Häufig gestellte Fragen (FAQ)

Enthält Antworten auf häufige gestellte Fragen zu Microsoft Azure Dedicated HSM.

Die Grundlagen

Was ist ein Hardwaresicherheitsmodul (HSM)?

Ein Hardwaresicherheitsmodul (HSM) ist ein physisches Computergerät, das zum Schützen und Verwalten von kryptografischen Schlüsseln verwendet wird. In HSMs gespeicherte Schlüsseln können für kryptografische Vorgänge verwendet werden. Das Schlüsselmaterial verbleibt sicher in manipulationssicheren, manipulationsgeschützten Hardwaremodulen. Das HSM erlaubt nur authentifizierten und autorisierten Anwendungen die Verwendung der Schlüssel. Das Schlüsselmaterial verlässt nie die HSM-Schutzgrenze.

Was bietet Azure Dedicated HSM?

Azure Dedicated HSM ist ein cloudbasierter Dienst, der in Azure-Datencentern gehostete HSMs bereitstellt, die direkt mit dem virtuellen Netzwerk eines Kunden verbunden sind. Diese HSMs sind dedizierte Thales Luna 7 HSM-Netzwerkgeräte. Sie werden direkt für den privaten IP-Adressraum eines Kunden bereitgestellt, und Microsoft besitzt keinen Zugriff auf die kryptografische Funktionalität der HSMs. Nur der Kunde verfügt über vollständige Verwaltungs- und Kryptografiekontrolle für diese Geräte. Kunden sind verantwortlich für die Verwaltung des Geräts, und sie können vollständige Aktivitätsprotokolle direkt von ihren Geräten erhalten. Dedizierte HSMs unterstützen Kunden bei der Erfüllung von Compliance- und gesetzlichen Anforderungen, z.B. von FIPS 140-2 Level 3, HIPAA, PCI-DSS, eIDAS usw.

Was sind die Onboarding- und Nutzungseinschränkungen für Dedicated HSM?

Kunden müssen über einen zugewiesenen Microsoft-Kundenbetreuer verfügen und die finanzielle Anforderung von 5 Millionen USD Azure-Gesamtumsatz pro Jahr oder mehr erfüllen, um sich für das Onboarding und die Nutzung von Azure Dedicated HSM zu qualifizieren.

Welche Hardware wird für dedizierte HSM verwendet?

Microsoft ist eine Partnerschaft mit Thales eingegangen, um den Azure Dedicated HSM-Dienst bereitzustellen. Das verwendete Gerät ist das Thales Luna 7 HSM Modell A790. Dieses Gerät bietet nicht nur eine nach FIPS 140-2 Level-3 validierte Firmware, sondern auch niedrige Latenzzeiten, hohe Leistung und hohe Kapazität über 10 Partitionen.

Wofür wird ein HSM verwendet?

HSMs dienen zur Speicherung von Kryptografieschlüsseln, die für Kryptografiefunktionen wie TLS (Transport Layer Security), die Verschlüsselung von Daten, die PKI (Public Key-Infrastruktur), die Verwaltung digitaler Rechte (Digital Rights Management, DRM) und die Signatur von Dokumenten verwendet werden.

Wie funktioniert Dedicated HSM?

Kunden können HSMs in bestimmten Regionen über PowerShell oder die Befehlszeilenschnittstelle bereitstellen. Der Kunde gibt an, mit welchem virtuellen Netzwerk die HSMs verbunden ist. Nach der Bereitstellung sind die HSMs im festgelegten Subnetz an einer zugewiesenen IP-Adresse im privaten IP-Adressraum des Kunden verfügbar. Kunden können dann eine Verbindung zwischen SSH für die Applianceverwaltung und den HSMs herstellen, um HSM-Clientverbindungen einzurichten, HSMs zu initialisieren, Partitionen zu erstellen, Rollen wie Partitionsverantwortlicher, Kryptoverantwortlicher und Kryptobenutzer zu definieren und zuzuweisen. Schließlich führt ein Kunde mithilfe von HSM-Clienttools, -SDKs oder -Software, die von Thales bereitgestellt werden, kryptografische Vorgänge mithilfe seiner Anwendungen aus.

