INFORMACIÓN TÉCNICA Servidor HSM El Sistema CryptosecBanking es una adaptación de CryptosecLan al mundo bancario. Esta adaptación se ha llevado a cabo a través del desarrollo de un conjunto firmware y software específicos. Especificaciones Técnicas Sistema HSM • Procesador con arquitectura RISC, ARM7TDMI a 50 MHz. • Aceleración criptográfica: dos coprocesadores RSA y coprocesador de cifrado simétrico y hash. • Bus de propósito especifico para operaciones de cifrado simétrico de muy alta velocidad. • 128 Kbytes de memoria interna de alta seguridad (esta memoria se borra automáticamente ante una intrusión). 2,1 Mbytes de almacenamiento interno de alta seguridad. • Generador de números aleatorios según FIPS 186-2 con nota de modificación y generación de semilla por hardware. • Puerto de comunicaciones asíncronas RS-232 aislado del procesador y de la memoria. • Reloj de tiempo real. • Protección de cobertura con resina epoxi más carcasa metálica de blindaje en chapa de acero de 0,9 mm. • Sensores de intrusión (acceso físico, temperatura y tensión). Sistema Servidor • Procesador con arquitectura Intel a 3.06 GHz. • 512 MB de memoria interna. • Dos conexiones ETHERNET 10/100/1000 Mbps. Capacidades Criptográficas • Cifrado de clave simétrica: DES simple, triple DES de doble longitud de clave, triple DES de triple longitud de clave; SAFER en 64 y 128 bit y en modos K y SK; y ambos en los modos: ECB, CBC, CFB-64 y OFC64. • Funciones Hash: MD5, SHA-1, RIPEMD en 128 y 160 bit. • Estándar de clave pública RSA con longitud de clave de hasta 4.096 bit. • Generación de claves a través de un generador de números aleatorios, según lo especificado en FIPS 1862 con nota de modificación y aprobado por FIPS 140-2. Página 1 de 4 Realia Technologies, S.L. C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06 Seguridad • El HSM cumple con la certificación del estándar FIPS 140-2 nivel 3. • El firmware del módulo impide la salida de datos confidenciales. • Se imposibilita el acceso a las diversas partes del HSM con sensores que detectan intrusiones o anomalías, borrando la información. • El HSM está cubierto por una resina epoxi opaca, una cubierta metálica protege el conjunto. • Sistema seguro para carga y custodia de claves de procedencia externa mediante conexión directa a la placa de un terminal asíncrono. Características Funcionales Acceso al Sistema El Servidor permite acceder al HSM a través de red. Para enviar un comando la aplicación cliente ha de formar un paquete TCP de acuerdo al formato del comando elegido. El Sistema permite recibir peticiones concurrentes de uno o varios clientes. Además del acceso por red, se dispone de una conexión serie, directa al HSM, para un terminal VT100. A través de esta conexión se llevan a cabo tareas administrativas como actualizaciones, alta y baja de usuarios y carga de claves, entre otras. Funcionalidades Incluidas Además de las funciones de administración de usuarios y de claves, se incluyen las siguientes funcionalidades: • Autorización de Transacciones EMV. o o o • Seguridad de Scripts. o o o • Firma de Scripts. Cifrado de Scripts. Script de Cambio de PIN. Funciones de PIN. o o o o o • Cálculo/Validación de DAC. Cálculo/Validación de IDN. Verificación de ARQC y/o Generación de ARPC. Cálculo de PIN. Verificación de PIN. Gestión de PIN. Cálculo del Offset. Exportación de PIN. Cálculo de Códigos de Validación. o o Cálculo y Verificación de Códigos de Validación. Cálculo y Verificación CVC3. Página 2 de 4 Realia Technologies, S.L. C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06 • Securización de Mensajes: Cálculo de MAC. • Cifrado y Descifrado de Datos o o • Firma y Verificación de Datos. o • Firma/Verificación RSA. Monedero TIBC o • Cifrado/Descifrado DES/TDES. Cifrado/Descifrado RSA. Generación de Certificado de Monedero y Transporte. Impresión. o o Impresión de PIN. Impresión de Claves DES/TDES. Ampliación de las Funcionalidades De acuerdo a las necesidades del Cliente, es posible incorporar a CryptosecLan funciones de su interés, bien en base a un estándar o bien de diseño propio. Igualmente es posible incorporar otros algoritmos criptográficos o de hash, como DSA o distintos algoritmos de la familia SHA. Estas ampliaciones pueden incorporarse al servidor en cualquier momento, a través de una actualización de firmware. Prestaciones Se muestran a continuación las capacidades de operación bajo cifrado simétrico, hash y cifrado asimétrico del HSM. Las prestaciones del servidor se ven limitadas por la conexión ETHERNET y dependen en todo caso del tráfico de red. Para obtener información de rendimiento de alguna de las funcionalidades específicas del Servidor, contacte con REALSEC. • Clave simétrica: Función ECB Prestaciones máximas (Mbps) CBC OFB64 CFB64 DES 400 355 355 355 3DES 2 o 3 claves 400 128 128 128 SAFER K64 6 iteraciones 533 457 457 457 SAFER SK64 8 iteraciones 400 355 355 355 SAFER K128 10 iteraciones 320 291 291 291 SAFER SK128 10 iteraciones 320 291 291 291 Página 3 de 4 Realia Technologies, S.L. C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06 • Hash: Función • Prestaciones (Mbps) MD5 393 RIPEMD-128 393 RIPEMD-160 316 SHA-1 316 Clave asimétrica: Las prestaciones del manejo de clave simétrica dependen en gran medida de la longitud de las claves y de sus valores en concreto. Prestaciones (exp/s) 1) Función Sin CRT embebido Con CRT embebido 5) Exponenciación 1024 bit clave pública 2) 7240 ND 6) Exponenciación 2048 bit clave pública 2) 2275 ND 6) Exponenciación 1024 bit clave privada 3) 337 688 Exponenciación 2048 bit clave privada 4) 43 166 Notas: 1) Los módulos empleados en las claves públicas son impares. 2) El exponente de la clave pública es 216+1 3) La clave privada es de 1024 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’ 4) La clave privada es de 2048 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’ 5) Para el test de prestaciones del CRT, la clave pública y la clave privada son de igual longitud 6) El algoritmo CRT sólo puede usarse cuando tanto la clave privada como la clave pública son conocidas Página 4 de 4 Realia Technologies, S.L. C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06