nCipher nShield Solo HSMs 소개 (엔사이퍼 HSM 솔로)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.19 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



nShield Solo HSMs

nShield Solo HSM (Hardware Security Module)는 개별 서버 및 어플라이언스에서 호스팅되는 응용 프로그램에 암호화 키 서비스를 제공하는 FIPS 인증 PCI-Express 카드 기반 암호화 솔루션입니다.


nShield Solo HSM은 단일 서버 또는 어플라이언스에서 호스팅되는 하나 이상의 응용 프로그램에 암호화 서비스를 제공하는 로우 프로파일 임베디드 PCI-Express 카드입니다. 이 강화된 변조 방지 카드는 암호화, 코드 서명 등을 포함하여 광범위한 상용 및 맞춤형 응용 프로그램을 대신하여 암호화, 디지털 서명 및 키 생성을 수행합니다.


nShield Solo 시리즈에는 nShield Solo+와 새로운 고성능 nShield Solo XC가 포함되어있어 비대칭 및 대칭 성능이 뛰어나며 동급 최강의 타원 곡선 암호화 (ECC) 트랜잭션 속도를 제공합니다.



nShield Solo 시리즈는 독립 실행형 서버에 대한 암호화를 제공하는 PCI-Express 카드입니다.

  • 높은 암호화 트랜잭션 속도와 유연한 확장으로 성능과 가용성을 극대화

  • 암호화, 코드 서명 등을 포함한 다양한 응용 프로그램 지원

  • nShield CodeSafe는 nShield의 보안 실행 환경에서 응용 프로그램을 보호

  • nShield 원격 관리를 통해 비용을 절감하고 출장 인건비를 감소




nCipher Solo HSM의 장점


유연한 아키텍처

모든 nShield HSM은 nCipher의 고유한 Security World 아키텍처와 통합됩니다. 이 입증된 기술을 통해 다양한 nShield HSM 모델을 결합하여 확장성, 원활한 장애 극복 및 로드 밸런싱을 제공하는 통합 된 생태계를 구축 할 수 있습니다.


더 많은 데이터 처리 속도 향상

nShield Solo HSM은 업계에서 가장 높은 암호화 트랜잭션 속도를 지원하므로 처리량이 중요한 기업 소매, IoT 및 기타 환경에 이상적입니다. nShield Solo XC는 최고의 트랜잭션 성능 속도와 호스트 측 가상화 지원 기능을 제공합니다.


독점적인 애플리케이션 및 데이터 보호

nShield Solo HSM은 중요한 키와 데이터를 보호하지 않습니다. 또한 중요한 응용 프로그램을 실행하기위한 안전한 환경을 제공합니다. CodeSafe 옵션을 사용하면 nShield 경계 내에서 코드를 실행하여 응용 프로그램과 프로세스에서 처리하는 데이터를 보호 할 수 있습니다.



인증받은 하드웨어 솔루션

nCipher는 nShield 제품에 대한 광범위한 인증을 받았습니다. 이러한 인증은 고객이 nShield HSM이 엄격한 업계 표준을 준수한다는 확신을 주면서 고객이 규정을 준수하는 데 도움이됩니다.


보안 컴플라이언스 인증

  • FIPS 140-2 레벨 2 및 레벨 3

  • nShield Solo + 모델에 대한 공통 기준 EAL4 + (AVA_VAN.5)

  • QSCD (Qualified Signature Creation Device)로 nShield Solo + 인식



안전 및 환경 표준 준수

  • UL, CE, FCC, C-TICK, 캐나다 ICES

  • RoHS2, WEEE


고성능 트랜잭션 레이트

nShield HSM은 높은 타원 곡선 암호화 (ECC) 및 RSA 트랜잭션 속도를 자랑합니다. 가장 효율적인 암호화 알고리즘 중 하나인 ECC는 소형 센서 또는 모바일 장치에서 실행되는 응용 프로그램과 같이 낮은 전력 소비가 중요한 곳에서 특히 선호됩니다.


 nShield Solo Models

 500+

XC Base 

6000+ 

XC Mid 

XC High 

 NIST 권장 키 길이에 대한 RSA 서명 성능 (tps)

 2048 bit

 150

 430 

 3000 

 3500 

 8600 

 4096 bit

 80

 100 

 500 

 850 

 2025 

 ECC NIST 권장 키 길이에 대한 ECC 프라임 곡선 서명 성능 (tps)

 256 bit

 540

 680 

 2400 

 5500 

 14,400 



API, 암호화 알고리즘 및 OS에 대한 폭 넓은 지원

1. 지원되는 API

  • PKCS # 11, OpenSSL, Java (JCE), Microsoft CAPI 및 CNG


2. 지원되는 암호화 알고리즘

  • 비대칭 공개 키 알고리즘 : RSA, Diffie-Hellman, ECMQV, DSA, KCDSA, ECDSA, ECDH, Edwards (X25519, Ed25519ph)

  • 대칭 알고리즘 : AES, AES-GCM, ARIA, 동백, CAST, RIPEMD160 HMAC, SEED, 트리플 DES

  • 해시 / 메시지 다이제스트 : SHA-1, SHA-2 (224, 256, 384, 512 비트), HAS-160

  • Brainpool 및 커스텀 커브를 포함한 완벽한 라이선스 ECC를 갖춘 Full Suite B 구현


nShield HSM은 표준 기능 세트의 일부로 이러한 암호화 알고리즘의 대부분을 지원합니다. ECC 또는 한국 알고리즘을 사용하려는 조직의 경우 선택적인 활성화 라이센스가 필요합니다.


운영 체제

  • Microsoft Windows 7 x64, 10 x64; Windows Server 2008 R2 x64, 2012 R2 x64, 2016 x64

  • Red Hat Enterprise Linux AS / ES 6 x64, 7 x64; SUSE Enterprise Linux 11 x64 SP2, 12 x64

  • Oracle Solaris 11 (SPARC), Oracle Solaris 11 x64

  • Oracle Enterprise Linux 6.8 x64, 7.1 x64

  • Solo+ : Red Hat Enterprise Linux AS / ES 6 x86; IBM AIX 7.1 (POWER6), HP-UX 11i v3

Solo XC 가상 환경 지원 : Microsoft Windows Hyper-V Server 2016, VMware ESXi 6.5, Citrix XenServer 6.5

 Model

 MTBF (hours)

 Solo XC 726,461

 Solo+

 1,105,978

※ Telcordia SR-332 "전자 장비의 신뢰성 예측 절차 "MTBF 표준을 사용하여 25C 온도에서 계산됩니다.



성능 등급 및 옵션

nCipher는 응용 프로그램의 성능 요구를 충족시키기 위해 사양 탭에 표시된대로 다양한 nShield 솔로 모델을 제공합니다. 표시된 성능 모델 중에서 선택할 수 있으며 저 성능 모델에서 상위 모델로 현장 업그레이드를 구입할 수도 있습니다.


nShield 웹 서비스 옵션 팩

웹 서비스 옵션 팩을 사용하면 응용 프로그램과 nShield 암호화 서비스 간의 간단한 인터페이스를 제공하는 nShield 웹 서비스 암호화 API를 사용할 수 있습니다. 이 API는 클라우드, 데이터 센터 또는 사내 애플리케이션이 클라이언트 측 통합없이 nShield 데이터 보호 솔루션에 액세스 할 수있게합니다.


nShield 모니터

nShield Monitor는 payShield 및 nShield HSM의 상태를 연중 무휴로 파악할 수있는 모니터링 플랫폼입니다. 이 솔루션을 사용하면 보안 팀이 HSM을 효율적으로 검사하여 잠재적 인 보안, 구성 또는 사용 문제가 업무 핵심 인프라를 손상시킬 수 있는지 즉시 확인할 수 있습니다.