Welche Software wird mit dem Dedicated HSM-Dienst bereitgestellt?

Thales ist Lieferant der gesamten Software für das HSM-Gerät nach der Bereitstellung durch Microsoft. Die Software ist über das Thales-Kundensupportportal verfügbar. Kunden, die den Dedicated HSM-Dienst nutzen, müssen für den Thales-Support registriert sein und über eine Kunden-ID verfügen, die den Zugriff auf Software und den Download relevanter Software ermöglicht. Die unterstützte Clientsoftware ist Version 7.2, die mit der von FIPS 140-2 Level 3 validierten Firmwareversion 7.0.3 kompatibel ist.

Welche zusätzlichen Kosten fallen möglicherweise mit einem Dedicated HSM-Dienst an?

Die folgenden Elemente verursachen zusätzliche Kosten bei der Verwendung des Dedicated HSM-Diensts.

  • Die Verwendung eines dedizierten, lokalen Sicherungsgeräts ist mithilfe des Dedicated HSM-Diensts möglich, verursacht jedoch zusätzliche Kosten und sollte direkt von Thales bezogen werden.
  • Dedicated HSM wird mit einer Lizenz für 10 Partitionen geliefert. Ein Kunde kann direkt in Thales weitere Partitionen anfordern und für weitere Lizenzen zahlen.
  • Dedicated HSM erfordert eine Netzwerkinfrastruktur (VNet, VPN Gateway usw.) und Ressourcen wie virtuelle Computer für die Gerätekonfiguration. Diese Ressourcen verursachen zusätzliche Kosten und sind nicht in den Preisen des Dedicated HSM-Diensts enthalten.

Bietet Azure Dedicated HSM kennwortbasierte und PED-basierte Authentifizierung?

Nein Azure Dedicated HSM stellt nur HSMs mit kennwortbasierter Authentifizierung bereit.

Unterstützt Azure Dedicated HSM Funktionalitätsmodule?

Nein Der Azure Dedicated HSM-Dienst unterstützt keine Funktionalitätsmodule.

Hostet Azure Dedicated HSM meine HSMs für mich?

Microsoft bietet nur das Thales Luna 7 HSM Modell A790 über den Dedicated HSM-Dienst und kann keine vom Kunden bereitgestellten Geräte hosten.

Unterstützt Azure Dedicated HSM Zahlungsfunktionen (PIN/EFT)?

Der Azure Dedicated HSM-Dienst verwendet Thales Luna 7 HSMs. Diese Geräte unterstützen keine für Bezahl-HSM spezifischen Funktionen (z. B. PIN oder EFT) oder Zertifizierungen. Wenn Sie möchten, dass der Azure Dedicated HSM-Dienst in Zukunft Bezahl-HSMs unterstützt, informieren Sie bitte Ihren zuständigen Microsoft-Kontobeauftragten über diesen Wunsch.

In welchen Azure-Regionen ist Dedicated HSM verfügbar?

Ab Oktober 2022 ist Dedicated HSM in 22 Regionen verfügbar. Weitere Regionen sind geplant und können über Ihren zuständigen Microsoft-Kontobeauftragten besprochen werden.

  • East US
  • USA (Ost) 2
  • USA (Westen)
  • USA, Westen 2
  • Kanada, Osten
  • Kanada, Mitte
  • USA Süd Mitte
  • Asien, Südosten
  • Indien, Mitte
  • Indien, Süden
  • Japan, Osten
  • Japan, Westen
  • Nordeuropa
  • Europa, Westen
  • UK, Süden
  • UK, Westen
  • Australien (Osten)
  • Australien, Südosten
  • Schweiz, Norden
  • Schweiz, Westen
  • US Gov Virginia
  • US Gov Texas

Interoperabilität

Wie stellt meine Anwendung eine Verbindung mit einem dedizierten HSM her?

Sie verwenden HSM-Clienttools, -SDKs oder -Software, die von Thales bereitgestellt werden, um kryptografische Vorgänge mithilfe Ihrer Anwendungen auszuführen. Die Software ist über das Thales-Kundensupportportal verfügbar. Kunden, die den Dedicated HSM-Dienst nutzen, müssen für den Thales-Support registriert sein und über eine Kunden-ID verfügen, die den Zugriff auf Software und den Download relevanter Software ermöglicht.

