portuguese

Luna G5
Módulo de Segurança de Hardware (HSM)
Resumo do produto
Vantagens
• Design de HSM de alta
confiabilidade
• Autenticação e controle de
acesso seguros
• Suporte completo às APIs
de criptografia e kits de
ferramentas do desenvolvedor
para uma fácil integração
• Arquitetura de segurança
contra falhas (Fail Safe)
• Hierarquia de chave interna
com defesa abrangente
(Defense-in-depth)
• Detecção de violação e
resposta melhoradas
• Otimizado para desempenho
de Suite B
• Identificação digital ECC
instalada na fábrica
Recursos
• Backup por meio da clonagem
de chaves Luna
• Suporte Suite B
• M de N por função
• Suporte para curvas ECC NIST
e Brainpool
• Parâmetros ECC especificados
pelo usuário
• Suporte a algoritmos coreanos
• RNG (gerador de números
aleatórios) compatível com
FIPS
• Common Criteria EAL 4+ em
andamento
• Modo de transporte seguro
O Luna G5 é amplamente usado por instituições governamentais, financeiras e
grandes empresas nas identidades digitais, aplicativos e dados para reduzir os
riscos e garantir a conformidade com as regulamentações.
Histórico
No mundo digital de hoje, as chaves criptográficas protegem os dados mais confidenciais de
empresas, bancos e instituições governamentais. As próprias chaves devem ser protegidas
fortemente para garantir seu sigilo e autenticidade de forma que as informações que passam
pela infraestrutura online não sejam expostas a partes não autorizadas. As infraestruturas de
chave pública (PKIs) são usadas para gerenciar de forma adequada o grande número de chaves
necessárias em um ambiente típico de empresa ou comércio eletrônico. As PKIs precisam da
máxima segurança disponível para proteger suas próprias chaves criptográficas, conhecidas
como chaves-raiz. Os módulos de segurança de hardware da SafeNet (HSMs) protegem as
chaves dentro do appliance o tempo inteiro, desde a criação de chaves, até o armazenamento,
uso e destruição de chaves. A manutenção das chaves no hardware durante todo o ciclo de vida
delas é uma prática exigida pelos auditores de segurança do sistema e entidades de certificação
responsáveis por atestar o status de segurança dos sistemas PKI. O SafeNet G5 HSM baseia-se
nos recursos de segurança da família de produtos Luna, longamente estabelecidos e validados
pelo setor, e introduz uma nova geração de design à família de HSMs da SafeNet. O novo design
conecta o HSM diretamente ao servidor de aplicativos por meio de uma interface USB.
Formato físico seguro e conveniente
O Luna G5 fornece gerenciamento de chaves líder do setor em um appliance portátil. Todos os
materiais de chave são mantidos exclusivamente dentro dos limites do hardware. O pequeno
formato físico e o armazenamento incorporado de chaves diferenciam o produto, tornando-o
especialmente atrativo aos consumidores que necessitam remover e armazenar fisicamente o
pequeno appliance que contém as chaves-raiz PKI.
Gerenciamento seguro de chaves de hardware
Os HSMs Luna fornecem criação, armazenamento e backup seguros de chaves de hardware
em uma variedade de modelos e configurações, oferecendo uma ampla escolha de recursos
operacionais e de segurança. A versão Luna G5 da família de produtos HSMs da SafeNet fornece
uma camada adicional de gerenciamento de chaves baseado em hardware. Ela é constituída
pelo SafeXcel 3120, um sistema de segurança robusto e tolerante a falhas em um chip para
proteger as chaves internas e dados confidenciais. Essa arquitetura de sistema de segurança
abrangente em um chip isola materiais de chave de texto simples do firmware principal do HSM
ao criptografar ainda mais as chaves internas com uma chave que existe apenas no hardware
SafeXcel.
As técnicas de chaves separadas fornecem um recurso de resposta a violações aprimorado que
é acionado pela detecção de ataques externos ou por uma anomalia de hardware interna. Esse
design de alta confiabilidade também inclui a função de recuperação de violações e o modo de
transporte seguro (consulte a seção específica abaixo).
O Luna G5 é um pacote seguro para atender aos requisitos mais rigorosos de resistência a
violações e invasões.
Luna G5 Módulo de Segurança de Hardware (HSM) Resumo do produto
1
Especificações técnicas
Suporte a API cliente
• PKCS#11 v2.20
• Microsoft CryptoAPI (CAPI)
• Microsoft Crypto API: Next Generation
(CNG)
•Java JCA/JCE
•OpenSSL
Sistemas operacionais compatíveis
• Windows, Linux
Processamento de criptografia
Transporte de chaves assimétricas e
troca de chaves:
• RSA (1024-4096 bits), PKCS #1v1.5,
OAEP PKCS#1 v2.0,
•Diffie-Hellman (DH) (1024 bits)
•Elliptic Curve Diffie-Hellman (ECDH)
(compatível com várias curvas)
Verificação e assinatura digital
•RSA (1024-4096 bits), DSA 102 bits),
PKCS#1 v1.5, ECDSA (compatível com
várias curvas), KCDSA
Suporte a ECC
• ECDSA, ECDH
• Compatível com várias curvas, como
curvas P do NIST até P-521, curvas
Brainpool e outras curvas definidas
pelo usuário.
