Často kladené otázky (FAQ)

Otázka: Škálovateľnosť, vysoká dostupnosť: Ako synchronizovať klaster viacerých inštancií?

NetHSM je bezstavový, takže je možné použiť niekoľko zariadení NetHSM, čo umožňuje mimoriadne vysokú priepustnosť a vysokú dostupnosť. Modul PKCS#11 podporuje kruhový plán pre klaster inštancií NetHSM. Viaceré inštancie NetHSM možno synchronizovať prostredníctvom šifrovaných záloh. Na tento účel samostatný systém sťahuje a nahráva záložné súbory medzi inštanciami. Môže to byť skriptovaný systém využívajúci pynitrokey. Tento samostatný systém nemá prístup k záložným údajom v čistom texte, pretože záložné súbory sú šifrované.

Otázka: Má NetHSM certifikát FIPS alebo Common Criteria?

Zatiaľ nie, ale v budúcnosti chceme získať certifikáty. Ak máte záujem podporiť toto úsilie, kontaktujte nás.

Otázka: Ktoré ochrany proti fyzickej manipulácii sú zavedené?

NetHSM obsahuje čip TPM, ktorý je chránený proti fyzickej manipulácii. TPM je koreňom dôvery a bezpečne uchováva kryptografické kľúče, ktoré sa používajú na šifrovanie a dešifrovanie ďalších údajov a kľúčov v NetHSM. Tým sa chráni pred zavedením škodlivého firmvéru a softvéru a dešifrovaním uložených údajov a kľúčov. Súčasný NetHSM neobsahuje ďalšie senzory na zistenie neoprávnenej manipulácie.

Otázka: Kde sa môžem dozvedieť viac o bezpečnostnej architektúre a implementácii NetHMS?

Začnite s kapitolami Začíname, Správa a Prevádzka. Pokračujte nasledujúcimi zdrojmi.

• Celkový dizajn systému

• Správa o posúdení bezpečnosti

• Úplný zdrojový kód

• Fyzický generátor náhodných čísel (TRNG) kvality PTG.3 podľa AIS-20: hardware, firmware

Otázka: Roadmap: Ktoré funkcie sú plánované?

Nasledujúci vývoj plánujeme vo voľnom poradí. Zmeny v tomto poradí sú možné na základe požiadaviek zákazníkov.

• Zlepšenie výkonu

• Quorum: schéma prístupu m-of-n a správa bezpečnostnej domény

• Ďalšie ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool

• Možnosť priameho dynamického zoskupenia, prípadne podpora externej databázy

• Vzdialená atestácia a cloudová služba

• Overovanie používateľov prostredníctvom certifikátov mTLS alebo FIDO

• Viac správy práv používateľov (napr. ďalšie roly, skupiny)

• Produktívny použiteľný softvérový kontajner

• Ďalšie separácie a vytvrdzovanie

• Certifikáty FIPS a/alebo Common Criteria

• Redundantné zdroje napájania