Descarga Brochure 2 608 kb

Anuncio
INFORMACIÓN TÉCNICA
Servidor HSM
El Sistema CryptosecBanking es una adaptación de CryptosecLan al mundo bancario. Esta adaptación se ha llevado
a cabo a través del desarrollo de un conjunto firmware y software específicos.
Especificaciones Técnicas
Sistema HSM
•
Procesador con arquitectura RISC, ARM7TDMI a 50 MHz.
•
Aceleración criptográfica: dos coprocesadores RSA y coprocesador de cifrado simétrico y hash.
•
Bus de propósito especifico para operaciones de cifrado simétrico de muy alta velocidad.
•
128 Kbytes de memoria interna de alta seguridad (esta memoria se borra automáticamente ante una
intrusión). 2,1 Mbytes de almacenamiento interno de alta seguridad.
•
Generador de números aleatorios según FIPS 186-2 con nota de modificación y generación de semilla por
hardware.
•
Puerto de comunicaciones asíncronas RS-232 aislado del procesador y de la memoria.
•
Reloj de tiempo real.
•
Protección de cobertura con resina epoxi más carcasa metálica de blindaje en chapa de acero de 0,9 mm.
•
Sensores de intrusión (acceso físico, temperatura y tensión).
Sistema Servidor
•
Procesador con arquitectura Intel a 3.06 GHz.
•
512 MB de memoria interna.
•
Dos conexiones ETHERNET 10/100/1000 Mbps.
Capacidades Criptográficas
•
Cifrado de clave simétrica: DES simple, triple DES de doble longitud de clave, triple DES de triple longitud
de clave; SAFER en 64 y 128 bit y en modos K y SK; y ambos en los modos: ECB, CBC, CFB-64 y OFC64.
•
Funciones Hash: MD5, SHA-1, RIPEMD en 128 y 160 bit.
•
Estándar de clave pública RSA con longitud de clave de hasta 4.096 bit.
•
Generación de claves a través de un generador de números aleatorios, según lo especificado en FIPS 1862 con nota de modificación y aprobado por FIPS 140-2.
Página 1 de 4
Realia Technologies, S.L.
C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
Seguridad
•
El HSM cumple con la certificación del estándar FIPS 140-2 nivel 3.
•
El firmware del módulo impide la salida de datos confidenciales.
•
Se imposibilita el acceso a las diversas partes del HSM con sensores que detectan intrusiones o
anomalías, borrando la información.
•
El HSM está cubierto por una resina epoxi opaca, una cubierta metálica protege el conjunto.
•
Sistema seguro para carga y custodia de claves de procedencia externa mediante conexión directa a la
placa de un terminal asíncrono.
Características Funcionales
Acceso al Sistema
El Servidor permite acceder al HSM a través de red. Para enviar un comando la aplicación cliente ha de formar un
paquete TCP de acuerdo al formato del comando elegido. El Sistema permite recibir peticiones concurrentes de uno
o varios clientes.
Además del acceso por red, se dispone de una conexión serie, directa al HSM, para un terminal VT100. A través de
esta conexión se llevan a cabo tareas administrativas como actualizaciones, alta y baja de usuarios y carga de
claves, entre otras.
Funcionalidades Incluidas
Además de las funciones de administración de usuarios y de claves, se incluyen las siguientes funcionalidades:
•
Autorización de Transacciones EMV.
o
o
o
•
Seguridad de Scripts.
o
o
o
•
Firma de Scripts.
Cifrado de Scripts.
Script de Cambio de PIN.
Funciones de PIN.
o
o
o
o
o
•
Cálculo/Validación de DAC.
Cálculo/Validación de IDN.
Verificación de ARQC y/o Generación de ARPC.
Cálculo de PIN.
Verificación de PIN.
Gestión de PIN.
Cálculo del Offset.
Exportación de PIN.
Cálculo de Códigos de Validación.
o
o
Cálculo y Verificación de Códigos de Validación.
Cálculo y Verificación CVC3.
Página 2 de 4
Realia Technologies, S.L.
C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
•
Securización de Mensajes: Cálculo de MAC.
•
Cifrado y Descifrado de Datos
o
o
•
Firma y Verificación de Datos.
o
•
Firma/Verificación RSA.
Monedero TIBC
o
•
Cifrado/Descifrado DES/TDES.
Cifrado/Descifrado RSA.
Generación de Certificado de Monedero y Transporte.
Impresión.
o
o
Impresión de PIN.
Impresión de Claves DES/TDES.
Ampliación de las Funcionalidades
De acuerdo a las necesidades del Cliente, es posible incorporar a CryptosecLan funciones de su interés, bien en
base a un estándar o bien de diseño propio.
Igualmente es posible incorporar otros algoritmos criptográficos o de hash, como DSA o distintos algoritmos de la
familia SHA.
Estas ampliaciones pueden incorporarse al servidor en cualquier momento, a través de una actualización de
firmware.
Prestaciones
Se muestran a continuación las capacidades de operación bajo cifrado simétrico, hash y cifrado asimétrico del HSM.
Las prestaciones del servidor se ven limitadas por la conexión ETHERNET y dependen en todo caso del tráfico de
red. Para obtener información de rendimiento de alguna de las funcionalidades específicas del Servidor, contacte
con REALSEC.
•
Clave simétrica:
Función
ECB
Prestaciones máximas (Mbps)
CBC
OFB64
CFB64
DES
400
355
355
355
3DES 2 o 3 claves
400
128
128
128
SAFER K64 6 iteraciones
533
457
457
457
SAFER SK64 8 iteraciones
400
355
355
355
SAFER K128 10 iteraciones
320
291
291
291
SAFER SK128 10 iteraciones
320
291
291
291
Página 3 de 4
Realia Technologies, S.L.
C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
•
Hash:
Función
•
Prestaciones (Mbps)
MD5
393
RIPEMD-128
393
RIPEMD-160
316
SHA-1
316
Clave asimétrica:
Las prestaciones del manejo de clave simétrica dependen en gran medida de la longitud de las claves y de sus
valores en concreto.
Prestaciones (exp/s) 1)
Función
Sin CRT embebido
Con CRT embebido 5)
Exponenciación 1024 bit clave pública 2)
7240
ND 6)
Exponenciación 2048 bit clave pública 2)
2275
ND 6)
Exponenciación 1024 bit clave privada 3)
337
688
Exponenciación 2048 bit clave privada 4)
43
166
Notas:
1) Los módulos empleados en las claves públicas son impares.
2) El exponente de la clave pública es 216+1
3) La clave privada es de 1024 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’
4) La clave privada es de 2048 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’
5) Para el test de prestaciones del CRT, la clave pública y la clave privada son de igual longitud
6) El algoritmo CRT sólo puede usarse cuando tanto la clave privada como la clave pública son conocidas
Página 4 de 4
Realia Technologies, S.L.
C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
Descargar