Kann eine Anwendung eine Verbindung mit Dedicated HSM aus einem anderen VNet in einer Region oder über Regionen hinweg herstellen?

Ja, Sie müssen VNet-Peering innerhalb einer Region verwenden, um eine Verbindung über virtuelle Netzwerke hinweg herzustellen. Für regionsübergreifende Konnektivität müssen Sie VPN Gateway verwenden.

Kann ich Dedicated HSM mit lokalen HSMs synchronisieren?

Ja, Sie können lokale HSMs mit Dedicated HSM synchronisieren. Point-to-Point-VPN- oder Point-to-Site-Konnektivität kann verwendet werden, um eine Verbindung mit Ihrem lokalen Netzwerk herzustellen.

Kann ich Daten, die von anderen Azure-Diensten verwendet werden, mit Schlüsseln verschlüsseln, die in Dedicated HSM gespeichert sind?

Nein Auf Azure Dedicated HSMs kann nur von Ihrem virtuellen Netzwerk aus zugegriffen werden.

Kann ich Schlüssel aus einem vorhandenen lokalen HSM in Dedicated HSM importieren?

Ja, wenn Sie über lokale Thales Luna 7-HSMs verfügen. Es gibt mehrere Möglichkeiten. Weitere Informationen finden Sie in der Thales HSM-Dokumentation.

Welche Betriebssysteme werden von Dedicated HSM-Clientsoftware unterstützt?

  • Windows, Linux, Solaris, AIX, HP-UX, FreeBSD.
  • Virtuell: VMware, Hyper-V, Xen, KVM

Wie konfiguriere ich meine Clientanwendung so, dass eine Hochverfügbarkeitskonfiguration mit mehreren Partitionen aus mehreren HSMs erstellt wird?

Um Hochverfügbarkeit zu erreichen, müssen Sie Ihre HSM-Clientanwendungskonfiguration so einrichten, dass sie Partitionen von jedem HSM verwendet. Weitere Informationen finden Sie in der Dokumentation zur Thales HSM-Clientsoftware.

Welche Authentifizierungsmechanismen werden von Dedicated HSM unterstützt?

Azure Dedicated HSM verwendet Thales Luna 7 HSM Modell A790-Geräte, die die kennwortbasierte Authentifizierung unterstützen.

Welche SDKs, APIs und Clientsoftware sind für die Verwendung mit Dedicated HSM verfügbar?

PKCS#11, Java (JCA/JCE), Microsoft CAPI und CNG, OpenSSL.

Kann ich Schlüssel aus Luna 5/6-HSMs in Azure Dedicated HSMs importieren/migrieren?

Ja. Wenden Sie sich an Ihren Thales-Vertriebsmitarbeiter, um die entsprechende Thales-Migrationsanleitung zu erhalten.

Kann ich Funktionalitätsmodule in Azure Dedicated HSMs installieren?

Nein Der Azure Dedicated HSM-Dienst unterstützt keine Funktionalitätsmodule.

Verwenden des HSM

Wie kann ich entscheiden, ob Azure Key Vault oder Azure Dedicated HSM verwendet werden sollte?

