Реліз 2.4
- Прямий зв’язок через USB
- Удосконалений апаратний модуль загальної безпеки
- Підтримка асиметричних криптографічних операцій
- Сумісність з операційними системами Windows, Linux та macOS
- Інтерфейс USB-A для швидкого підключення
YubiHSM 2 v2.4
45,390.00 грн
Доступно за замовленням
Для чого цей ключ
YubiHSM 2 — це USB-HSM для компаній, де криптографічні ключі не можна просто зберігати на сервері: PKI, центри сертифікації, підпис сертифікатів, підпис коду, шифрування сервісів. Його купують, щоб не покладатися лише на софт і права в ОС. Пристрій виступає апаратною опорою для операцій підпису та шифрування в інфраструктурі.
Ізольовані криптографічні ключі
Криптографічні ключі можна створювати, імпортувати та зберігати прямо в YubiHSM 2, а всі операції виконуються всередині пристрою — це знижує ризик крадіжки ключів як при атаці на сервер (шкідливе ПЗ, експлуатація вразливостей), так і при фізичному вилученні сервера. Сервер отримує результат операції (підпис/шифрування), а не самі дані ключа.
Криптографія, на якій будується прод
YubiHSM 2 підтримує операції, необхідні в enterprise-сценаріях: хешування, wrapping ключів, асиметричний підпис і розшифрування, включно з розширеними сценаріями підпису на ed25519. Також підтримується attestation для асиметричних ключових пар, згенерованих на пристрої.
Доступ за ролями та доменами
Всередині є security domains: ключі та об’єкти належать доменам, а права призначаються для кожного authentication key — можна визначити “хто підписує”, “хто адмініструє”, “хто читає аудит”.
Додатково є tamper-evident audit log: журнал подій можна експортувати для моніторингу та звітності, щоб були видимі будь-які зміни.
Інтеграції та підключення
YubiHSM 2 розрахований на роботу у великій інфраструктурі: до 16 паралельних підключень, є варіанти, коли HSM можна зробити доступним для кількох систем (в т.ч. віртуальних машин). Інтеграція будується через звичні інтерфейси: PKCS#11, YubiHSM KSP для Microsoft CNG, а також нативні бібліотеки для Windows/Linux/macOS. Усе це працює без самописних «костилів».
Оновлення криптобібліотеки
У прошивці v2.4 оновлено криптобібліотеку для операцій RSA та ECC (в т.ч. підпис і розшифрування): це внутрішня розробка Yubico, та сама бібліотека, що використовувалась у релізі YubiKey 5.7.
Бекап і перенесення ключів за правилом M-of-N
У YubiHSM 2 можна задати правило M-of-N для wrap-key: щоб відновити ключ на іншому HSM, потрібна участь кількох адміністраторів (кворум), а не одного власника бекапу.
Audit Logging
YubiHSM 2 веде внутрішній журнал управлінських дій і операцій. Лог можна вивантажувати для моніторингу та звітності, а записи пов’язані хеш-ланцюгом, тому будь-які спроби підчистити сліди стають помітними.
Форм-фактор Nano + новинки v2.4
Форм-фактор Nano — це дійсно компактний HSM, який акуратно підключається до USB-A і не заважає у сервері.
У v2.4 додали важливі для enterprise речі:
Бекапи з асиметричною криптографією — повноцінний і безпечний спосіб створювати резервні копії з асиметричним шифруванням, у тому числі для передачі через інтернет.
BYOK (Bring Your Own Key) — для використання хмарних сервісів із власними ключами. Дає контроль у multi-cloud сценаріях і відповідає вимогам комплаєнсу.
Захищена сесія
Під час роботи з YubiHSM 2 обмін між застосунком і пристроєм відбувається через захищену сесію з взаємною аутентифікацією. Це знижує ризик перехоплення або підміни команд і відповідей — особливо коли HSM використовується в продакшені й до нього звертаються сервіси автоматично.
Окремий плюс для адміністраторів
Для адміністрування YubiHSM 2 можна використовувати YubiKey із застосунком YubiHSM Auth: на ключі зберігаються дані, необхідні для встановлення захищеної сесії з HSM. Це зручно тим, що секрети не зберігаються в конфігах або скриптах на сервері — доступ прив’язаний до фізичного YubiKey конкретного адміністратора.
Де застосовують YubiHSM 2
YubiHSM 2 зазвичай обирають для задач, де важливі апаратний захист криптографічних ключів та безпечне виконання критичних операцій. Найчастіше всього його використовують для захисту ключової інфраструктури PKI/CA, інтеграції із системами через PKCS#11 та інші стандартні інтерфейси роботи із Microsoft AD CS, підвищення безпеки на криптобіржах та фінтех-сервісах, а також для захисту ключів на IoT-інфраструктурі та зв’заних із нею пристроях.