원격 관리 키트

nShield 원격 관리를 통해 사업자는 분산 된 nShield HSM (응용 프로그램 추가, 펌웨어 업그레이드, 상태 확인, 재부팅 등)을 관리 할 수 ​​있으므로 출장 비용을 절감 할 수 있습니다. 원격 관리 키트에는 도구를 설치하고 사용하는 데 필요한 하드웨어 및 소프트웨어가 들어 있습니다. 이 키트는 nShield Solo 및 nShield Connect HSM에서 사용할 수 있습니다.



CodeSafe

CodeSafe는 nShield HSM의 보안 경계 내에서 응용 프로그램을 실행할 수있는 강력하고 안전한 환경입니다. 샘플 응용 프로그램에는 디지털 미터, 인증 에이전트, 디지털 서명 에이전트 및 사용자 지정 암호화 프로세스가 포함됩니다. CodeSafe는 FIPS 140-2 Level 3 인증 nShield Solo 및 nShield Connect HSM과 함께 제공됩니다.


CipherTools 개발자 툴킷

CipherTools Developer Toolkit은 자습서, 참조 문서, 샘플 프로그램 및 추가 라이브러리 세트입니다. 이 툴킷을 사용하면 개발자는 nShield HSM의 고급 통합 기능을 최대한 활용할 수 있습니다. 이 툴킷을 사용하면 표준 API에 대한 지원을 제공 할 수 있을 뿐만 아니라 nShield HSM을 사용하여 사용자 정의 응용 프로그램을 실행할 수 있습니다.


데이터베이스 보안 옵션 팩

데이터베이스는 종종 조직의 가장 중요한 데이터를 포함합니다. 고객이 데이터를 보호 할 수 있도록 주요 데이터베이스 공급 업체는 자사 제품에 기본 암호화를 구현했습니다. nShield 데이터베이스 보안 옵션 팩은 Microsoft의 EKM (Extensible Key Management) API에 대한 지원을 추가하여 조직에서 Microsoft SQL Server의 중요한 데이터를 보호하는 키를보다 잘 보호 할 수 있도록 지원합니다.


타임 스탬핑 옵션 팩 (Time Stamping Option Pack)

nShield Solo 500+ HSM과 함께 사용되는 Time Stamping Option Pack 및 Time Stamping Developer 소프트웨어 (선택 사항)를 사용하면 회사에서 문서에 타임 스탬프가 지정된 서명을 안전하게 적용 할 수 있습니다. 이러한 타임 스탬핑 시그니처는 디지털 기록 관리에 높은 보증 무결성을 제공하며 코드 서명, 금융 거래, 법적 서류, 복권 및 게임, 보안 로그, 장기 아카이브 등을 포함한 다양한 응용 프로그램을 지원할 수 있습니다.





Elliptic Curve Cryptography (ECC) 활성화

ECC 활성화 라이센스를 사용하면 nShield HSM에서 EC-DH, EC-DSA 및 EC-MQV를 사용할 수 있습니다.


KCDSA 활성화

KCDSA 활성화 라이센스를 사용하면 한국어 인증서 기반 디지털 서명 알고리즘 (KCSDA)과 HAS-160, SEED 및 ARIA 알고리즘을 nShield HSM에서 사용할 수 있습니다.


스마트 카드 판독기 랙 마운트

19인치 랙에 하나 이상의 nShield Solo 모듈을 배치하는 조직의 경우 nShield 스마트 카드 판독기 랙 마운트 (선택 사양)를 사용하여 카드 판독기를 데이터 센터에 부착 할 수 있는 실용적이고 깔끔한 솔루션을 제공합니다. 랙 마운트 높이는 1U이며 최대 장착 가능 nShield Solo 카드가 기본으로 제공되는 4 개의 스마트 카드 리더 각 장치에는 사용하지 않은 슬롯을 덮을 수 있도록 3 개의 블랭킹 플레이트가 함께 제공됩니다.




nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.


nCipher nShield HSM 문의
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

NCipher nShield Connect HSMs 소개 (엔사이퍼 하드웨어 암호화 모듈)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.18 08:00 / 카테고리 : nCipher HSM (Thales-HSM )


nCipher nShield Connect 하드웨어 보안 모듈 (HSM)은 서버 및 가상 컴퓨터에 분산 된 응용 프로그램에 

암호화 키 서비스를 제공하는 인증된 네트워크 접속형 하드웨어 암호화 모듈입니다.





nShield Connect HSM

nShield Connect HSM은 네트워크를 통해 다양한 응용 프로그램에 암호화 서비스를 제공하는 인증 된 하드웨어 보안 장비입니다. 이러한 강화 된 변조 방지 플랫폼은 암호화, 디지털 서명 및 키 생성 및 보호와 같은 기능을 수행합니다. 포괄적 인 기능을 갖춘이 HSM은 인증 기관, 코드 서명 등을 포함한 광범위한 응용 프로그램을 지원할 수 있습니다.



nShield Connect 시리즈에는 nShield Connect+와 뛰어난 비대칭 및 대칭 성능과 동급 최강의 타원 곡선 암호화 (ECC) 트랜잭션 속도를 제공하는 고성능 nShield Connect XC가 포함되어 있습니다.



유연한 아키텍처

nShield Connect HSM은 nCipher의 고유 한 Security World 아키텍처와 통합됩니다. 이 입증된 HSM 암호화 기술을 사용하면 다양한 nShield HSM 장비 모델을 결합하여 확장성, 원활한 장애 복구 및로드 밸런싱을 제공하는 통합 된 생태계를 구축 할 수 있습니다.


더 많은 데이터 처리 속도 향상

nShield Connect HSM은 업계 최고 수준의 암호화 트랜잭션 속도를 지원하므로 처리량이 중요한 엔터프라이즈, 소매점, IoT 및 기타 환경에 이상적입니다. nShield Connect XC는 가장 높은 트랜잭션 성능 속도를 제공합니다.


독점적인 애플리케이션 및 데이터 보호

nShield Connect HSM은 중요한 키와 데이터를 보호하지 않습니다. 또한 중요한 응용 프로그램을 실행하기위한 안전한 환경을 제공합니다. CodeSafe 옵션을 사용하면 nShield 경계 내에서 코드를 실행하여 응용 프로그램과 프로세스에서 처리하는 데이터를 보호 할 수 있습니다.




공인 하드웨어 솔루션

nCipher eSecurity는 nShield 제품에 대한 광범위한 인증을 획득했습니다. 이러한 인증은 고객이 nShield HSM이 엄격한 업계 표준을 준수한다는 확신을 주면서 컴플라이언스 준수를 위한 도움이 됩니다.


