et un générateur de nombres premiers.

Common Cryptographic Architecture, API Enterprise PKCS #11

IBM fournit le programme de support CCA (Common Cryptographic Architecture) que vous pouvez charger dans le coprocesseur (HSM) pour exécuter des fonctions cryptographiques courantes dans le secteur financier et les applications de gestion sur Internet. Vous pouvez également ajouter des fonctions personnalisées au HSM à l'aide des outils de programmation disponibles ou via les services de conseil d'IBM. IBM fournit l'interface Enterprise PKCS # 11 (EP11) pour exécuter des opérations cryptographiques à clé sécurisées à l'aide de l'API PKCS # 11/openCryptoki, qui est une norme de l'industrie.

Le certificat intégré permet une vérification externe

Au cours de la dernière étape de fabrication, le coprocesseur génère une paire de clés publique/privée unique qui est stockée dans l'unité. Le circuit de détection de sabotage est activé et reste actif pendant toute la durée de vie du coprocesseur, protégeant cette clé privée ainsi que d’autres clés et données sensibles. La clé publique du coprocesseur est certifiée à l'usine par une clé privée IBM et le certificat est conservé dans le coprocesseur. Ces protections garantissent l'authenticité et l'absence de modification du HSM.

Disponible pour certains serveurs IBM Z, x86 et Power.

La technologie est disponible sur certains modèles IBM Z® (z14, z13s et z13 uniquement) en tant que fonction Crypto Express5S (CEX5S). Sur z/OS, le support est fourni par les services cryptographiques ICSF. Sous Linux® on Z, le support CEX5S est fourni pas CCA et par Enterprise PKCS #11 (EP11). Sur les serveurs x86, le PCIeCC2 est disponible en tant que MTM 4767-002 avec support de versions spécifiques de Windows®, SLES, et RHEL. Sur IBM Power Systems™ POWER8®, il est supporté par les systèmes d'exploitation IBM AIX®, IBM i®, et PowerLinux™.

Vous pourriez également être intéressé par

IBM z14

La transformation numérique a un impact majeur sur les personnes et sur la société. Durant le temps d'adaptation des entreprises, la confiance est l’élément vital qui supporte l’économie numérique.La famille de serveurs IBM z14® est au cœur des expériences numériques fiables. Ces systèmes IBM Z offrent la protection ultime pour vos données tout en simplifiant la conformité aux réglementations. Ils vous permettent également d’appliquer le machine learning à vos données les plus précieuses, afin d’en tirer des éclairages plus pertinents. Le modèle mono-châssis z14 d’IBM peut traiter 850 millions de transactions chiffrées par jour avec un encombrement ultra réduit. Il est idéal pour les data centers et les entreprises de toute taille.

En savoir plus

IBM Security Key Lifecycle Manager for z/OS

Centralisez, simplifiez, et renforcez la gestion des clés de chiffrement

En savoir plus