Часто задаваемые вопросы (FAQ)#
- Вопрос: Масштабируемость, высокая доступность: как синхронизировать кластер из нескольких экземпляров?
NetHSM не имеет статусов, что позволяет использовать несколько устройств NetHSM для обеспечения чрезвычайно высокой пропускной способности и высокой доступности. Модуль PKCS#11 поддерживает круговое расписание для кластера экземпляров NetHSM. Несколько экземпляров NetHSM можно синхронизировать с помощью зашифрованных резервных копий. Для этого отдельная система загружает и выгружает файлы резервных копий между экземплярами. Это может быть скриптовая система, использующая pynitrokey. Эта отдельная система не имеет доступа к данным резервного копирования в открытом виде, поскольку файлы резервных копий зашифрованы.
- Q: Сертифицирован ли NetHSM по стандартам FIPS или Common Criteria?
Пока нет, но в будущем мы планируем провести сертификацию. Пожалуйста, свяжитесь с нами, если вы заинтересованы в поддержке этих усилий.
- В: Какие меры защиты от физического взлома существуют?
NetHSM содержит TPM, защищенный от физического взлома. TPM является корнем доверия и надежно хранит криптографические ключи, которые используются для шифрования и расшифровки дальнейших данных и ключей в NetHSM. Это защищает от загрузки вредоносных микропрограмм и программного обеспечения и расшифровки хранящихся данных и ключей. В настоящее время NetHSM не содержит дополнительных датчиков для обнаружения несанкционированного доступа.
- Q: Где можно узнать больше об архитектуре и реализации системы безопасности NetHMS?
Начните с разделов «Начало работы», «Администрирование» и «Эксплуатация». Далее используйте следующие ресурсы.
- Вопрос: Дорожная карта: Какие функции планируются?
Мы планируем следующие разработки в свободном порядке. Возможны изменения этой очередности по запросам заказчиков.
Улучшение производительности
Кворум: m-of-n схема доступа и управление доменами безопасности
Дополнительные ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool
Возможность прямого динамического кластеризации, возможно, поддержка внешней базы данных
Удаленная аттестация и облачный сервис
Аутентификация пользователей с помощью сертификатов mTLS или FIDO
Более широкое управление правами пользователей (например, дополнительные роли, группы)
Продуктивный контейнер для использования программного обеспечения
Дальнейшее разделение и закалка
Сертификаты FIPS и/или Common Criteria
Резервные источники питания