보안 준수 

  • FIPS 140-2 레벨 2 및 레벨 3
  • USGv6 인증
  • nShield Connect + 모델에 대한 공통 기준 EAL4 + (AVA_VAN.5)
  • QSCD (Qualified Signature Creation Device)로 nShield Connect + 인식



안전 및 환경 표준 준수

  • UL, CE, FCC, C-TICK, 캐나다 ICES
  • RoHS2, WEEE

높은 거래율

nShield HSM은 높은 타원 곡선 암호화 (ECC) 및 RSA 트랜잭션 속도를 자랑합니다. 가장 효율적인 암호화 알고리즘 중 하나인 ECC는 소형 센서 또는 모바일 장치에서 실행되는 응용 프로그램과 같이 낮은 전력 소비가 중요한 곳에서 특히 선호됩니다.


 nShield Connect Models

 500+

 XC Base

 1500+

 6000+

 XC Mid

 XC High

 NIST 권장 키 길이에 대한 RSA 서명 성능 (tps)

 2048 bit

 150

 430 

 450 

 3000 

 3500 

 8600 

 4096 bit

 80

 100

 190 

 500 

 850 

 2025 

 ECC NIST 권장 키 길이에 대한 ECC 프라임 곡선 서명 성능 (tps)

 256 bit 540 680  1260  2400  5500 

 14,400 



API, 리눅스 및 OS 지원


지원 API

  • PKCS # 11, OpenSSL, Java (JCE), Microsoft CAPI 및 CNG


지원되는 암호화 알고리즘

  • 비대칭 공개 키 알고리즘 : RSA, Diffie-Hellman, ECMQV, DSA, KCDSA, ECDSA, ECDH, Edwards (X25519, Ed25519ph)

  • 대칭 알고리즘 : AES, AES-GCM, 아리아, 동백, CAST, RIPEMD160 HMAC, SEED, 염소 DES

  • 해시 / 메시지 다이제스트 : SHA-1, SHA-2 (224, 256, 384, 512 비트), HAS-160

  • 풀 스위트 B 솔루션을 사용하는 브랜 풀 및 커스텀 커브

  • nShield HSM은 표준 기능 세트의 모든 기능을 제공합니다. ECC 또는 한국 알고리즘을 사용하여 조직의 선택적 사용을 허가해야합니다.


지원하는 운영체제

  • Microsoft Windows 7 x64, 10 x64; Windows Server 2008 R2 x64, 2012 R2 x64, 2016 x64

  • Red Hat Enterprise Linux AS / ES 6 x64, 6 x86, 7 x64, 5 x64 (libc6.5) (부분 지원); SUSE Enterprise Linux 11 x64 SP2, 12 x64,

  • Oracle Solaris 11 (SPARC), Oracle Solaris 11 x64

  • IBM AIX 7.1 (POWER6, POWER8), HP-UX 11i v3

  • Oracle Enterprise Linux 6.8 x64 및 7.1 x64

※ 가상 환경 지원 : Microsoft Windows Hyper-V Server 2012 R2, 2016, VMware ESXi 6.5, Citrix XenServer 6.5, AIX LPAR


 Model

 MTBF (hours)

 Connect XC

 107,384

 Connect+

 99,284

※ Telcordia SR-332 "전자 장비의 신뢰성 예측 절차" MTBF 표준을 사용하여 25C 작동 온도에서 계산됩니다.



1. 성능 등급 및 옵션

nCipher는 응용 프로그램의 성능 요구를 충족시키기 위해 사양 탭에 표시된대로 다양한 nShield Connect 모델을 제공합니다. 표시된 성능 모델 중에서 선택할 수 있으며 저 성능 모델에서 상위 모델로 현장 업그레이드를 구입할 수도 있습니다.


2. 클라이언트 라이센스

nShield Connect HSM은 각각 IP 주소에 연결할 수있는 세 개의 클라이언트 라이센스와 함께 제공됩니다. 추가 라이센스를 구매할 수 있습니다. 지원되는 클라이언트 라이센스의 최대 수는 nShield Connect 모델에 따라 다음 표와 같습니다.


 Max # Client Licenses per Connect Model

 XC Base/ 500+

 XC Mid/ 1500+

 XC High/ 6000+

 Maximum Client Licenses

 10

 20 

 100 




nShield 웹 서비스 옵션 팩

웹 서비스 옵션 팩을 사용하면 응용 프로그램과 nShield 암호화 서비스 간의 간단한 인터페이스를 제공하는 nShield 웹 서비스 암호화 API를 사용할 수 있습니다. 이 API는 클라우드, 데이터 센터 또는 사내 애플리케이션이 클라이언트 측 통합없이 nShield 데이터 보호 솔루션에 액세스 할 수있게합니다.


nShield 모니터

nShield Monitor는 payShield 및 nShield HSM의 상태를 연중 무휴로 파악할 수있는 모니터링 플랫폼입니다. 이 솔루션을 사용하면 보안 팀이 HSM을 효율적으로 검사하여 잠재적 인 보안, 구성 또는 사용 문제가 업무 핵심 인프라를 손상시킬 수 있는지 즉시 확인할 수 있습니다.


원격 관리 키트

nShield 원격 관리를 통해 사업자는 분산 된 nShield HSM (응용 프로그램 추가, 펌웨어 업그레이드, 상태 확인, 재부팅 등)을 관리 할 수 ​​있으므로 출장을 줄이고 비용을 절감 할 수 있습니다. 원격 관리 키트에는 도구를 설치하고 사용하는 데 필요한 하드웨어 및 소프트웨어가 들어 있습니다. 이 키트는 nShield Solo 및 nShield Connect HSM에서 사용할 수 있습니다.




CodeSafe

CodeSafe는 nShield HSM의 보안 경계 내에서 응용 프로그램을 실행할 수있는 강력하고 안전한 환경입니다. 샘플 응용 프로그램에는 디지털 미터, 인증 에이전트, 디지털 서명 에이전트 및 사용자 지정 암호화 프로세스가 포함됩니다. CodeSafe는 FIPS 140-2 Level 3 인증 nShield Solo 및 nShield Connect HSM과 함께 제공됩니다.


CipherTools 개발자 툴킷

CipherTools Developer Toolkit은 자습서, 참조 문서, 샘플 프로그램 및 추가 라이브러리 세트입니다. 이 툴킷을 사용하면 개발자는 nShield HSM의 고급 통합 기능을 최대한 활용할 수 있습니다. 이 툴킷을 사용하면 표준 API에 대한 지원을 제공 할 수 있을 뿐 아니라 nShield HSM을 사용하여 사용자 정의 응용 프로그램을 실행할 수 있습니다.


데이터베이스 보안 옵션 팩

데이터베이스는 종종 조직의 가장 중요한 데이터를 포함합니다. 고객이 데이터를 보호 할 수 있도록 주요 데이터베이스 공급 업체는 자사 제품에 기본 암호화를 구현했습니다. nShield 데이터베이스 보안 옵션 팩은 Microsoft의 EKM (Extensible Key Management) API에 대한 지원을 추가하여 조직에서 Microsoft SQL Server의 중요한 데이터를 보호하는 키를 보다 잘 보호 할 수 있도록 지원합니다.


토큰

nShield Connect HSM 클라이언트를 강력하게 인증하려는 보안 팀은 nTokens PCIe 카드를 사용하여 하드웨어 기반 호스트 식별 및 검증을 수행 할 수 있습니다.



Elliptic Curve Cryptography (ECC) 활성화

ECC 활성화 라이센스를 사용하면 nShield HSM에서 EC-DH, EC-DSA 및 EC-MQV를 사용할 수 있습니다.


KCDSA 활성화

KCDSA 활성화 라이센스를 사용하면 한국어 인증서 기반 디지털 서명 알고리즘 (KCSDA)과 HAS-160, SEED 및 ARIA 알고리즘을 nShield HSM에서 사용할 수 있습니다.


슬라이드 레일

nCipher는 선택 사양 인 슬라이드 레일을 제공하여 사용자가 nShield Connect를 선반없이 19 "랙에 장착 할 수 있습니다 .nCipher는 다른 제조업체의 부품이 호환되지 않을 수 있으므로 고객이 이러한 슬라이드 레일을 독점적으로 사용할 것을 권장합니다.


