YubiHSM

Ak používame overenie pomocou hardvérových zariadení (tokenov), ochrana hardvéru, kľúča je iba jedna strana riešenia. Každé riešenie na overenie je iba natoľko bezpečné, ako bezpečnosť samotného servera autentifikácie. Pokiaľ bude server ohrozený, skompromitujú sa aj všetky na ňom ukladané identifikačné údaje.

Yubico navrhlo po čoraz rastúcom dopyte po cenovo dostupnom riešení na ochranu kľúčov používateľov YubicoHSM. Toto zariadenie je porovnateľný rozmermi USB kľúča, jeho cena je iba zlomok cien veľkých riešení na úrovni serverov. Hardware Security Module je jednoducho nastaviteľné bezpečnostné riešenie pripojené do USB portu servera. Umožní to poskytovať ochranu pre citlivé overovacie údaje. Podporuje rýchlu možnosť integrovania s riešením YubiRADIUS, poskytujúc vyššiu bezpečnosť overovania YubiKey. Navyše dokáže poskytovať kryptografické služby pre mnoho iných aplikácií.

Pomocou YubiHSM je možné bezpečne skladovať tajné prístupové údaje na autentifikačnom serveri. Poskytuje to ochranu nie len proti vzdialene vykonaným pokusom vniknutiu, ale aj proti interným ohrozeniam, napr. kopírovanie bezpečnostných kľúčov správcami z vnútra.

Vďaka užívanému spojeniu USB ani YubiHSM si nežiada špeciálne nastavenia. Jeho inštalácia má rovnaký priebeh, ako inštalácia USB kľúča: pripojíme k serveru. Oproti tradičným Hardware Security Module riešeniam nám to umožní vysokú úsporu energie: spotreba nižšia, ako 0,2W. Pri projektovaní bol ešte dôležitým bodom to, aby neobsahoval pohyblivé súčiastky, tým sa mohli vylúčiť chyby vyplývajúce z toho.

Popri silnom a efektívnom postavení je YubiHSM účinný aj pri poskytovaní kryptografických služieb. YubiHSM je vhodný na šifrovanie, vykonanie kontrol, pre generovanie Message Authentification Code, hash-ov a kryptograficky tvorených náhodných čísel. Vopred definovaným spôsobom podporuje tokenmi používané jednorazové heslá, ale prináša možnosť nastavenia šifrovania/dešifrovania AES, kontrolu podpisov HMAC-SHA1 pomocou kľúča uloženého na HSM.

Zariadenie je vybavené vlastným procesorom a úložiskom. Pri kontrole hesiel YubiKey preberie jednorazovo použiteľné heslo, tajný kód spojený s kľúčom, pri použití vlastného procesora dešifruje heslo, a samo vykoná autentifikáciu. Pre hostový stroj poskytne len informácie o výsledkoch, o poradovom čísle a iných sprevádzajúcich údajov autentifikácie. Dešifrovaný kľúč, či heslo nikdy neopustí zariadenie YubiHSM. To znamená výraznú výhodu v oblasti bezpečnosti; aj v prípade skompromitovania servera zostávajú kľúče v bezpečí – šifrované 128 bitovým AES kľúčom, chrániac identifikačné údaje všetkých používateľov. Jeden prístroj je vhodný na ukladanie až 1000 identifikátorov.