Azure Dedicated HSM ist die geeignete Wahl für Unternehmen, die zu lokalen Azure-Anwendungen migrieren, die HSMs verwenden. Dedizierte HSMs bieten die Möglichkeit, eine Anwendung mit minimalen Änderungen zu migrieren. Wenn kryptografische Vorgänge im Code der Anwendung ausgeführt werden, der in einem virtuellen Azure-Computer oder in einer Web-App ausgeführt wird, können sie Dedicated HSM verwenden. Im Allgemeinen kann Software auf Datenträgern, die in IaaS-Modellen (Infrastructure-as-a-Service) ausgeführt wird, die HSMs als Schlüsselspeicher unterstützen, Dedicate HSM verwenden, z. B. Traffic Manager für schlüsselloses TLS, ADCS (Active Directory-Zertifikatdienste) oder ähnliche PKI-Tools, Tools/Anwendungen für die Dokumentensignierung, Codesignierung oder einen SQL Server (IaaS), der mit TDE (transparente Datenbankverschlüsselung) mit Primärschlüssel in einem HSM unter Verwendung eines EKM-Anbieters (Extensible Key Management) konfiguriert ist. Azure Key Vault eignet sich für „in der Cloud geborene“ Anwendungen oder für Verschlüsselungsszenarien für ruhende Daten, bei denen Kundendaten von PaaS- (Platform-as-a-Service) oder SaaS-Szenarien (Software-as-a-Service) wie Office 365 mit Kundenschlüssel, Azure Information Protection, Azure Disk Encryption, Azure Data Lake Store-Verschlüsselung mit vom Kunden verwaltetem Schlüssel, Azure Storage-Verschlüsselung mit vom Kunden verwaltetem Schlüssel und Azure SQL mit vom Kunden verwaltetem Schlüssel verarbeitet werden.

Welche Verwendungsszenarien eignen sich am besten für Azure Dedicated HSM?

Azure Dedicated HSM eignet sich am besten für Migrations-Szenarien, in denen Sie lokale Anwendungen nach Azure migrieren, die bereits HSMs verwenden, und bietet eine reibungsarme Methode für die Migration nach Azure mit minimalen Änderungen an der Anwendung. Wenn kryptografische Vorgänge im Code der Anwendung ausgeführt werden, der in einem virtuellen Azure-Computer oder in einer Web-App ausgeführt wird, kann Dedicated HSM verwendet werden. Im Allgemeinen kann Software auf Datenträgern, die in IaaS-Modellen (Infrastructure-as-a-Service) mit Unterstützung von HSMs als Schlüsselspeicher ausgeführt wird, Dedicate HSM verwenden. Beispiele dafür sind:

  • Traffic Manager für schlüsselloses TLS
  • ADCS (Active Directory-Zertifikatdienste)
  • Ähnliche PKI-Tools
  • Tools/Anwendungen für das Signieren von Dokumenten
  • Codesignierung
  • SQL Server (IaaS), konfiguriert mit TDE (transparente Datenbankverschlüsselung) mit Primärschlüssel in einem HSM unter Verwendung eines EKM-Anbieters (Extensible Key Management)

Kann Dedicated HSM mit Office 365 mit Kundenschlüssel, mit Azure Information Protection, Azure Data Lake Storage, Disk Encryption, der Azure Storage-Verschlüsselung oder Azure SQL-TDE verwendet werden?

Nein Dedicated HSM wird direkt im privaten IP-Adressraum eines Kunden bereitgestellt, sodass darauf nicht mit anderen Azure- oder Microsoft-Diensten zugegriffen werden kann.

Verwaltung, Zugriff und Steuerung

Erhält der Kunde mit Dedicated HSMs die vollständige und ausschließliche Kontrolle über die HSMs?

Ja. Jede HSM-Appliance ist vollständig auf einen einzelnen Kunden ausgerichtet, und niemand sonst besitzt nach der Bereitstellung und Änderung des Administratorkennworts die Verwaltungskontrolle.

Über welche Art von Zugriff auf mein HSM verfügt Microsoft?

Microsoft hat keine administrative oder kryptografische Kontrolle über das HSM. Microsoft besitzt über eine serielle Schnittstellenverbindung Zugriff auf die Überwachungsebene, um grundlegende Telemetriedaten wie Temperatur und Komponentenintegrität abzurufen, um es Microsoft zu ermöglichen, proaktive Benachrichtigungen zu Integritätsproblemen zu liefern. Falls erforderlich, kann der Kunde dieses Konto deaktivieren.

Was ist das von Microsoft verwendete Konto des „Mandantenadmin“? Ich bin es gewohnt, dass der Admin-Benutzer auf Thales Luna HSMs „admin“ ist.