키보드

nShield Connect HSM의 많은 기능을 장치 전면의 터치 휠을 사용하여 쉽게 실행할 수 있습니다. nCipher는 선택의 USB 키보드를 제공하여 더욱 편리하게 사용할 수 있습니다.



현장에서 교체 가능한 부품

nShield는 작업자가 현장에서 교체 할 수있는 부품을 가동 중단없이 사용할 수 있도록합니다. 이 부분에는 다음이 포함됩니다.

⊙ 전원 공급 장치 (PSU) - 듀얼, 핫 스왑 전원 공급 장치.

⊙ 교체 팬 트레이 - 이중화, 현장 교체 형 팬.





nCipher의 nShield HSM에 대한 사양 및 구입 문의는 아래의 아이마켓코리아 담당자에게 연락주시면 친절하게 상담해드립니다.


nCipher nShield HSM 문의
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

HSM (하드웨어 보안 모듈), nCihper nShield 제품 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.03.11 08:00 / 카테고리 : nCipher HSM (Thales-HSM )



nCipher nShield 하드웨어 보안 모듈 (HSM)은 암호화 및 서명 키 생성, 디지털 서명 작성, 데이터 암호화 등의 보안 솔루션을 제공합니다.


nCipher nShield 하드웨어 보안 모듈 (HSM)은 보안 암호화 처리, 키 생성 및 보호, 암호화 등을 위해 강화되고 변조 방지 된 환경을 제공합니다. 3개의 FIPS 140-2 인증 폼팩터로 제공되는 nShield HSM은 다양한 배치 시나리오를 지원합니다.




nCipher HSM의 특장점

1. 강력한 아키텍처

모든 nShield HSM은 nCipher의 고유한 Security World 아키텍처와 통합됩니다. 이 입증된 기술을 통해 다양한 nShield HSM 모델을 결합하여 확장성, 원활한 장애 극복 및 로드 밸런싱을 제공하는 통합된 생태계를 구축 할 수 있습니다.


2. 성능 및 다 기능성

nShield HSM을 사용하면 특정 성능 요구 사항을 충족하는데 필요한 것만 구입할 수 있습니다. nShield Connect 및 Solo는 업계 최고의 트랜잭션 속도를 제공하는 다양한 ECC 옵션을 비롯하여 다양한 수준의 성능을 제공하는 세 가지 모델로 제공됩니다.


3. 독점적인 애플리케이션 및 데이터 보호

nShield Connect 및 Solo HSM은 민감한 키와 데이터를 저장하지 않습니다. 또한, 중요한 응용 프로그램을 실행하기 위한 안전한 환경을 제공합니다. CodeSafe 옵션을 사용하면 nShield 경계 내에서 코드를 실행하여 응용 프로그램과 프로세스에서 처리하는 데이터를 보호 할 수 있습니다.



nCipher HSM은 사용 예시

1. 공개 키 인프라

nShield HSM은 루트 및 CA (Certificate Authority) 키를 생성 및 보호하여 다양한 사용처에서 PKI를 지원합니다.


2. 코드 서명

nShield HSM은 응용 프로그램 코드에 서명하여 소프트웨어가 안전하고 변경되지 않고 확실한 상태로 유지되도록합니다.


3. 디지털 인증서

nShield HSM은 IoT 애플리케이션 및 기타 네트워크 배치를 위해 독점적인 디바이스를 인증하고 인증하기 위한 디지털 인증서를 생성합니다.




nShield HSM을 사용하면 다음과 같은 보안 요건을 만족할 수 있습니다.

° 높은 수준의 데이터 보안 및 신뢰 달성

° 중요한 규제 기준 충족 및 초과

° 높은 서비스 수준과 비즈니스 민첩성 유지








nCipher nShield HSM 제품군 소개


사용자의 특정 환경에 맞게 nShield 범용 HSM 제품군에는 다음과 같은 모델이 포함됩니다. 


1. nShield Connect (네트워크 연결형 HSM)

nShield Connect HSM은 애플리케이션에 암호화 서비스를 제공합니다. 서버에 연결하여 네트워크를 통해 배포됩니다. nShield Connect HSM은 다음에서 사용할 수 있습니다. 

※ 2가지의 옵션 사양이 있습니다 : nShield Connect+ HSM 및 nShield Connect XC HSM 



2. nShield Edge (USB 기반 포터블 HSM)

nShield Edge HSM은 편의성과 경제. Edge는 개발자에게 이상적이며 응용 프로그램을 지원합니다.

낮은 볼륨 루트 키 생성(low volume root key generation)등에서 사용됩니다.



3. nShield Solo (어플라이언스 또는 서버에 내장하기위한 PCIe 카드)

nShield Solo HSM은 로우 프로파일 PCI Express 카드 모듈로서 서버 또는 어플라이언스에서 호스팅되는 응용 프로그램에 대한 암호화 서비스를 제공합니다. 

※ 2가지의 옵션 사양이 있습니다 : classic nShield Solo+ HSM 및 고성능 nShield Solo XC HSM 시리즈



nCipher 고객은 PKI (공개 키 인프라), SSL / TLS 암호화 키 보호, 코드 서명, 디지털 서명 및 블록 체인과 같은 다양한 비즈니스 응용 프로그램에서 nShield HSM을 인증 수단으로 사용합니다.


Things of Internet의 성장으로 인해 장치 ID 및 인증서에 대한 수요가 증가함에 따라 nShield HSM은 디지털 인증서를 사용하는 장치 인증과 같은 중요한 보안 조치를 계속 지원할 것입니다.


nShield HSM은 또한 오늘날의 컴팩트 컴퓨팅 환경 및 업계에서 가장 널리 사용되는 운영 체제 및 API에 이상적인 고속 트랜잭션을 제공하는 타원 곡선 암호화 알고리즘을 포함하여 다양한 암호화 알고리즘을 지원합니다.


Microsoft Azure 또는 세 가지 모두. nShield BYOK를 사용하면 키 관리 방법의 보안을 강화하고 키를 보다 강력하게 제어하며 클라우드에서 데이터를 안전하게 유지할 책임을 공유 할 수 있습니다.




nShield BYOK는 다음과 같은 이점을 제공합니다.

° 클라우드에서 중요한 데이터의 보안을 강화하는보다 안전한 키 관리 컴플라이언스

° FIPS 인증 하드웨어로 보호되는 nShield의 highentropy 난수 생성기를 사용하여보다 강력한 키 생성

° 키에 대한보다 강력한 제어 - 자신의 환경에서 자신 만의 nShield HSM을 사용하여 키를 생성하여 클라우드에 안전하게 전송



엄격한 표준에 대한 nCipher의 솔루션은 컴플라이언스를 준수함과 동시에 nShield HSM의 보안 및 무결성에 대한 높은 무결성을 제공하는데 도움이 됩니다



FIPS 140-2

전 세계적으로 인정되는 FIPS 140-2는 암호화 모듈의 보안 성을 검증하는 미국 정부 NIST 표준입니다. 모든 nCipher nShield HSM은 FIPS 140-2 Level 2 및 Level 3 인증을 받았습니다.


