Pogosto zastavljena vprašanja (FAQ)

V: Skalabilnost, visoka razpoložljivost: Kako sinhronizirati gručo z več primerki?

NetHSM je brez stanja, tako da je mogoče uporabiti več naprav NetHSM, kar omogoča izjemno visoko prepustnost in razpoložljivost. Modul PKCS#11 podpira krožni razpored za gručo instanc NetHSM. Več instanc NetHSM se lahko sinhronizira prek šifriranih varnostnih kopij. V ta namen ločen sistem prenaša in nalaga varnostne kopije med instancami. To je lahko skriptni sistem, ki uporablja pynitrokey. Ta ločeni sistem nima dostopa do podatkov varnostnih kopij v čistem besedilu, ker so varnostne kopije šifrirane.

V: Ali ima NetHSM certifikat FIPS ali Common Criteria?

Zaenkrat še ne, vendar nameravamo v prihodnosti pridobiti certifikate. Če želite podpreti ta prizadevanja, se obrnite na nas.

V: Katera zaščita pred fizičnimi posegi je vzpostavljena?

NetHSM vsebuje TPM, ki je zaščiten pred fizičnimi posegi. TPM je koren zaupanja in varno hrani kriptografske ključe, ki se uporabljajo za šifriranje in dešifriranje nadaljnjih podatkov in ključev v NetHSM. To ščiti pred zagonom zlonamerne strojne in programske opreme ter dešifriranjem shranjenih podatkov in ključev. Trenutni NetHSM ne vsebuje dodatnih senzorjev za zaznavanje nedovoljenih posegov.

V: Kje lahko izvem več o varnostni arhitekturi in izvajanju sistema NetHMS?

Začnite s poglavji Začetek, Upravljanje in Delovanje. Nadaljujte z naslednjimi viri.

• Splošna zasnova sistema

• Poročilo o oceni varnosti

• Celotna izvorna koda

• Fizični generator naključnih števil (TRNG) kakovosti PTG.3 v skladu z AIS-20: strojna oprema, strojna programska oprema

V: Časovni načrt: Katere funkcije so načrtovane?

Načrtujemo naslednji razvoj v ohlapnem vrstnem redu. Na podlagi zahtev strank so možne spremembe te prednostne razvrstitve.

• Izboljšave delovanja

• Kvorum: shema dostopa m-of-n in upravljanje varnostne domene

• Dodatni ECC: ECDH (X25519, NIST), secpXk (Koblitz) , Brainpool

• Neposredna, dinamična zmogljivost gruče, po možnosti podpora za zunanjo zbirko podatkov

• Oddaljeno potrjevanje in storitev v oblaku

• Preverjanje pristnosti uporabnika s potrdili mTLS ali FIDO

• Več upravljanja pravic uporabnikov (npr. dodatne vloge, skupine)

• Produktivna uporabna posoda za programsko opremo

• Nadaljnje ločevanje in utrjevanje

• certifikati FIPS in/ali Common Criteria

• Redundantni napajalniki