Релиз 2.4
- Прямая связь через USB
- Усовершенствованный аппаратный модуль общей безопасности
- Поддержка асимметричных криптографических операций
- Совместимость с операционными системами Windows, Linux и Mac
- Интерфейс USB-A для быстрого подключения
YubiHSM 2 v2.4
45,390.00 грн
Доступно для предзаказа
Для чего этот ключ
YubiHSM 2 — это USB-HSM для компаний, где криптографические ключи нельзя хранить просто на сервере: PKI, центры сертификации, подпись сертификатов, подпись кода, шифрование сервисов. Его приобретают для того, чтобы не полагаться только на софт и права в ОС. Устройство выступает аппаратной опорой для операций подписи и шифрования в инфраструктуре.
Изолированные криптографические ключи
Криптографические ключи можно создавать, импортировать и хранить прямо в YubiHSM 2, а все операции выполняются внутри устройства — это снижает риск кражи ключей как при атаке на сервер (вредоносное ПО, эксплуатация уязвимостей), так и при физическом изъятии сервера. Сервер получает результат операции (подпись/шифрование), а не сами данные с ключа.
Криптография, на которой строится прод
YubiHSM 2 поддерживает операции, которые нужны в enterprise-сценариях: хэширование, wrapping ключей, асимметричную подпись и расшифрование, включая расширенные сценарии подписи на ed25519. Также поддерживается attestation для асимметричных ключевых пар, сгенерированных на устройстве.
Доступ по ролям и доменам
Внутри есть security domains: ключи и объекты принадлежат доменам, а права назначаются для каждого authentication key — можно назначить “кто подписывает”, “кто администрирует”, “кто читает аудит”.
Плюсом также выступает tamper-evident audit log: журнал событий можно экспортировать для мониторинга и отчётности, чтобы было видно любые изменения.
Интеграции и подключение
YubiHSM 2 рассчитан на работу в большой инфраструктуре: до 16 параллельных подключений, есть варианты, когда HSM можно сделать доступным для нескольких систем (в т.ч. виртуалок). Интеграция строится через привычные интерфейсы: PKCS#11, YubiHSM KSP для Microsoft CNG, а также нативные библиотеки для Windows/Linux/macOS. Все это работает без самописных костылей.
Crypto Library Update
В прошивке v2.4 обновили криптобиблиотеку для операций RSA и ECC (в т.ч. подпись и расшифрование): это внутренняя разработка Yubico, та же библиотека, что использовалась в релизе YubiKey 5.7.
Бэкап и перенос ключей по правилу M-of-N
В YubiHSM 2 можно задать правило M-of-N для wrap-key: чтобы восстановить ключ на другом HSM, требуется участие нескольких администраторов (кворум), а не один владелец бэкапа.
Audit Logging
YubiHSM 2 ведёт внутренний журнал управленческих и операций. Лог можно выгружать для мониторинга и отчётности, а записи связаны хэш-цепочкой, поэтому любые попытки подчистить следы становятся заметны.
Форм-фактор Nano + новинки v2.4
Форм-фактор Nano — это реально компактный HSM, который аккуратно сидит в USB-A и не мешает в сервере.
В v2.4 добавили важные для enterprise вещи:
Бэкапы с асимметричной криптографией — нормальный, безопасный способ делать резервные копии с ассиметричным шифрованием. В том числе для передачи через интернет.
BYOK (Bring Your Own Key) — когда вы хотите использовать облачные сервисы. Хранение и управление собственными ключами для multi-cloud сценариев с упором на контроль и требования комплаенса.
Защищённая сессия
При работе с YubiHSM 2 обмен между приложением и устройством идёт через защищённую сессию с взаимной аутентификацией. Это снижает риск перехвата или подмены команд и ответов во время работы — особенно когда HSM используется в проде и к нему обращаются сервисы автоматически.
Отдельный плюс для админов
Для администрирования YubiHSM 2 можно использовать YubiKey с приложением YubiHSM Auth: на ключе хранятся данные, которые нужны для установления защищённой сессии с HSM. Это удобно тем, что секреты не лежат в конфиге или скриптах на сервере — доступ привязан к физическому YubiKey конкретного администратора.
Где применяют YubiHSM 2
YubiHSM 2 обычно выбирают для задач, где важны аппаратная защита криптографических ключей и безопасное выполнение критичных операций. Чаще всего его используют для защиты ключевой инфраструктуры PKI/CA, интеграции с системами через PKCS#11 и другие стандартные интерфейсы, работы с Microsoft AD CS, повышения безопасности в криптобиржах и финтех-сервисах, а также для защиты ключей в IoT-инфраструктуре и связанных с ней устройствах.