공통 기준 및 EIDAS 적합성

nShield Solo+ 및 Connect+ 모델은 EAL (Common Criteria) 4+ 인증을 받았으며 QSCD (Qualified Signature Creation Device)로도 인증을 받았습니다. QSCD로 nShield HSM은 eDAS (European Digital Signature) 및 인증 서비스, 디지털 서명 및 타임 스탬프와 같은 세계적으로 인정받는 솔루션의 보안 백본을 수행합니다.





nCipher nShield HSM 문의
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

[KISA/과기정통부] 암호알고리즘 및 키길이 이용 안내서

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2019.02.28 19:47 / 카테고리 : nCipher HSM (Thales-HSM )



정보보호제품 및 시스템에 암호 알고리즘을 탑재하고 적용하는 경우에는 알고리즘의 종류나 키의 길이들은 해당 시스템의 안전성 수준을 만족할 수 있도록 선택해야 합니다. 이를 위해서 미국, 일본, 유럽 등에서는 암호알고리즘 및 키 길이에 대한 가이드라인을 제시하고 있습니다.


국내에서도 이에 맞춰서, 과학기술정보통신부 및 한국인터넷진흥원(KISA)는 암호알고리즘 및 키 길이 이용안내서를 제작하여 배부하고 있습니다. 해당 가이드라인(안내서)에는 국산 알고리즘 및 외산 알고리즘을 모두 포함하여 보안강도에 따라 선택가능한 암호 알고리즘의 종류와 키 길이, 유효기간을 안내하고 있습니다. 



기업의 보안 담당자 및 정보보호책임자는 이를 숙지하시고, 암호 키를 안전하게 보호할 수 있는 전용 장비인 HSM에 대한 정보도 알아가시기 바랍니다.



아래의 표는 KISA에서 공개한 권고알고리즘으로 미국, 일본, 유럽과, 국내에 알고리즘입니다. 참고해주시기 바랍니다.


 분류

 NIST (미국) 

 CRYPYREC (일본)

 ECRYPT (유럽)

 국내

 대칭키 암호 알고리즘

 AES

 3TDEA

  AES

  Camellia

 AES

 Camellia

 SEED

 HIGHT

 ARIA

 LEA

 해시 함수

 SHA-224

 SHA-256

 SHA-384

 SHA-512/224

 SHA-512/256

 SHA3-224

 SHA3-256

 SHA3-384

 SHA3-512

 SHA-256

 SHA-384

 SHA-512

 SHA-256

 SHA-384

 SHA-512

 SHA-512/256

 SHA3-384

 SHA3-512

 SHA3-shake128

 SHA3-shake256

 Whirlpool-512

 BLAKE-256

 BLAKE-384

 BLAKE-512

 SHA-224

 SHA-256

 SHA-384

 SHA-512

 SHA-512/224

 SHA-512/256

 SHA3-224

 SHA3-256

 SHA3-384

 SHA3-512

 LSH-224

 LSH-256

 LSH-512

 LSH-512-224

 LSH-512-256

 공개키 암호 알고리즘

 키 공유용

 DH

 ECDH

 MQV

 ECMQV

 DH

 ECDH

 ECIES-KEM

 PSEC-KEM

 RSA-KEM

 DH

 ECDH

 암/복호화 용

 RSA

 RSA-OAEP

 RSA-OAEP

 RSAES

 공개키 암호 알고리즘

 전자 서명용

 RSA

 DSA

 ECDSA

 RSA-PSS

 RSASSA-PKCS1 (v1.5)

 DSA

 ECDSA

 RSA-PSS

 ISO-9796-2RSA-DS2

 PV Signatures

 Schnorr

 ECSchnorr

 KDSA

 ECKDSA

 XMSS

 RSA-PSS

 KCDSA

 ECDSA

 EC-KCDSA

※ 해당 표에서는 국내외 암호 연구기관에서 발간하는 보고서에서 다루어지는 대표적인 암호 알고리즘을 언급하였습니다.


  • 국내 : 국내 암호 알고리즘은 검증대상보호함수(IT보안인증사무국) 국내 표준들을 기반으로 구성하며, 그외의 암호 알고리즘을 사용할 경우에는, 국외 권고안을 참고하길 권장합니다.

  • 3TDEA : 세개의 키가 다른 TDEA (Triple Data Encryption Algorithm)

  • SHA-3 shake128/256 : 가변적 출력 값을 가지며, 안전성이 최대 128/256bit인 SHA-3 일종

  • KDSA/ECKDSA : ISO/IEC 14888-3 표준에 있는 KCDSA, EC-KCDSA를 KDSA, ECKDSA로 표기



암호 알고리즘 및 키 길이 선택 기준

암호 알고리즘 및 키길의 선택 시에 암호 알고리즘의 안전성 유지기간과 보안강도별 암호 알고리즘 키 길이 비교표, 암호키의 사용 유효기간을 기반으로 암호 알고리즘 및 키 길이를 선택하도록 권장합니다. 


1. 보안강도별 암호 알고리즘 비교

 보안강도

 대칭키 암호 알고리즘

 (보안강도)

 해시함수 

 (보안강도)

 공개키 암호 알고리즘 

 암호 알고리즘 안전성 유지기간

(년도)

 인수분해

 (비트)

 이산대수 

 타원곡선암호

 (비트) 

 공개키 

 (비트)

 개인키

 (비트)

112비트

 112

112

2048 

2048 

224 

224 

2011년에서

2030년까지 

128비트

128 

128 

3072 

3072 

256 

256 

 2030년 이후

192비트

192

192

7680

7680 

384 

384 

256비트

 256

 256 

15360 

15360 

512 

512 



2. 암호키 사용 유효기간

암호 알고리즘 키 사용 유효기간이란 암호키를 사용할 수 있는 기간을 말합니다. 즉, 암호 알고리즘에 사용되는 키의 사용 유효기간은 송신자가 암호키를 사용하는 기간(예, 암호화 과정)과 수신자가 받은 메시지와 관련된 암호키를 사용하는 (예, 복호화 과정) 기간을 포함합니다. 아래의 표에서는 NIST의 키 관리 권고안을 기반으로 암호키의 사용 유효기간을 제시합니다. 


 키 종류

 사용 유효기간

 송신자 사용기간

 수신자 사용기간

 대칭키 암호 알고리즘

 비밀키

 최대 2년

 최대 5년

 공개키 암호 알고리즘

 암호화 공개키

 최대 2년

 

 복호화 공개키

 최대 2년

 

 검증용 공개키

 최대 2년

 

 서명용 공개키

 최대 2년

 

[암호키 사용 유효기간 (NIST 권고안)]




3. 암호 알고리즘 및 키 길이 이용 안내서 활용 예

▣ 주민등록번호 및 계좌정보 등 금융정보를 저장하는 경우

금융정보를 안전하게 암호화하기 위해서 다음과 같은 방법으로 암호 알고리즘을 선택하여 적용할 수 있습니다. 


1. 현재 2018년 기준으로 안전하게 사용할 수 있는 보안강도 (비트) 확인

   -> 보안강도 : 112비트 이상

2. 주민등록번호 및 계좌정보 암호화에 필요한 안전한 암호 알고리즘이란 데이터 암복호화가 가능한 양방향 암호 알고리즘인 대칭키 암호알고리즘이므로 보안강도 112비트 이상을 제공하는 알고리즘을 확인

   -> AES, SEED, HIGHT, LEA 등이 존재

   -> 국내 암호 알고리즘을 고려한다면 SEED, HIGHT, ARIA, LEA 선택 가능

3. 암호키 사용 유효기간 표를 참조하여 사용 유효기간을 설정 (NIST 권고)

   -> 송신자용 암/복호화 비밀키 : 최대 2년

   -> 수신자용 암/복호화 비밀키 : 최대 5년


  • 주민등록번호 및 계좌정보 등 금융정보 암호화를 위해서는 보안강도 112비트 이상을 제공하는 대칭키 알고리즘들 중, 국내 암호 알고리즘을 사용한다면 SEED, HIGHT, ARIA, LEA 암호 알고리즘 등 선택하여 적용
  • 비밀키 유효기간은 송신자용 최대 2년, 수신자용 최대 5년으로 설정하기를 권장




▣ 비밀번호를 저장하는 경우

비밀번호 정보를 안전하게 암호화하기 위해서 다음과 같은 방법으로 암호 알고리즘을 선택하여 적용할 수 있다.


