ECC (Elliptic Curve Cryptography)是目前最先進的非對稱式加密演算法, ECC 可以使用較小的金鑰長度來達到與傳統公開金鑰演算法同樣等級的安全度, 換言之, ECC可以更有效率的提供相同或更高安全加密保護. ECC已經被美國政府認可並強列建議採用, 並且逐漸在各行各業被用在要求高安全性的保護關鍵資料的系統上.
nCipher 與 Certicom 公司策略聯盟, 在其nShield 與 netHSM 硬體加密模組內含了ECC加密演算的加速功能, 提供要求更高安全性, 更有效率與效能的客戶一個更佳的硬體加密解決方案.
詳細資料:
http://www.ncipher.com/company/news/239/ncipher_supports_elliptic_curve_cryptography/
台灣代理商玉山科技http://www.asiapeak.com/hsm.php (02)77128295
2007年4月16日 星期一
2007年4月14日 星期六
資料安全需要硬體加密設備—nCipher HSM
一串明碼資料經過加密或亂碼(Cryptography)後變成一堆沒有意義的亂碼, 資料加密或亂碼化是複雜的運算過程, 需要一個或一對金鑰(Key)當輸入值, 而演算法是公開的, 如果沒有保護好金鑰, 如果演算過程暴露在外, 絕無安全可言. 又因加密運算極耗電腦資源, 大量加密資料需求會造成電腦效能下降.
HSM是 Hardware Security Module 的縮寫, 有譯成「硬體安全模組」, 或「硬體加密器」, 或「亂碼化設備」.
HSM 目的有二
1. 更安全: 使用硬體方式來儲存與保護金鑰, 加解密運算(Cryptography)過程都在HSM內進行, 真正的亂數產生金鑰
2. 提昇運算效能:專屬晶片加解密運算處理, 不佔用電腦資源
常見的加密演算法:
1. 對稱式演算法: DES/3DES, AES, RC4…使用同一把金鑰來加密與解密
2. 非對稱式演算法: RSA, DSA…使用一對(公鑰與私鑰)來加密與解密
3. 湊雜函數: MD2/MD2, SHA-1/SHA-2..
HSM 通常會支援下列的業界標準API:
1. PKCS#11
2. Java JCA/JCE
3. Microsoft CAPI
4. 或者支援公開源始碼OpenSSL
當然各廠商也會提供專屬的API, 以充分運用該產品的特色.
金鑰管理包括金鑰產生, 分送, 使用, 儲存, 銷毀等生命週期的管理, 例如最核心的金鑰必須被HSM保護好, 其它金要也要以安全的方式存放, 不可以明碼方式暴露在HSM之外.
HSM的效能
因為非對稱式加密比對稱式加密要複雜許多 (速度大約 1:1000), 所以HSM通常以RSA 1024 bit 簽章運算能力來代表其效能, 單位為TPS – Transaction Per Second
HSM 型式
1. 網路型: Network Appliance, 可以多台電腦共用
2. PCI/PCI-X: PCI卡
3. SCSI: 卡片或外接盒子
4. 支援新的PCI-Express介面
5. 其它如 USB, PCMCIA, Chip…等小的型式, 各有其不同應用領域
HSM的安全性是依照 NIST的FIPS 140 規範的, 安全規範共11項, 又分四個等級:
1. Level 1: 加密模組使用核定演算法, 且內部運作不會被窺視到
2. Level 2: Level 1 + 破壞存跡特性
3. Level 3: Level 2 + 破壞偵測與反應特性
4. Level 4: Level 3 + 異常環境偵測
等級越高代表安全要求越高, 相對價格也越高, 實務上端視安全需求而定.