Функції безпеки
Апаратний захист приватних ключів для PKI/CA, підпису та шифрування (створення, імпорт, зберігання і використання ключів всередині HSM)
Attestation для асиметричних ключових пар, згенерованих на пристрої
Захищена сесія між застосунком і HSM (канал із захистом цілісності/конфіденційності та взаємною аутентифікацією)
Security domains + права на рівні authentication keys (розподіл ролей: “хто підписує / хто адмініструє / хто читає аудит”)
Tamper-evident audit log
Нове у v2.4: asymmetric backups і BYOK для multi-cloud
Інтерфейси та сумісність
Microsoft CNG (KSP)
PKCS#11 (Windows / Linux / macOS)
Native YubiHSM Core Libraries (C, Python)
Криптографічні можливості
Хешування: SHA-1 / SHA-256 / SHA-384 / SHA-512
RSA: 2048 / 3072 / 4096, підпис PKCS#1 v1.5 / PSS, розшифрування PKCS#1 v1.5 / OAEP
ECC: криві secp224r1, secp256r1, secp256k1, secp384r1, secp521r, bp256r1, bp384r1, bp512r1, curve25519; підпис ECDSA/EdDSA, обмін ECDH
Key wrap: NIST AES-CCM Wrap (128/192/256)
Генерація випадкових чисел: TRNG, DRBG за NIST SP 800-90 (AES-256 CTR_DRBG)
1× ключ безпеки YubiHSM 2 v2.4
FAQ
Це апаратний модуль безпеки (HSM) у форматі USB-A. Його завдання — безпечно зберігати криптографічні ключі та виконувати операції для серверної інфраструктури. Найчастіші сценарії: PKI/CA, випуск і підпис сертифікатів, підпис коду, ключі шифрування сервісів.
Ні. YubiHSM 2 потрібен для серверних даних та інфраструктури (PKI/підпис/шифрування). Стандартний ключ YubiKey потрібен для автентифікації користувачів (FIDO2 тощо).
Передусім приватні ключі, які не можна втрачати і не можна допустити їх копіювання:
ключі Root/Intermediate CA для PKI
ключі підпису коду
ключі, якими сервіси підписують/розшифровують дані
YubiHSM 2 підтримує повний життєвий цикл: генерація, зберігання, використання, резервування та, за потреби, знищення.
Так. Так. Для Windows використовується YubiHSM 2 Key Storage Provider (KSP) для Microsoft CNG, який тестувався з Active Directory Certificate Services (AD CS) і ключами 2048/3072/4096 біт.
Стандартні варіанти інтеграції:
PKCS#11
KSP для Microsoft CNG
нативні бібліотеки для Windows/Linux/macOS (для більш прямої роботи з пристроєм)
Так. Пристрій підтримує до 16 одночасних підключень. Також його можна зробити доступним у мережі, щоб ним користувалися додатки на інших серверах (часто використовують на хості з кількома віртуальними машинами).
Всередині є security domains. Права призначаються на кожен authentication key: окремо можна надати доступ на підпис, адміністрування або читання аудиту. Це зручно, коли різні команди відповідають за різні частини інфраструктури.
Є tamper-evident audit log: журнал операцій можна експортувати для моніторингу та звітності. Записи пов’язані хеш-ланцюгом, тому підміну або видалення подій можна виявити.
Два важливі оновлення:
спрощені та більш безпечні бекапи (у т.ч. з асиметричною криптографією)
BYOK (Bring Your Own Key) для hybrid/multi-cloud сценаріїв — щоб керувати власними ключами, а не ключами провайдера
LWallet.com.ua – це інтернет-магазин в Україні, який спеціалізується на продажу пристроїв для зберігання криптовалют та ключів безпеки. В нашем магазине самый широкий ассортимент подобных товаров в стране. Ми доставляємо у будь-яке місто України. Ми не тільки продаємо гаманці, а й допомагаємо налаштовувати їх, даємо поради. На всю продукцію ми надаємо гарантію 1 рік.
Ми даємо гарантію виробника та поміняємо будь-який несправний пристрій протягом року.
Ми допоможемо вам налаштувати свій гаманець в нашому офісі або віддалено. Якщо у вас виникли запитання щодо пристроїв, ми завжди допоможемо вам по телефону або навіть через Zoom.
Ми доставляємо у будь-яке місто України. При оформленні замовлення ви зможете вибрати найближчий до вас пункт видачі.
Так, ви можете сплатити кур’єру або в пункті видачі при отриманні. Також ви можете сплатити відразу, перевівши оплату на розрахунковий рахунок.
| Бренд | |
|---|---|
| Країна-виробник | |
| Роз'єм | |
| Розмір | |
| Вага | |
| Гарантія |
Додати відгук
Відображати лише відгуки на Українська ()
Будьте першим, хто залишив відгук на “YubiHSM 2 v2.4”
Супутні товари
Оновлення…
Відгуків немає, поки що.