1. 현재 2018년 기준으로 안전하게 사용할 수 있는 보안강도(비트) 확인

   -> 보안강도 : 112비트 이상

2. 비밀번호 정보 암호화에 필요한 일방향 암호 알고리즘은 단순해시/전자서명용 해시함수이므로 보안강도 112비트 이상을 제공하는 알고리즘을 확인

   -> SHA-224, SHA-256, SHA-384, SHA-512 등이 존재하며, 이중에서 선택 가능




KISA와 과학기술정보통신부에서 권고하는 암호알고리즘 및 키길이 기준을 충족하기 위해서는 이에 맞는 암호 알고리즘 보안 솔루션을 사용해야 합니다. 


암호키 관리 솔루션으로는 nCipher HSM이 있으며, 데이터를 안전하게 암호화 하기 위한 강력한 비트의 암호화 솔루션에는 Thales Vormetric의 Data Security 제품군이 있습니다. 


[nCipher nShield Connect XC]


  • nCipher HSM은 암호키를 생성하고 저장하는 역할을 하는 암호화 전용 장비

  • 인증, 서명, 암호화 등 다양한 분야에서 암호 키를 관리하는 역할을 담당

  • 하드웨어 기반의 암호화 연산을 수행 (키 생성, 전자서명, 키저장 및 백업)

  • 물리적으로 완벽하게 독립된 공간에 암호화 키를 저장하기 때문에 해킹에도 안전

  • FIPS 140-2 Level 3 및 CC EAL 4+ 등의 인증을 받은 안전한 HSM.





[Vormetric Data Security]


  • Vormetric Transparent Encryption은 커널 레벨 파일 단위의 암호화 방식을 지원 (운영체제 암호화 방식)

  • 강력한 상용 알고리즘인 3DES, AES 128/256, ARIA 128/256 지원

  • 국가사이버안전센터 암호모듈 검증필 모듈 탑재

  • 대부분의 상용 운영체제 지원 (AIX, HP-UX, Solaris, Windows, Red Hat, SLES, Ubuntu, Cloud)

  • 비정형데이터, 로그 파일 이미지 파일 등의 파일 암호화 지원 (다수의 구축 사례 확보)

  • 구축 및 유지 보수를 위한 특수한 인력 불필요. 3~5일 정도의 시간에 구축 가능

  • 보안 솔루션 구축 후, DBMS 혹은 Application의 환경변화가 발생하지 않음




nCipher nShield HSM 문의
(주) 아이마켓코리아

김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090





Vormetric 암호화 솔루션 문의
(주) 아이마켓코리아

윤 용 비

대리 │ IT 솔루션 영업팀

TEL 02-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2018.11.19 10:28 / 카테고리 : nCipher HSM (Thales-HSM )


블록체인 보안 완벽하다더니.. 2000만 달러 피해, 보안 솔루션 탈레스HSM





블록체인을 무력화하는 '51% 공격'으로 올해만 2000만달러(227억원)가량 피해가 발생했습니다. 그 동안 블록체인은 보안이 완벽하다고 알려져 있던 기술이었기 때문에 이번 소식은 큰 충격을 주고 있습니다.





해커의 블록체인 무력화 '51% 공격'으로 인해 1950만달러가 탈취되었을 정도로 현재 암호화폐 보안은 매우 불안한 상황입니다. 공격을 받은 일부 거래소는 해당 코인 거래를 정지하였고 고객들의 불안함은 점점 커져갑니다.


아이마켓코리아에서 제공하는 탈레스HSM은 암호연산을 제공하는 강력한 하드웨어 암호화 모듈로써 암호화 키를 안전하게 보관할 수 있습니다. 뿐만 아니라 저장, 관리가 가능하고 다중으로 보안사항을 적용할 수 있습니다.





탈레스HSM은 미국방성기술표준(NIST)의 FIPS의 암호화 모듈에 대한 보안 요구사항 140-2에서 Level 2 & 3을 인증 받아 보안의 우수성을 입증했습니다.





탈레스HSM은 암호화 키를 물리적으로 별도의 보관소에 저장 및 생성부터 폐기까지 관리하기 때문에 더욱 안전합니다.





또한 외부뿐만 아니라 내부에서도 강력한 보안이 적용됩니다. 내부에서 생성된 키는 관리자 조차 유출할 수 없습니다. 애플리케이션이 암호화 키에 직접 접근하지 않으며, 복호화 된 키는 HSM 외부로 노출되지 않습니다.

시스템 구축 단계에서부터 망 분리, 백업 등 2중 3중보안이 적용되어 더욱 안전하게 보호할 수 있습니다. 탈레스HSM은 호스트 서버의 암호연산 부하를 경감시킬 수 있다는 장점이 있으며, 이에 따라 서버가용성을 높일 수 있습니다.





탈레스HSM를 사용해야 하는 이유는 아래와 같습니다.



· 비대칭 형 암호연산에 사용되는 개인 키를 하드웨어 보안 처리하고 안전하게 관리합니다.

· HSM에서 생성되는 키는 HSM 밖으로 복호화 된 상태로 노출되지 않습니다.

· 키 관리 매커니즘을 통해 키 생성, 사용, 백업, 파기까지 생명주기 전반에 걸쳐서 안전하고 편리하게 관리합니다.

· 디지털 키에 대한 무결성이 보장 됩니다.

· 키 관리의 어려움에 대비하여 중앙집중적인 관리를 합니다

· 내부자에 의한 키 탈취 취약점을 해결할 수 있는 관리 장치가 마련되어 있습니다.

 




탈레스HSM은 고객의 서버 환경에 따라 네트워크 접속형인 nShield Connect 제품과 서버 내장형 방식의 nShield Solo 제품군으로 나뉩니다. 




Thales nShield Connect Model (접속형)


구분

nShield Connect 500+

nShield Connect 1500+

nShield Connect 6000+

초당 RSA 

서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 1500TPS

 RSA 2048bit 최대 500TPS

 RSA 4096bit 최대 165TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 물리적: Windows, Linux, Solaris, IBM AIX, HP-UX

 가상환경: VMware, Hyper-V, AIX LPARs를 포함하는 다양한 VM 소프트웨어 벤더 지원

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 

및 업그레이드

가능성

 최대 100개의 클라이언트

 Thales nShield Solo(PCI/PCle), nShield Edge, netHSM과 호환

 소프트웨어 업그레이드 기능

통신방식

 TCP/IP 통신 기반의 Gigabit Ethernet Interface







구분

 nShield Solo 500+

 nShield Solo 6000+

초당 RSA 서명 건수

 RSA 1024bit 최대 500TPS

 RSA 2048bit 최대 150TPS

 RSA 4096bit 최대 65TPS

 RSA 1024bit 최대 6000TPS

 RSA 2048bit 최대 3000TPS

 RSA 4096bit 최대 500TPS

지원 운영체제

 Windows, Linux, Solaris, IBM AIX, HP-UX

지원 API

 PKCS#11, JAVA(JCE), OpenSSL, Microsoft CAPI 및 CNG

 nCore(개발자용 low-level Thales 인터페이스)

확장성, 호환성 및

업그레이드 가능성

 Thales nShield Connect, nShield Edge, netHSM 500및 2000과 호환

 소프트웨어 업그레이드 기능

통신방식

 PCI Express





탈레스HSM의 기대효과

· 개인정보 관련 법규 만족 및 개인정보보호 쳬계 강화

· 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

· 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

· DB 암호화를 통한 개인정보보호법 및 관련 법률의 Compliance 대응력 향상

· 고객 정보보호로 인한 고객사 이미지 제고 신뢰도 향상

· 내부직원을 통한 보안사고에 대한 대비

 



국내 최초로 하드웨어를 통한 키 관리로 완벽하게 데이터 보호할 수 있는 탈레스HSM 제품은 아래의 아이마켓코리아 담당자에게 문의 주시면 더욱 상세하게 안내 받으실 수 있습니다.