HSM 應用
舉凡需要用到對稱或非對稱加密運算的應用系統都需要HSM, 例如:
1. PKI: CA 簽發憑證 (Certificates)
2. 電子簽章及其應用
3. 信用卡交易
4. 金融跨行交易
5. 電子時戳, Code Signing,…等等
nCipher HSM 產品線:
1. 網路型HSM: netHSM 500 TPS, 2000 TPS
2. 卡片型HSM: nShield 500 TPS, 2000 TPS, 4000 TPS, 支援PCI-Express
3. Mini-HSM: 可供網路安全設備使用
nCipher HSM 特點
1. 取得最多FIPS 140-2 認證
2. 效能領先同業
3. 領先金鑰管理設計: K of N 金鑰分持, 最容易管理: 金鑰備份, 回復, 擴充…
nCipher HSM 台灣代理商: 玉山科技 http://www.asiapeak.com, (02)77128295
HSM是 Hardware Security Module 的縮寫, 有譯成「硬體安全模組」, 或「硬體加密器」, 或「亂碼化設備」.
HSM 目的有二
1. 更安全: 使用硬體方式來儲存與保護金鑰, 加解密運算(Cryptography)過程都在HSM內進行, 真正的亂數產生金鑰
2. 提昇運算效能:專屬晶片加解密運算處理, 不佔用電腦資源
常見的加密演算法:
1. 對稱式演算法: DES/3DES, AES, RC4…使用同一把金鑰來加密與解密
2. 非對稱式演算法: RSA, DSA…使用一對(公鑰與私鑰)來加密與解密
3. 湊雜函數: MD2/MD2, SHA-1/SHA-2..
HSM 通常會支援下列的業界標準API:
1. PKCS#11
2. Java JCA/JCE
3. Microsoft CAPI
4. 或者支援公開源始碼OpenSSL
當然各廠商也會提供專屬的API, 以充分運用該產品的特色.
金鑰管理包括金鑰產生, 分送, 使用, 儲存, 銷毀等生命週期的管理, 例如最核心的金鑰必須被HSM保護好, 其它金要也要以安全的方式存放, 不可以明碼方式暴露在HSM之外.
HSM的效能
因為非對稱式加密比對稱式加密要複雜許多 (速度大約 1:1000), 所以HSM通常以RSA 1024 bit 簽章運算能力來代表其效能, 單位為TPS – Transaction Per Second
HSM 型式
1. 網路型: Network Appliance, 可以多台電腦共用
2. PCI/PCI-X: PCI卡
3. SCSI: 卡片或外接盒子
4. 支援新的PCI-Express介面
5. 其它如 USB, PCMCIA, Chip…等小的型式, 各有其不同應用領域
HSM的安全性是依照 NIST的FIPS 140 規範的, 安全規範共11項, 又分四個等級:
1. Level 1: 加密模組使用核定演算法, 且內部運作不會被窺視到
2. Level 2: Level 1 + 破壞存跡特性
3. Level 3: Level 2 + 破壞偵測與反應特性
4. Level 4: Level 3 + 異常環境偵測
等級越高代表安全要求越高, 相對價格也越高, 實務上端視安全需求而定.
HSM 應用
舉凡需要用到對稱或非對稱加密運算的應用系統都需要HSM, 例如:
1. PKI: CA 簽發憑證 (Certificates)
2. 電子簽章及其應用
3. 信用卡交易
4. 金融跨行交易
5. 電子時戳, Code Signing,…等等
nCipher HSM 產品線:
1. 網路型HSM: netHSM 500 TPS, 2000 TPS
2. 卡片型HSM: nShield 500 TPS, 2000 TPS, 4000 TPS, 支援PCI-Express
3. Mini-HSM: 可供網路安全設備使用
nCipher HSM 特點
1. 取得最多FIPS 140-2 認證
2. 效能領先同業
3. 領先金鑰管理設計: K of N 金鑰分持, 最容易管理: 金鑰備份, 回復, 擴充…
nCipher HSM 台灣代理商: 玉山科技 http://www.asiapeak.com, (02)77128295
密碼學與硬體加密器(HSM)
密碼學(Cryptography)技術是所有資料加解密運算的根本, 已經廣泛的運用在資訊加密, 數位簽章等領域裡, 可以這麼說, 密碼學已經是所有資訊安全中最重要的一項技術. 這些密碼運算的公式與邏輯(例如DES, Triple-DES, AES, DSA, RSA) 也早就是公開的東西, 任何人都可以很容易與免費的獲得這些程式, http://en.wikipedia.org/wiki/Cryptography
密碼運算非常依賴其公式裡的金鑰(Keys), 金鑰的保護與管理才是真正影響資訊安全的最重要因素, 許多企業以軟體來實現密碼運算, 也意味者將金鑰存放在伺服器的硬碟裡, 這如同在沙洲裡建築高樓大廈, 一但硬碟或伺服器被駭, 所有的機密資訊將一覽無遺.