Im Lieferumfang des HSM-Geräts ist ein Standardbenutzer „Administrator“ mit dem üblichen Standardkennwort enthalten. Microsoft wollte nicht, dass Standardkennwörter verwendet werden, während ein Gerät in einem Pool darauf wartet, von Kunden bereitgestellt zu werden. Dies entspräche nicht unseren strengen Sicherheitsanforderungen. Aus diesem Grund legen wir ein sicheres Kennwort fest, das zur Bereitstellungszeit verworfen wird. Außerdem erstellen wird zur Bereitstellungszeit einen neuen Benutzer in der Administratorrolle namens „tenant admin“. Der „Mandantenadmin“ besitzt das Standardkennwort, das die Kunden als erste Aktion bei der ersten Anmeldung bei dem neu bereitgestellten Gerät ändern. Dieser Prozess gewährleistet einen hohen Grad an Sicherheit und erfüllt unser Versprechen der alleinigen administrativen Kontrolle durch unsere Kunden. Anzumerken ist, dass der Benutzer „tenant admin“ verwendet werden kann, um das Kennwort des Administratorbenutzers zurückzusetzen, wenn ein Kunde die Verwendung dieses Kontos bevorzugt.

Kann Microsoft oder ein Mitarbeiter von Microsoft auf Schlüssel in meinem Dedicated HSM zugreifen?

Nein Microsoft besitzt keinerlei Zugriff auf die im dem Kunden zugeordneten Dedicated HSM gespeicherten Schlüssel.

Speichert Azure Dedicated HSM Kundendaten?

Nein Azure Dedicated HSM ist ein Bare-Metal-HSM für den Leasingdienst. Unser Dienst speichert keine Kundendaten. Alle wichtigen Materialien und Daten werden innerhalb der HSM-Appliance des Kunden gespeichert. Jede HSM-Appliance ist ausschließlich für einen einzigen Kunden bestimmt, der die vollständige administrative Kontrolle über sie hat.

Kann ich ein Upgrade der Software/Firmware für mir zugeordnete HSMs vornehmen?

Der Kunde hat die volle administrative Kontrolle, einschließlich eines Upgrades der Software/Firmware, wenn spezifische Funktionen von verschiedenen Firmwareversionen erforderlich sind. Bevor Sie Änderungen vornehmen, wenden Sie sich an den Thales Support zu Ihrem Software-/Firmwareupgradeszenario.

Wie verwalte ich Dedicated HSM?

Sie können Dedicated HSMs verwalten, indem sie darauf über SSH zugreifen.

Wie verwalte ich Partitionen auf dem dedizierten HSM?

Die Thales HSM-Clientsoftware wird zum Verwalten der HSMs und Partitionen verwendet.

Wie überwache ich mein HSM?

Ein Kunde besitzt über Syslog und SNMP vollständigen Zugriff auf die HSM-Aktivitätsprotokolle. Kunden müssen einen Syslog-Server oder SNMP-Server so einrichten, dass sie Protokolle oder Ereignisse von den HSMs erhalten.

Kann ich von Dedicated HSM ein vollständiges Zugriffsprotokoll aller HSM-Vorgänge erhalten?

Ja. Sie können Protokolle von der HSM-Appliance an einen Syslog-Server senden.

Hochverfügbarkeit

Ist es möglich, Hochverfügbarkeit in derselben Region oder über mehrere Regionen hinweg zu konfigurieren?

Ja. Die Konfiguration und Einrichtung der Hochverfügbarkeit erfolgt in der von Thales bereitgestellten HSM-Clientsoftware. HSMs aus demselben VNet oder aus anderen VNets in derselben Region oder über Regionen hinweg bzw. lokale HSMs, die mit einem VNet per Site-to-Site- oder Point-to-Point-VPN verbunden sind, können derselben Hochverfügbarkeitskonfiguration hinzugefügt werden. Es sollte beachtet werden, dass hiermit nur wichtiges Material synchronisiert wird, und keine spezifischen Konfigurationselemente, z. B. Rollen.

Kann ich HSMs aus meinem lokalen Netzwerk einer Hochverfügbarkeitsgruppe mit Azure Dedicated HSM hinzufügen?

Ja. Sie müssen die Anforderungen für Hochverfügbarkeit für Thales Luna 7 HSMs erfüllen.

Kann ich Luna 5/6-HSMs aus lokalen Netzwerken einer Hochverfügbarkeitsgruppe mit Azure Dedicated HSM hinzufügen?