Функции безопасности
Аппаратная защита приватных ключей для PKI/CA, подписи и шифрования (создание, импорт, хранение и использование ключей внутри HSM)
Attestation для асимметричных ключевых пар, сгенерированных на устройстве
Защищённая сессия между приложением и HSM (канал с защитой целостности/конфиденциальности и взаимной аутентификацией)
Security domains + права на уровне authentication keys (разделение задач “кто подписывает / кто админ / кто читает аудит”)
Tamper-evident audit log
Новое в v2.4: asymmetric backups и BYOK для multi-cloud
Интерфейсы и совместимость
Microsoft CNG (KSP)
PKCS#11 (Windows / Linux / macOS)
Native YubiHSM Core Libraries (C, Python)
Криптографические возможности
Хэширование: SHA-1 / SHA-256 / SHA-384 / SHA-512
RSA: 2048 / 3072 / 4096, подпись PKCS#1 v1.5 / PSS, расшифрование PKCS#1 v1.5 / OAEP
ECC: кривые secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519; подпись ECDSA/EdDSA, обмен ECDH
Key wrap: NIST AES-CCM Wrap (128/192/256)
Генерация случайных чисел: TRNG, DRBG по NIST SP 800-90 (AES-256 CTR_DRBG)
1x Ключ безопасности YubiHSM 2 v2.4
FAQ
Это аппаратный модуль безопасности (HSM) в формате USB-A. Его задача простая: безопасно хранить криптографические ключи и выполнять операции, которые нужны серверной инфраструктуре. Самые частые сценарии: PKI/CA, выпуск и подпись сертификатов, подпись кода, ключи шифрования сервисов.
Нет. YubiHSM 2 необходим для серверных данных и инфраструкты (PKI/подпись/шифрование). Стандартный ключ YubiKey необходим для аутентификации пользователей (FIDO2 и т.д.).
Прежде всего приватные ключи, которые нельзя терять и нельзя допустить их копирование:
ключи Root/Intermediate CA для PKI
ключи подписи кода
ключи, которыми сервисы подписывают/расшифровывают данные
YubiHSM 2 поддерживает полный жизненный цикл: генерация, хранение, использование, резервирование, при необходимости уничтожение.
Да. Для Windows используется YubiHSM 2 Key Storage Provider (KSP) для Microsoft CNG, который тестировался с Active Directory Certificate Services (AD CS) и ключами 2048/3072/4096 бит.
Стандартные варианты интеграции:
PKCS#11
KSP для Microsoft CNG
нативные библиотеки для Windows/Linux/macOS, если нужна более прямая работа с устройством
Да. Устройство поддерживает до 16 одновременных соединений. Также его можно сделать доступным по сети, чтобы им пользовались приложения на других серверах (часто применяют на хосте с несколькими виртуальными машинами).
Внутри есть security domains. Права назначаются на каждый authentication key: можно отдельно выдать доступ на подпись, отдельно на администрирование, отдельно на чтение аудита. Это удобно, когда разные команды отвечают за разные части инфраструктуры.
Есть tamper-evident audit log: журнал операций можно экспортировать для мониторинга и отчётности. Записи связаны hash-цепочкой, поэтому подмену или удаление событий можно обнаружить.
Два важных обновления:
упрощённые и более безопасные бэкапы (в т.ч. с асимметричной криптографией)
BYOK (Bring Your Own Key) для сценариев hybrid/multi-cloud, чтобы хранить и управлять своими ключами, а не ключами провайдера
LWallet.com.ua – это интернет-магазин в Украине, который специализируется на продаже устройств для хранения криптовалют и ключах безопасности. В нашем магазине самый широкий ассортимент подобных товаров в стране. Мы доставляем в любой город Украины. Мы не только продаем кошельки, но и помогаем настраивать их, даем советы. На всю продукцию мы предоставляем гарантию 1 год.
Мы даем гарантию производителя и поменяем любое неисправное устройство в течение года.
Мы поможем вам настроить кошелек в нашем офисе или дистанционно. В случае вопросов, которые возникнут при использовании устройств, мы всегда проконсультируем вас по телефону или даже по Zoom.
Мы доставляем в любой город Украины. При оформлении заказа вы сможете выбрать ближайший к вам пункт выдачи.
Да, вы можете оплатить курьеру или в пункте выдачи при получении. Также вы можете оплатить сразу, переведя на расчетный счет.
| Бренд | |
|---|---|
| Страна-производитель | |
| Разъем | |
| Pазмер | |
| Вес | |
| Гарантия |
Добавить отзыв
Будьте первым, кто оставил отзыв на «YubiHSM 2 v2.4»
Похожие
Обновление…
Отзывов пока нет.