HSM(Hardware Security Module, 或稱硬體安全模組)就是專門針對保護金鑰與密碼運算而設計的一個高安全性的硬體設備. HSM的安全性最常用NIST的FIPS認證來分等級, 例如Tamper-Detection, Tamper-Resistance. (請參考網站http://csrc.nist.gov/cryptval/140-1/140val-all.htm).
HSM的功能除了保護金鑰外, 因為這些加解密運算的演算法非常複雜, 很吃CPU資源, 必須使用專門的運算晶片來執行這些運算, 否則將會非常龜速, 而且其過程中, 金鑰之值才能確保不會在記憶體中顯漏出來. 那到底HSM運算速度要多快呢 ? 因為「非對稱式」的演算法(如RSA)比「對稱式」的演算法要耗時, 所以我們通常以RSA的運算速度來表示, 又因為RSA的金鑰長度可以為512,1024,2048…等, 長度越長, 運算越耗時, 當然也越安全. 目前全球最快的HSM是nCipher公司的產品, 效能達每秒4000個 RSA 運算(4000 TPS, 金鑰長度為1024). 國內大部份政府機關及金融業使用的加密器大部份還停留在50 TPS, 國外先進國家則多已升級到500 TPS 或 2000 TPS了.
其他詳細資料: http://www.asiapeak.com/hsm.php
密碼運算非常依賴其公式裡的金鑰(Keys), 金鑰的保護與管理才是真正影響資訊安全的最重要因素, 許多企業以軟體來實現密碼運算, 也意味者將金鑰存放在伺服器的硬碟裡, 這如同在沙洲裡建築高樓大廈, 一但硬碟或伺服器被駭, 所有的機密資訊將一覽無遺.
HSM(Hardware Security Module, 或稱硬體安全模組)就是專門針對保護金鑰與密碼運算而設計的一個高安全性的硬體設備. HSM的安全性最常用NIST的FIPS認證來分等級, 例如Tamper-Detection, Tamper-Resistance. (請參考網站http://csrc.nist.gov/cryptval/140-1/140val-all.htm).
HSM的功能除了保護金鑰外, 因為這些加解密運算的演算法非常複雜, 很吃CPU資源, 必須使用專門的運算晶片來執行這些運算, 否則將會非常龜速, 而且其過程中, 金鑰之值才能確保不會在記憶體中顯漏出來. 那到底HSM運算速度要多快呢 ? 因為「非對稱式」的演算法(如RSA)比「對稱式」的演算法要耗時, 所以我們通常以RSA的運算速度來表示, 又因為RSA的金鑰長度可以為512,1024,2048…等, 長度越長, 運算越耗時, 當然也越安全. 目前全球最快的HSM是nCipher公司的產品, 效能達每秒4000個 RSA 運算(4000 TPS, 金鑰長度為1024). 國內大部份政府機關及金融業使用的加密器大部份還停留在50 TPS, 國外先進國家則多已升級到500 TPS 或 2000 TPS了.
其他詳細資料: http://www.asiapeak.com/hsm.php
訂閱:
文章 (Atom)