Najważniejsze cechy i funkcje koprocesora kryptograficznego PCIe 4767

Bezpieczny, wysokiej klasy koprocesor

Koprocesor kryptograficzny PCIe IBM 4767 to bezpieczny, znakomity koprocesor na karcie PCIe z wbudowanym modułem wieloukładowym. Został zaprojektowany do współdziałania z aplikacjami, które wymagają błyskawicznej realizacji funkcji kryptograficznych w celu szyfrowania danych i cyfrowego podpisywania, do bezpiecznego przechowywania kluczy do podpisywania i do obsługiwania niestandardowych aplikacji kryptograficznych. Mogą to być aplikacje do generowania i weryfikowania kodów PIN, które działają na serwerach do obsługi bankomatów i transakcji w punktach sprzedaży.

Najwyższy poziom certyfikacji: FIPS PUB 140-2, poziom 4

Federalne standardy przetwarzania informacji (Federal Information Processing Standards — FIPS) są określane przez Narodowy Instytut Standaryzacji i Technologii USA (National Institute of Standards and Technology — NIST). IBM 4767 realizuje procesy kryptograficzne wewnątrz modułu HSM, który otrzymał certyfikat FIPS PUB 140-2, dotyczący wymogów bezpieczeństwa dla modułów kryptograficznych, z ogólną oceną bezpieczeństwa na poziomie 4. Poziom 4 to najwyższy poziom certyfikacji przyznawany komercyjnym urządzeniom kryptograficznym.

Udoskonalenia w zakresie wydajności i architektury

Produkt IBM 4767 zapewnia dużo większą wydajność i rozszerzalność architektury niż jego poprzednik, ułatwiając organizacji przyszły rozwój. Koprocesor 4767 może na przykład wykonać w ciągu sekundy ponad 15 000 operacji przetłumaczenia kodu PIN. Moduł zabezpieczeń składa się z nadmiarowych procesorów IBM PowerPC 476, mechanizmów niestandardowych kluczy symetrycznych i mieszania, które pozwalają na wykonywanie algorytmów AES, DES, T-DES, SHA-1, SHA-384, SHA-512 oraz SHA2, MD5 i HMAC, a także mechanizmów algorytmów kryptograficznych niestandardowych kluczy publicznych do korzystania z technik RSA i Elliptic Curve Cryptography.

Konstrukcja reagująca na manipulacje

Moduł zabezpieczeń ma konstrukcję, która reaguje na manipulacje i chroni przed różnego rodzaju atakami wymierzonymi w system, a w momencie wykrycia manipulacji błyskawicznie niszczy wszystkie klucze i dane wrażliwe. Do pozostałych rozwiązań zastosowanych w sprzęcie należą zegar czasu rzeczywistego, sprzętowy generator liczb losowych i generator liczb pierwszych.

Interfejsy API Common Cryptographic Architecture i Enterprise PKCS #11

IBM oferuje program wspomagający Common Cryptographic Architecture (CCA) Support Program, który można wczytać do koprocesora (HSM) w celu wykonywania funkcji kryptograficznych powszechnych w sektorze finansowym i biznesowych aplikacjach internetowych. Korzystając z dostępnego zestawu narzędzi programistycznych lub usług doradczych IBM, można też rozbudować moduł HSM o dodatkowe funkcje. IBM udostępnia również interfejs Enterprise PKCS #11 (EP11) do przeprowadzania bezpiecznych operacji kryptograficznych na kluczach za pomocą standardowego w branży interfejsu API PKCS #11/openCryptoki.

Wbudowany certyfikat pozwalający na zewnętrzną weryfikację

Na ostatnim etapie produkcji koprocesor generuje niepowtarzalną parę kluczy publiczny/prywatny, która jest przechowywana na urządzeniu. Obwód wykrywania manipulacji jest aktywowany i działa przez cały okres eksploatacji koprocesora, chroniąc klucz prywatny, a także inne klucze i dane wrażliwe. Klucz publiczny koprocesora jest certyfikowany fabrycznie prywatnym kluczem IBM, a uzyskany w ten sposób certyfikat jest przechowywany w koprocesorze. Dzięki zastosowaniu tych zabezpieczeń użytkownik ma pewność, że moduł HSM jest autentyczny i nie został poddany manipulacjom.

Rozwiązanie dostępne dla wybranych serwerów IBM Z, x86 i Power

Rozwiązanie jest dostępne dla wybranych modeli serwerów IBM Z® (tylko z14, z13s i z13) jako funkcja adaptera Crypto Express5S (CEX5S). W systemie z/OS jego obsługę zapewniają usługi kryptograficzne ICSF. W środowisku Linux® on Z adapter CEX5S jest obsługiwany za pomocą rozwiązań CCA i Enterprise PKCS #11 (EP11). W wypadku serwerów z procesorami x86 moduł PCIeCC2 jest oferowany jako model 4767-002, który obsługują konkretne wersję platform Windows®, SLES i RHEL. W wypadku serwerów IBM Power Systems™ z procesorami POWER8® rozwiązanie jest obsługiwane przez systemy operacyjne IBM AIX®, IBM i® oraz PowerLinux™.

Zobacz także

IBM z14

Serwery mainframe IBM do ochrony chmury

Dowiedz się więcej

IBM Security Key Lifecycle Manager for z/OS

Centralizuje, upraszcza i wzmacnia zarządzanie kluczami szyfrowania

Dowiedz się więcej