Nein

Wie viele HSMs kann ich der gleichen Hochverfügbarkeitskonfiguration aus einer einzelnen Anwendung hinzufügen?

Für 16 Mitglieder einer Hochverfügbarkeitsgruppe wurde ein vollständiger Test mit hervorragenden Ergebnissen durchgeführt.

Unterstützung

Welche SLA gilt für den Dedicated HSM-Dienst?

Für den Dedicated HSM-Dienst ist keine spezifische Garantie für die Betriebszeit vorhanden. Microsoft stellt sicher, dass der Zugriff auf das Gerät auf Netzwerkebene gewährleistet ist, sodass Azure-Standardnetzwerk-SLAs gelten.

Wie werden die in Azure Dedicated HSM verwendeten HSMs geschützt?

Azure-Datencenter verfügen über umfassende physische und prozedurale Sicherheitskontrollen. Darüber hinaus werden Dedicated HSMs in einem Bereich mit weiteren Zugangseinschränkungen des Datencenters gehostet. Diese Bereiche verfügen über weitere physische Zugangskontrollen und Videokameraüberwachung für zusätzliche Sicherheit.

Was geschieht, wenn es zu einer Sicherheitsverletzung oder einem Hardwaremanipulationsereignis kommt?

Der Dedicated HSM-Dienst verwendet Thales Luna 7 HSM-Geräte. Diese Geräte unterstützen physische und logische Manipulationserkennung. Wenn es jemals zu einem Manipulationsereignis kommt, werden die HSMs automatisch auf Null zurückgesetzt.

Wie stelle ich sicher, dass die Schlüssel in meinen Dedicated HSMs nicht durch einen Fehler oder einen böswilligen Insiderangriff verloren gehen?

Es wird dringend empfohlen, ein lokales HSM-Sicherungsmedium zu verwenden, um eine regelmäßige periodische Sicherung der HSMs für die Notfallwiederherstellung durchzuführen. Sie müssen eine Peer-to-Peer- oder Site-to-Site-VPN-Verbindung mit einer lokalen Arbeitsstation verwenden, die mit einem HSM-Sicherungsmedium verbunden ist.

Wie erhalte ich Support für Dedicated HSM?

Der Support wird sowohl von Microsoft als auch von Thales bereitgestellt. Falls bei Ihnen ein Problem mit der Hardware oder dem Netzwerkzugriff besteht, können Sie eine Supportanfrage für Microsoft erstellen. Bei einem Problem mit der HSM-Konfiguration, -Software und -Anwendungsentwicklung erstellen Sie eine Supportanfrage für Thales. Erstellen Sie bei einem nicht eindeutigen Problem eine Supportanfrage für Microsoft. Falls erforderlich, kann Thales dann eingebunden werden.

Wie erhalte ich die Clientsoftware, Dokumentation und Zugriff auf die Integrationsanleitung für das Thales Luna 7 HSM?

Nachdem Sie sich für den Dienst registriert haben, erhalten Sie eine Thales-Kunden-ID, mit der Sie sich im Thales-Kundensupportportal anmelden können. Damit haben Sie Zugriff auf die gesamte Software und Dokumentation sowie auf Supportanfragen direkt bei Thales.

Wenn ein Sicherheitsrisiko gefunden wurde und ein Patch von Thales veröffentlicht wird, wer ist dann für das Upgraden/Patchen von Betriebssystemen/Firmware verantwortlich?

Microsoft hat nicht die Möglichkeit, eine Verbindung mit HSMs herzustellen, die Kunden zugeordnet sind. Kunden müssen ihre HSMs aktualisieren und patchen.

Was passiert, wenn ich mein HSM neu starten muss?

Das HSM verfügt über eine Befehlszeilenoption für den Neustart. Es kommt jedoch zu Problemen, bei denen der Neustart zeitweilig nicht mehr reagiert. Aus diesem Grund wird als sicherste Neustartmethode empfohlen, dass Sie eine Supportanfrage bei Microsoft stellen, damit das Gerät physisch neu gestartet wird.

Kryptografie und Standards

Ist es sicher, Verschlüsselungscodes für meine wichtigsten Daten in Dedicated HSM zu speichern?

