Întrebări frecvente (FAQ)

Î: Scalabilitate, disponibilitate ridicată: Cum se sincronizează un cluster de mai multe instanțe?

NetHSM nu are stare, astfel încât mai multe dispozitive NetHSM pot fi utilizate pentru a permite un debit extrem de ridicat și o disponibilitate ridicată. Modulul PKCS#11 suportă programarea round-robin pentru un cluster de instanțe NetHSM. Mai multe instanțe de NetHSM pot fi sincronizate prin intermediul unor copii de rezervă criptate. Pentru aceasta, un sistem separat descarcă și încarcă fișierele de backup între instanțe. Acesta poate fi un sistem scriptat care utilizează pynitrokey. Acest sistem separat nu are acces la datele de backup în text clar, deoarece fișierele de backup sunt criptate.

Î: Este NetHSM certificat FIPS sau Common Criteria?

Nu încă, dar ne propunem să obținem certificări în viitor. Vă rugăm să ne contactați dacă sunteți interesat să sprijiniți aceste eforturi.

Î: Ce măsuri de protecție împotriva manipulării fizice sunt în vigoare?

NetHSM conține un TPM care este protejat împotriva manipulării fizice. TPM este rădăcina încrederii și stochează în siguranță cheile criptografice care sunt utilizate pentru a cripta și decripta alte date și chei din NetHSM. Acest lucru protejează împotriva bootării de firmware și software rău intenționat și a decriptării datelor și cheilor stocate. Actualul NetHSM nu conține senzori suplimentari pentru a detecta manipulările.

Î: Unde pot afla mai multe despre arhitectura și implementarea securității NetHMS?

Începeți cu capitolele Noțiuni introductive, Administrare și Operațiuni. Continuați cu următoarele resurse.

• Proiectarea generală a sistemului

• Raport de evaluare a securității

• Codul sursă complet

• Generator fizic de numere aleatoare (TRNG) de calitate PTG.3 în conformitate cu AIS-20: hardware, firmware

Î: Foaie de parcurs: Ce caracteristici sunt planificate?

Plănuim următoarele evoluții în ordine liberă. Sunt posibile modificări ale acestei prioritizări pe baza solicitărilor clienților.

• Îmbunătățiri de performanță

• Quorum: schema de acces m-of-n și gestionarea domeniului de securitate

• ECC suplimentar: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool

• Capacitate de cluster direct, dinamic, eventual suport pentru baze de date externe

• Atestarea la distanță și serviciul cloud

• Autentificarea utilizatorilor prin certificate mTLS sau FIDO

• Gestionarea drepturilor utilizatorilor (de exemplu, roluri suplimentare, grupuri)

• Container de software utilizabil productiv

• Alte separări și întăriri

• Certificări FIPS și/sau Common Criteria

• Surse de alimentare redundante