Вполне разумно установить строжайшие меры безопасности на серверах, которые хранят защищенную секретную информацию для всех аутентификаций пользователей. Если эти серверы поставлены под угрозу, это означает, что безопасность всех криптографических ключей и паролей, находящихся на этом сервере, являются также под угрозой или, другими словами, могут быть уничтожены без возможности на восстановление.

Компания Yubico изначально разработала YubiHSM («Модуль Аппаратной Защиты») для обработки шифрования, дешифрования и хранения секретной информации на своих собственных серверах. Сегодня YubiHSM - это предложение от Yubico для простой, доступной и надежной защиты секретной информации при помощи аутентификации, связанной с Yubico OTP, хранящейся на сервере управления и аутентификации ключей. Устройство защищает данные от удаленного входа в систему, а также от внутренних угроз, например, от сотрудников, копирующих секретную информацию.

Текущая версия YubiHSM имеет элемент безопасности и меняет свой размер от оригинальной более крупной конструктивной формы к нано-дизайну меньшего размера с литой пластиковой подвеской. 

КЛЮЧЕВЫЕ ОСОБЕННОСТИ

  • Работает с любыми стандартными USB-портами, в нескольких операционных системах, включая Linux и Microsoft Windows.
  • Предлагает шифрование с помощью кода аутентификации сообщения (MAC), хеширования HMAC-SHA1, шифрования / дешифрования AES и криптографического создания случайных чисел.
  • Обеспечивает физически изолированную среду для криптографической обработки.
  • Не имеет движущихся частей и не требует дополнительного обслуживания после установки.
  • Возможность поддержки любого протокола OTP, включая YubiOTP (реализация OTP от Yubico) и аутентификацию OATH-HOTP.
  • Работает с Проверяющим Сервером Yubico.

ПРОСТОЙ И ДОСТУПНЫЙ

Установка YubiHSM не требует какой-либо специализированной настройки, она быстро конфигурируется, поскольку для ее использования не требуются дополнительные драйверы или программное обеспечение. Устройство потребляет менее 0,2 Вт, по сравнению с некоторыми аппаратными средствами HSM, которые потребляют более чем 300 Вт при их стоимости в десятки тысяч долларов дороже данного устройства, стоимость которого составляет 500 долларов.

КОДИРУЕТ И ЗАЩИЩАЕТ СЕКРЕТНУЮ ИНФОРМАЦИЮ

YubiHSM настроен по умолчанию для определения соответствия Yubico OTP, но он может также быть настроен для обработки AES-шифрования / дешифрования, безопасного сравнения дешифрованных данных или проверки HMAC-SHA1 с ключом, хранящимся на YubiHSM. Кроме того, он может использоваться для генерации действительно случайных чисел, полученных из физических характеристик компьютера и порта USB, к которому он присоединен.

ОБЕСПЕЧЕНИЕ НАДЕЖНОСТИ СЕКРЕТНОЙ ИНФОРМАЦИИ YUBICO OTP 

YubiHSM выполняет шифрование, дешифрование и хранение ключей. Когда его активируют для проверки OTP Yubico, он загружает OTP и связанный зашифрованный ключ в свой встроенный процессор и выполняет дешифрование и сравнение. Впоследствии, он будет только передавать результаты проверки и соответствующие данные (например, счетчики использования) обратно на главный компьютер; дешифрованный ключ и OTP открытого текста никогда не покидают аппаратное обеспечение YubiHSM. Это обеспечивает высокий уровень безопасности секретной информации, если сервер аутентификации является под угрозой - сама секретная информация остается в безопасности на оборудовании YubiHSM, зашифрованном с помощью 128-битного ключа AES.

РЕШЕНИЕ, КОТОРОМУ ДОВЕРЯЮТ

YubiHSM был проверен экспертами в области интернет-безопасности, и в настоящее время используется более чем 100 организациями, включая ведущие интернет-компании и подрядчики Министерства обороны США. YubiHSM также защищает YubiCloud, службу поддержки Yubico.

ДИАПАЗОН ИСПОЛЬЗОВАНИЯ

  • Услуга аутентификации: Вы запускаете службу проверки подлинности; Секретная информация хранится на компьютере, который имеет доступ из Интернета, и вы обеспокоены тем, что он однажды будет взломан.
  • Ограничивает Доступ: Вы хотите предотвратить доступ системных администраторов и сотрудников, имеющих физический доступ к серверу, которые могут копировать базу данных и получать доступ к конфиденциальным данным.
  • Предотвращает Угрозу: Вам нужна модель, которая не допускает хакеров к вашей секретной информации, но позволяет вам лично работать на сервисе на полной скорости.
  • Поддерживает YubiKeys: У вас есть небольшой набор устройств Yubikeys и вы хотите самостоятельно производить аутентификацию, и вам не требуется запускать полный сервер аутентификации с базой данных. 
  • Экономичная стоимость: Вы отклонили типичные HSM из соображений их высокой стоимости (которые обычно составляют 15 тыс. Долл. США за единицу или более + плату за обслуживание).