Ja, Dedicated HSM stellt Thales Luna 7 HSMs bereit, die nach FIPS 140-2 Level-3 validiert sind.

Welche kryptografischen Schlüssel und Algorithmen werden von Dedicated HSM unterstützt?

Der Dedicated HSM-Dienst stellt Thales Luna 7 HSM-Geräte bereit. Sie unterstützen eine Vielzahl von kryptografischen Schlüsseltypen und Algorithmen, einschließlich: vollständige Suite B-Unterstützung

  • Asymmetrisch:
    • RSA
    • DSA
    • Diffie-Hellman
    • Elliptische-Kurven-
    • Kryptografie (ECDSA, ECDH, Ed25519, ECIES) mit benannten, benutzerdefinierten und Brainpool-Kurven, KCDSA
  • Symmetrisch:
    • AES-GCM
    • Triple DES
    • DES
    • ARIA, SEED
    • RC2
    • RC4
    • RC5
    • CAST
    • Hash/Message Digest/HMAC: SHA-1, SHA-2, SM3
    • Schlüsselableitung: SP 800-800-108 Counter Mode
    • Key-Wrapping: SP 800-38F
    • Zufallszahlengenerierung: FIPS 140-2 genehmigter DRBG (SP 800-90, CTR-Modus) unter Einhaltung von BSI DRG.4

Ist Dedicated HSM FIPS 140-2 Level 3 validiert?

Ja. Der Dedicated HSM-Dienst stellt Thales Luna 7 HSM Modell A790-Geräte bereit, die nach FIPS 140-2 Level-3 validiert sind.

Wie kann ich sicherstellen, dass ich Dedicated HSM im nach FIPS 140-2 Level 3 validierten Modus betreibe?

Der Dedicated HSM-Dienst stellt Thales Luna 7 HSM-Geräte bereit. Diese Geräte sind nach FIPS 140-2 Level 3 validierte HSMs. Die standardmäßig bereitgestellte Konfiguration, das Betriebssystem und die Firmware sind ebenfalls FIPS-geprüft. Sie müssen keine Maßnahmen zur Einhaltung von FIPS 140-2 Level 3 ergreifen.

Wie stellt ein Kunde sicher, dass beim Aufheben der Bereitstellung eines HSM alle Schlüsselmaterialien vernichtet werden?

Bevor ein Kunde die Aufhebung der Bereitstellung anfordert, muss er das HSM mit den von Thales bereitgestellten HSM-Clienttools auf Null zurückgesetzt haben.

Leistung und Skalierbarkeit

Wie viele kryptografische Vorgänge werden mit Dedicated HSM pro Sekunde unterstützt?

Dedicated HSM stellt Thales Network Luna 7-HSMs bereit. Dies ist eine Zusammenfassung der maximalen Leistung für einige Vorgänge:

  • RSA-2048: 10.000 Transaktionen pro Sekunde
  • ECC-P256: 20.000 Transaktionen pro Sekunde
  • AES-GCM: 17.000 Transaktionen pro Sekunde

Wie viele Partitionen können in Dedicated HSM erstellt werden?

Das verwendete Thales Luna 7 HSM Model A790 umfasst im Rahmen der Kosten für den Dienst eine Lizenz für zehn Partitionen. Für das Gerät gilt ein Limit von 100 Partitionen. Wenn Partitionen bis zu diesem Limit hinzugefügt werden, fallen zusätzliche Lizenzkosten an, und auf dem Gerät muss eine neue Lizenzdatei installiert werden.

Wie viele Schlüssel können in Dedicated HSM unterstützt werden?

Die maximale Anzahl von Schlüsseln ist eine Funktion des verfügbaren Speichers. Das verwendete Thales Luna 7 Modell A790 verfügt über 32 MB Arbeitsspeicher. Die folgenden Angaben gelten auch für Schlüsselpaare, wenn asymmetrische Schlüssel verwendet werden.

  • RSA-2048: 19.000
  • ECC-P256: 91.000

Die Kapazität ist abhängig von den spezifischen Schlüsselattributen, die in der Schlüsselgenerierungsvorlage festgelegt sind, und der Anzahl der Partitionen unterschiedlich.