(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

DB암호화의 핵심, 암호화 키 관리 솔루션 Thales HSM

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.20 18:38 / 카테고리 : nCipher HSM (Thales-HSM )


2016년의 중요 화두, DB암호화

개인정보보호법 시행령 개정안에 의거하여, 모든 사업자는 예외 없이 고유식별번호를 암호화 해야 합니다. 특히 국내 시중은행과 같이 민감하고 방대한 고객의 데이터를 보유하고 있는 경우에는 더욱 더 DB암호화는 중요합니다. 


국내 메이저 1금융권에서도 주민등록번호화 같은 고유 데이터 조차 DB가 어디에 있는지, 누가 언제 접근했고 어떤 경 로로 접근하였는지의 로그 기록조차 남아 있지 않는 경우가 대부분 이였습니다.


이러한 어려움도 있지만 이 많은 양의 데이터를 암호화하는데 걸리는 부하와 복잡한 과정도 큰 난관입니다. 그리고 안전하게 암호화를 마쳤다면 안전하게 DB를 보호하기 위해서 가장 중요한 것은 바로 암호화 키에 대한 관리 입니다. 



강력한 암호화 알고리즘 보다 중요한 암호화 키 관리

상용화 알고리즘은 매우 강력하지만, DB암호화 키가 유출되면 복호화 하는 것은 시간문제 입니다. 강력한 금고가 DB암호화 알고리즘이라면 DB암호화 키는 금고의 열쇠입니다. 일반적인 사람들은 금고 열쇠를 금고 가까이에 두지 않습니다. 물리적으로 안전한 곳에 아무도 모르게 가지고 있는 경우가 일반적입니다.


DB암호화 키도 마찬가지입니다. 암호화 키를 안전하게 보호하기 위해서는 물리적으로 같은 서버 상이 아닌 물리적으로 다른 하드웨어에 저장되고 관리되어야 합니다. 이를 위한 장비가 바로 하드웨어암호화 모듈(HSM)입니다. 하드웨어 암호화모듈은 암호화 키를 완벽하게 물리적으로 분리하고 철저하게 권한을 부여하여 관리합니다.  서버에 악성코드가 침입하고 해킹이 일어나도 암호화 키가 하드웨어암호화 모듈에 저장되어 있다면 공격자는 암호화 키를 절대 찾을 수가 없게 됩니다. 



Thales nShield HSM 제품은 서버의 리소스를 경감하면서 암호화 키의 생성 및 보관, 관리까지 물리적으로 완벽하게 제어가 가능한 HSM 입니다. 고성능 접근이 가능한 PCIe 제품 부터 네트워크 연결형 제품, 지불결제 전용 모듈까지 종류도 다양합니다. 



1. Thales HSM 기본 구성도


※ Thales HSM과 완벽 호환되는 DB암호화 솔루션을 보유하고 있으며, 통합하여 제공이 가능합니다.



2. 특장점

   - 검증된 Thales HSM을 통하여 서버 및 운영체제와 별도로 암호화 키 관리를 보호

   - HSM 암호화 키 관리 및 Thales DB암호화 솔루션의 이중화 지원으로 안전하고 안정적인 운영 지원




   - Thales HSM의 암호화 키 정책은 DB 서버에 암호화 키와 통제정책을 일체 저장하지 않고 HSM 장비와 정책서버에 저장되어 안전하게 보호됩니다. 또한, 정책서버에 등록된 암호화 API만 암호화가 수행되도록 통제하여 암호화 키는 AP 서버의 메모리에 저장되어 사용됩니다.


   - 암호 키 생성 시 암호화 키의 사용기간 및 유효기간을 설정하여 암호화 키 라이프 사이클 관리를 지원합니다. 발급된 키는 암호화 가능, 복호화 가능, 사용기간 만료, 폐기로 구분하여 관리가 가능합니다.



  - DB 암호화 적용 시에 컬럼 사이즈 증가 및 신규 컬럼의 추가가 없이 DB 암호화 적용 후에도 데이터 사이즈의 증가가 없습니다. 단, 정원 표준 암호화 알고리즘으로 암호화 시에 적용되며 숫자 데이터의 경우만 해당됩니다.



   - 암호화된 로컬 정책을 암호화 수행 서버(API, Plug-In)로 동기화하여 정책서버 장애와 관계없이 무중단 암복호화 수행 (자사 특허)





3. 솔루션 구축 적용 및 운영에 대한 효과

- 일관되고 통일된 DB암호화 보안 정책 적용

- 암복호화 키의 안정성 확보를 위해 HSM의 이중화 구성

- HSM을 통한 안정적인 암호화 키의 생성 및 폐기

- 암복호화 키 관리 체계 구축 지원 → 안전한 암호화 키의 Life-Cycle 관리체계 구축

- 암복호화 권한 관리 및 통제 체계 구축

- 암복호화 운영 관리체계 구축



4. 기대효과

- 개인정보 관련 법규 만족 및 개인정보보호 체계 강화

- 암호화를 통한 기밀성, 무결성, 가용성 확보를 통한 안전성 증대

- 내부 및 외부 공격에 대한 중요 데이터 유출 위험 방지

- DB 암호화를 통한 개인정보보호법 및 관련 법률의 컴플라이언스 대응력 향상

- 고객 정보보호로 인한 고객社 이미지 제고 신뢰도 향상

- 내부 직원을 통한 보안사고에 대한 대비





5. DB암호화 지원 알고리즘

암호화 알고리즘 (양방향, 대칭키) 

 HASH 알고리즘 (단방향)

 - SEED, AES, DES, TDES, RC2, RC4, RC5, Blowfish, CAST128, ARIA 등 국내외 표준 알고리즘 모두 지원

 - SHA1 (160Bit), SHA2 (224,256,384,512 Bit), MDS, HAS160, RIPEMD 160 등 국내외 표준 알고리즘 모두 지원




6. 솔루션 구성방식

   - API, Plugin, Hybrid (API + Plugin)





7. 지원 운영체계

 구성요소

지원환경 

지원환경

 API 방식

 API

 ◑ ASP, ASP.net, C, C++, JAVA, PHP, Stores PRocedure

 Service Server

(Daemon)

 ◑ Solaris 2.6 이상, AIX 4.3 이상, HP 11.0 이상, HP-ia(Itanium) 11.23 이상

 DBMS

 ◑ 모든 DBMS 지원

 Plug-In 방식

 Service Server

(Daemon)

