Често задавани въпроси (ЧЗВ)#

Мащабируемост, висока наличност: Как да синхронизирате клъстер от няколко екземпляра?#

NetHSM е без състояние, така че могат да се използват няколко NetHSM устройства, за да се осигури изключително висока производителност и висока наличност. Модулът PKCS#11 поддържа кръгово разпределение за клъстер от екземпляри на NetHSM. Няколко екземпляра на NetHSM могат да се синхронизират чрез криптирани резервни копия. За тази цел отделна система изтегля и качва архивни файлове между инстанциите. Това може да бъде скриптирана система, използваща pynitrokey. Тази отделна система няма достъп до данните за резервно копие в чист текст, тъй като файловете за резервно копие са криптирани.

Сертифициран ли е NetHSM по FIPS или Common Criteria?#

Все още не, но се стремим към сертифициране в бъдеще. Моля, свържете се с нас, ако се интересувате да подкрепите тези усилия.

Какви защити срещу физическа намеса са въведени?#

NetHSM съдържа TPM, който е защитен срещу физическа намеса. TPM е коренът на доверието и съхранява по сигурен начин криптографски ключове, които се използват за криптиране и декриптиране на други данни и ключове в NetHSM. Това предпазва от стартиране на злонамерен фърмуер и софтуер и декриптиране на съхраняваните данни и ключове. Настоящият NetHSM не съдържа допълнителни сензори за откриване на манипулации.

Къде мога да науча повече за архитектурата и внедряването на сигурността на NetHMS?#

Започнете с главите „Първи стъпки“, „Администрация“ и „Операции“. Продължете със следните ресурси.

Пътна карта: Кои функции са планирани?#

Планираме следните развития в свободен ред. Възможни са промени в този приоритет въз основа на искания на клиенти.

  • Подобрения на производителността

  • Кворум: схема за достъп m-of-n и управление на домейни на сигурност

  • Допълнителен ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool

  • Възможност за директен, динамичен клъстер, евентуално поддръжка на външна база данни

  • Дистанционно атестиране и облачна услуга

  • Удостоверяване на потребителя чрез mTLS сертификати или FIDO

  • Управление на повече потребителски права (напр. допълнителни роли, групи)

  • Продуктивен контейнер за използваем софтуер

  • Допълнително разделяне и втвърдяване

  • Сертификати FIPS и/или Common Criteria

  • Резервни захранвания