Algoritmos de chaves simétricas
• TDES (comprimentos de chaves duplos
e triplos), RC4, RC5, AES, SEED, ARIA
Algoritmos de mensagens
•SHA-1, HAS-160, SHA224,
SHA256,SHA384, SHA512
Códigos de autenticação de mensagens
(MAC)
• HMAC-SHA-1, HMAC-SHA-224, HMACSHA-256, HMAC-SHA-384, HMACSHA-512, SSL3-SHA-1-MAC
Suporte de algoritmo Suite B
•AES-128, AES-256
•ECDSA P-256, P-384
•ECDH P-256, P-384
•SHA-256, SHA-384
Geração de números aleatórios
• AES-DRBG compatível com NIST SP
800-90
Certificações de conformidade
• Validação de FIPS 140-2 Nível 2 e Nível
3 (em andamento)
• ePassport - BAC e EAC
• RoHS
Compatibilidade de interface
• Dispositivo USB 2.0 de alta velocidade
Dimensões físicas
• 17cm (profundidade) x 21,5cm (largura)
x 4,3cm (altura)
Arquitetura de segurança Fail Safe (segurança contra falhas)
O Luna G5 possui uma arquitetura de segurança interna aprimorada que fornece um nível de
segurança inigualável para as chaves e dados confidenciais gerados, usados e armazenados no
HSM. O SafeXcel-3120, essencial nessa arquitetura, executa todas as operações criptográficas
para algoritmos aprovados pelo NIST (inclusive o Suite B). Modelado com base nos chips de
alta confiabilidade atualmente desenvolvidos pela SafeNet, o SafeXcel-3120 age como uma
âncora de confiança e utiliza um processo de inicialização segura para garantir que apenas
firmware confiáveis sejam executados no HSM. Além da função de gerenciamento de chaves
descrita anteriormente, o SafeXcel-3120 executa todas as operações de criação de chaves
para algoritmos aprovados pelo NIST e é usado na assinatura, verificação, criptografia e
descriptografia em ambientes de desempenho médio.
Função de recuperação de violações
O Luna G5 apresenta um sofisticado circuito de detecção de violação e resposta para zerar
automaticamente as chaves internas no caso de uma tentativa de ataque no HSM. Ao equilibrar
essa postura de segurança extrema com preocupações de facilidade de uso, o Luna G5 inclui um
recurso para que os encarregados de segurança devidamente autenticados possam recuperar o
HSM de um evento inadvertido de violação e colocá-lo de volta em uso sem a perda de nenhuma
chave ou dado confidencial.
Modo de transporte seguro
Os circuitos de reposta a violações do G5 também permitiram a introdução de um modo de
transporte seguro. Os encarregados de segurança usam as chaves da função de recuperação
de violações do dispositivo para bloquear criptograficamente o HSM antes de transportar
o dispositivo. As chaves da função de recuperação podem ser enviadas separadamente e
recombinadas no destino para verificar de forma criptográfica a integridade do HSM.
Autenticação Trusted Path – PED conectado localmente
Para evitar o acesso não autorizado a material criptográfico confidencial, o Luna G5 oferece uma
autenticação forte de dois fatores e várias funções de administrador (agora com recursos M de
N para cada função). O Luna G5 também oferece a verdadeira autenticação Trusted Path com o
Luna PED (dispositivo de entrada de PIN),que é um console de autenticação portátil e integrado
que não depende de teclados ou visores comerciais para a entrada de PIN do administrador.
Recursos criptográficos
O Luna G5 tem suporte para uma grande variedade de recursos de criptografia de chaves
assimétricas e troca de chaves, assim como suporte para todos os algoritmos padrão de
criptografia simétrica. Ele também é compatível com todos os algoritmos de hash e códigos de
autenticação de mensagens (MAC) padrão. O Luna G5 possui um gerador de números aleatórios
(AES-DRBG) implementado no hardware que é compatível com NIST SP 800-90.
Ao aprimorar o suporte dos HSMs anteriores para IDs digitais geradas na fábrica e com base em
pares de chaves RSA, o Luna G5 também é compatível com pares de chaves ECC para uso em
aplicativos Suite B que requerem uma ID digital permanente gerada na fábrica.
EDP (Enterprise Data Protection)
O SafeNet Luna G5 é um componente essencial da solução EDP abrangente da SafeNet para
reduzir os custos e a complexidade de exigências legais, privacidade de dados e gerenciamento
de riscos de informações. O EDP da SafeNet é a única solução que protege os dados em toda
a empresa conectada, com a proteção de dados em repouso, dados em trânsito e dados em
uso. Diferentemente das soluções pontuais com diversos fornecedores que podem criar “ilhas”
limitadas de segurança, o EDP da SafeNet fornece uma plataforma de segurança integrada com
um gerenciamento de políticas e relatórios centralizados para um gerenciamento econômico
e perfeito de dados criptografados em bancos de dados, aplicativos, redes e dispositivos de
usuário final. Mais informações no site www.safenet-inc.com/EDP.
Contato: Para obter uma lista de todos os escritórios e informações de contato, visite www.safenet-inc.com
Siga-nos: www.safenet-inc.com/connected
©2011 Todos os direitos reservados. SafeNet e o logotipo SafeNet são marcas registradas da SafeNet.
Todos os outros nomes de produtos são marcas comerciais de seus respectivos proprietários PB (PTG)-03.02.11
Luna G5 Módulo de Segurança de Hardware (HSM) Resumo do produto
2