Întrebări frecvente (FAQ)#
- Î: Scalabilitate, disponibilitate ridicată: Cum se sincronizează un cluster de mai multe instanțe?
NetHSM nu are stare, astfel încât mai multe dispozitive NetHSM pot fi utilizate pentru a permite un debit extrem de ridicat și o disponibilitate ridicată. Modulul PKCS#11 suportă programarea round-robin pentru un cluster de instanțe NetHSM. Mai multe instanțe de NetHSM pot fi sincronizate prin intermediul unor copii de rezervă criptate. Pentru aceasta, un sistem separat descarcă și încarcă fișierele de backup între instanțe. Acesta poate fi un sistem scriptat care utilizează pynitrokey. Acest sistem separat nu are acces la datele de backup în text clar, deoarece fișierele de backup sunt criptate.
- Î: Este NetHSM certificat FIPS sau Common Criteria?
Nu încă, dar ne propunem să obținem certificări în viitor. Vă rugăm să ne contactați dacă sunteți interesat să sprijiniți aceste eforturi.
- Î: Ce măsuri de protecție împotriva manipulării fizice sunt în vigoare?
NetHSM conține un TPM care este protejat împotriva manipulării fizice. TPM este rădăcina încrederii și stochează în siguranță cheile criptografice care sunt utilizate pentru a cripta și decripta alte date și chei din NetHSM. Acest lucru protejează împotriva bootării de firmware și software rău intenționat și a decriptării datelor și cheilor stocate. Actualul NetHSM nu conține senzori suplimentari pentru a detecta manipulările.
- Î: Unde pot afla mai multe despre arhitectura și implementarea securității NetHMS?
Începeți cu capitolele Noțiuni introductive, Administrare și Operațiuni. Continuați cu următoarele resurse.
- Î: Foaie de parcurs: Ce caracteristici sunt planificate?
Plănuim următoarele evoluții în ordine liberă. Sunt posibile modificări ale acestei prioritizări pe baza solicitărilor clienților.
Îmbunătățiri de performanță
Quorum: schema de acces m-of-n și gestionarea domeniului de securitate
ECC suplimentar: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool
Capacitate de cluster direct, dinamic, eventual suport pentru baze de date externe
Atestarea la distanță și serviciul cloud
Autentificarea utilizatorilor prin certificate mTLS sau FIDO
Gestionarea drepturilor utilizatorilor (de exemplu, roluri suplimentare, grupuri)
Container de software utilizabil productiv
Alte separări și întăriri
Certificări FIPS și/sau Common Criteria
Surse de alimentare redundante