Cryptosec PCI y Cryptosec LAN, las soluciones HSM de cifrado y firma digital de Realsec
REALSEC nos habla en esta ocasión sobre cifrado y firma digital basados en HSM, Hardware Security Module, y para ello, nos presenta sus soluciones en éste ámbito: Cryptosec PCI y Cryptosec LAN.
Actualmente, son muchas las organizaciones que a la hora de adoptar un sistema de cifrado digital, factura electrónica… exigen que esté sustentado sobre sistemas criptográficos basados en Hardware. Y es que los sistemas HSM son a día de hoy los únicos admitidos por la industria como seguros debido a su independencia e integridad respecto a los sistemas con los que interactúa.
Cryptosec PCI
Cryptosec PCI es una solución HSM en formato de placa para conectar a bus PCI Express en el interior del mismo equipo donde resida la aplicación que lo utilice, ofreciendo altas prestaciones, versatilidad, idoneidad para integradores que quieran bastionar sus soluciones con un hardware criptográfico homologado, certificado y reconocido según los más altos estándares de seguridad.
El sistema está compuesto por un módulo criptográfico con un software flexible que transmite su funcionalidad al servidor, con las siguientes capacidades:
- Cifrado de clave simétrica, tanto Data Encryption Standard (DES), triple DES de dos claves, triple DES de tres claves, como AES, y Secure And Fast Encryption Routine (SAFER) en 64 y 128 bit y en modos K y SK.
- Funciones HASH: MD5, SHA-1, SHA-2 y RIPEMD en 128 y 160 bit.
- Operaciones con algoritmo RSA con longitud de clave de hasta 4.096.
- Control de tiempo, a efectos de Time Stamping.
- Generación de claves a través de un generador de números aleatorios, según lo especificado en FIPS 186-2 con nota de modificación y aprobado por FIPS 140-2 Level 3.
Otra característica a destacar es que una de las versiones del firmware interno incorpora el interfaz estándar PKCS#11. Con ello el hardware queda dispuesto para trabajar con cualquier aplicación que respete dicho interfaz. Además, otras versiones incorporarán firmware específico para usarse en otros entornos.
Asimismo, Cryptosec PCI tiene funciones de manejo de PINblock para entornos bancarios; Permite la utilización de varios módulos de forma simultánea; el firmware posibilita su actualización, a través de un mecanismo seguro de autenticación; Las características constructivas del hardware, permiten implementar otra serie de capacidades, como las curvas elípticas y también es posible portar al módulo código de aplicación que el cliente desee que se ejecute de forma segura.
Cryptosec LAN
Cryptosec LAN es un servidor criptográfico en red, con altos niveles de rendimiento y seguridad, para servicios de cifrado y aplicaciones de firma digital, independientemente del sistema operativo dónde éstas residan.
Cryptosec LAN ofrece las máximas garantías de seguridad para aplicaciones de cifrado, alta velocidad de cálculo criptográfico (cifrado, firma digital, generación de claves,…), almacenamiento y custodia de claves protegidas por mecanismos anti-intrusión (TAMPER RESISTANT), inviolabilidad frente a intentos de manipulación e intrusión, comunicaciones puerto-serie para importación y exportación de claves, operaciones con claves asimétricas de hasta 4.096 bits, y API nativo y PKCS#11 para desarrollo de aplicaciones de entorno criptográfico.
El servidor permite acceder al HSM a través de red. Para enviar un comando la aplicación cliente ha de formar un paquete TCP de acuerdo al formato del comando elegido. En el caso del interfaz PKCS#11 se entrega una capa de software conforme al estándar que se encarga de la comunicación por red, permitiéndose así mismo el balanceo de carga entre varios HSM.
En todos los casos, el sistema permite recibir peticiones concurrentes de uno o varios clientes.
Además del acceso por red, dispone de una conexión serie directa al HSM pensada para un terminal VT100. A través de esta conexión, se llevan a cabo tareas administrativas como actualizaciones, alta y baja de usuarios y carga de claves, entre otras.
Niveles de seguridad
Tanto Cryptosec PCI como Cryptosec LAN cuentan con el reconocimiento de certificación del estándar FIPS 140-2 nivel 3 y Common Criteria EAL 4+, y poseen las siguientes características de seguridad:
- El firmware del módulo impide la salida de datos confidenciales.
- Se imposibilita el acceso a las diversas partes del HSM con sensores que detectan intrusiones o anomalías, borrando la información.
- El HSM está cubierto por una resina epoxi opaca, una cubierta metálica protege el conjunto.
- Sistema seguro para carga y custodia de claves de procedencia externa mediante conexión directa a la placa de un terminal asíncrono.