YubiHSM

Când utilizăm autentificarea cu doi factori, consolidată cu tokenuri hard, protejarea cheii hard a utilizatorului reprezintă doar o parte a soluţiei. Toate soluţiile de identificare sunt sigure doar în măsura securităţii serverului care efectuează autentificarea. Dacă serverul este compromis, se compromit şi datele de identificare stocate pe acesta.

Având în vedere cererea privind soluţiile la preţuri accesibile, pentru protecţia la cel mai înalt nivel a cheilor utilizatorilor, compania Yubico a creat dispozitivul YubiHSM. Acest dispozitiv are dimensiunea unui stick USB, iar preţul îi este doar o fracţiune din costul soluţiilor de dimensiunea serverului. Dispozitivul YubiHSM, un Hardware Security Module, care se conectează la portul USB al serverului, este o soluţie hardware de securizare care poate fi uşor setat şi utilizat, cu care putem proteja datele sensibile de autentificare. Se poate integra extrem de repede cu soluţia YubiRADIUS, conferind o securitate şi mai mare autentificărilor YubiKey. În plus mai poate oferi servicii criptografice oricărei alte aplicaţii.

Cu ajutorul dispozitivului YubiHSM, pe serverul de autentificare se pot stoca în siguranţă datele secrete necesare autentificării. Dispozitivul asigură protecţie nu doar împotriva tentativelor de pătrundere efectuate de la distanţă, ci şi împotriva ameninţărilor interne. Cazul din urmă poate fi copierea cheilor de securitate de către operatori.

Prin utilizarea răspânditei conexiuni USB, nici dispozitivul YubHSM nu necesită setări speciale. Instalarea îi constă doar în ceea ce se efectuează la instalarea unui pendrive: conectarea la server. Datorită designului său, faţă de tradiţionalele Hardware Security Modules, economisirea energiei este enormă: consum mai mic de 0,2 W. La proiectare, printre aspectele principale s-a aflat şi cerinţa de a nu conţine piese în mişcare, iar ca atare au fost eliminate şi defectele provenite din acestea.

Pe lângă structura fizică robustă şi eficace, dispozitivul YubiHSM mai este deosebit de eficace şi la securizarea serviciilor criptografice. Dispozitivul YubiHSM poate efectua criptări şi verificări, poate genera Message Authentication Code şi dispersări, respectiv mai poate genera şi numere aleatoare reale elaborate criptografic. Prin presetare dispozitivul susţine parolele de unică folosință generate de tokenuri, însă, utilizând cheia stocată pe HSM, pe dispozitiv se poate seta şi verificarea criptării/decriptării AES, respectiv a semnăturilor HMAC-SHA1.

Dispozitivul are propriul procesor şi spaţiu de stocare intern. La verificarea parolelor, YubiKey preia parola de unică folosință, apoi cheia secretă asociată cheii şi utilizând procesorul intern decriptează parola criptată şi efectuează identificarea de la sine. Computerului gazdă îi retransmite doar rezultatul identificării şi alte informaţii auxiliare, cum ar fi numărul de ordine al autentificării. Cheia decriptată şi parola nu părăseşte niciodată dispozitivul YubiHSM. Acest fapt oferă avantaje semnificative de securitate, deoarece chiar şi în cazul compromiterii serverului, cheile, criptate cu cheia AES de 128 de biţi, sunt în siguranţă, protejând identificatorul fiecărui utilizator. Un dispozitiv este adecvat pentru stocarea a 1000 de identificatori.