 ◑ DBMS 운영체계

 - Solaris 2.6 이상, AIX 4.3 이상, HP 11.0 이상, HP-ia(Itanium) 11.23 이상

 - Linux Kernel 2.4 이상, Win 2000 Server 이상, Solaris x86 2.9 이상

 DBMS

 ◑ Oracle, MS-SQL, DB2, Sybase, Tibero 등 대부분 사용 DBMS 지원

 Manager

 ◑ Windows 98, Me, 2000, XP, 2003, Vista, Windows7 등

 Migrator

 ◑ 사용자 환경 : Windows 98, ME, 2000, XP, 2003, Vista, Windows 7 등

 ◑ DBMS O/S : 모든 OS 지원



Thales HSM 및 DB암호화 솔루션 제품 문의는 아래의 담당자에게 이메일로 연락주시면 빠르게 답변해드리겠습니다. 감사합니다.




| 제품 구입 및 견적문의 |
(주) 아이마켓코리아

윤 용 비

대리 │ IT 솔루션 영업팀

TEL +82-2-3708-8365
E-mail : security.yun@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



HSM, Thales HSM, DB암호화, 암호화 키 관리, DBMS, Plug-in, 하드웨어암호화모듈, Database, Hardware Security Module, WAS Server, 컬럼 암호화, 테이블 암호화, 어플라이언스, 정보보안, 정보보호, 어플라이언스, nShield, nCipher, nShield solo, nShield connect

Trackbacks 0 / Comments 0

SSL보안 (Secure Sockets Layer), 안전하게 구축하는 방법

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.05.12 14:51 / 카테고리 : nCipher HSM (Thales-HSM )



2014년도에 미국 시장조사업체인 가트너에서는 2017년에 사이버 공격의 50% 이상은 접속보안층인 SSL(Secure Sockets Layer)로 암호화된 네트워크 트래픽을 통해서 해킹 공격이 이루어질 것으로 전망하고 있습니다.


글로벌 인터넷 사업자 들은 개인정보보호와 웹서비스 속도 향상, 트랜잭션 안정성 등 여러가지 목적을 위해서 SSL 프로토콜을 의무화 하는 등 암호화 트래픽 확산을 주도하고 있습니다. SSL 암호화 방식은 주요 검색서비스, 포털서비스, 소셜네트워크, 은행, 증권, 게임 사이트 등 개인정보와 자산이 관리되는 웹서비스에 사용되고 있습니다.

국내에서도 SSL 프로토콜의 도입이 사이버 공격으로부터 든든한 방어막 역할을 할 것이라고 생각하여 정보통신망법 개정 등 법안에 SSL 보안서버 도입을 의무화, 확대하였습니다. 하지만, 정작 SSL에 통신에 사용되는 인증 키 관리에 대한 보안을 취약한 곳이 많습니다. 


SSL 프로토콜이 안전하다고 하여도 결국에는 SSL 인증서의 마스터 키가 탈취 당하거나 위변조 된다면, SSL 프로토콜의 무결성과 안정성을 신뢰할 수 없게 됩니다.




SSL 공격 원리와 방어 방법

SSL을 사용하여 보안 마스터 키와 거기에 결부 통신을 위협하는 조직의 신원을 증명하는 SSL 인증서에 의존하고 개별 세션에 대해 고유한 암호화 키를 얻을 수 있습니다. 


다른 암호화 키뿐만 아니라 SSL 마스터 키를 보호해야 합니다. SSL 키를 훔친 공격자는 실제 사이트 행세를하고 트래픽을 읽을 수 있습니다. SSL 솔루션의 보안 키의 보안에 직접 관계하기 때문에 높은 보증을 필요로하는 기업과 정부기관은 SSL 키와 SSL 연결 프로세스를 보호하기 위해 추가적인 조치를 필요로 하는 경우가 있습니다. 




높은 수준의 보안성을 취득하기 위한 효과적인 방법은 하드웨어 보안 모듈 (HSM)에서 SSL 암호화 키를 보호하는 것입니다. HSM과 같은 전용 암호화 하드웨어는 물리적인 방식(하드웨어 방식)으로 안전한 저장소에 SSL 인증키를 분리시켜서 저장하고 관리할 뿐만 아니라, 웹 서버와 호스트의 암호화 처리 부하를 줄이고 성능을 크게 향상시키는 동시에 CPU 오버 헤드를 줄일 수 있습니다.





SSL 인증 키 보호, Thales nShield HSM 

Thales e-Security 제품 및 서비스 보증이 높은 고성능 SSL 암호화를 도입하여 기업과 고객의 정보를 보호하면서 중요한 웹 응용 프로그램이 필요로하는 성능을 실현하는데 도움이 됩니다. nShield HSM은 다음과 같은 여러 가지 방법으로 SSL 구현 가치를 높입니다.



FIPS 140-2 레벨 3 및 공통 평가 기준 EAL4 + 인증을 받은 HSM 장비로써, SSL 암호화 / 복호화 프로세스의 무결성을 보장합니다. 

• 업무 분리를 실현하는 변조 방지 키 생성 기능과 키 관리 기능의 사용을 통해 준수보고를 용이하게 합니다.

암호화 오프로드를 통한 고 가용성 및 서버 성능의 향상을 실현합니다.

• 소량 또는 대량 통신 두 응용 프로그램에 대해서도 비용 효율적인 솔루션을 배포합니다. 속도와 제품 형상을 선택할 수있는 장점을 살려 요구에 맞는 정말 필요한 솔루션 만을 도입하는 경우에도 쉽게 업그레이드 할 수 있습니다.




SSL 마스터키 보호를 위한 솔루션, Thales HSM 

Thales e-Security는 Thales의 보안을 담당하는 사업부로써 Thales 그룹은 전세계 68,000여명의 직원과 50여 나라에 자회사를 보유한 글로벌 회사입니다. 신뢰를 최우선으로 하는 오랜 국방 관련 사업 경험을 바탕으로 군, 정부, 일반기업에 이르기까지 정보 시스템 보안 시장을 위한 최고의 기술을 자랑합니다.


Thales HSM은 글로벌 PHSM 시장의 70%, GPHSM은 40%의 점유율을 차지하고 있습니다. 

소프트웨어 기반의 운영 시스템은 많은 보안 문제점을 내포하고 있습니다. 안전하게 시스템을 운영하기 위한 철저한 보안을 위해서는 하드웨어 기반으로 시스템을 구축하는 것이 중요합니다.


 논리적 공격 

 물리적 공격

 - 악성코드 (트로이 목마 등)

 - 해커는 네트워크 상에서 정보 접근이 가능

 - 복호화 된 데이터는 메모리 상에서 탈취

 - 직원의 중요 정보 복사

 - 직원이 시스템에 백도어 프로그램 설치

 - 시스템 메모리는 절대 안전하지 않음

 - Cold Boot 공격으로 전문적인 소프트웨어

   (파일 디스크 암호화 등) 조차도 안전하지 않음.




절대로 중요하기 관리되어야 하는 암호화 키, 중요한 실행코드, 매우 민감한 데이터는 운영 시스템에서 처리하지 않아야 합니다.


Thales nShield HSM으로 개선

- 암호화 및 복호화는 HSM 내부에서 실행하게 합니다.

- SSL 세션은 HSM 내부에서 처리하도록 합니다.

- 인증 로직과 같은 중요 로직을 HSM 내부에서 처리합니다.


Thales HSM 의 종류 (내장형, 외장형)


 


 


 Model

 nShield Solo

 (500, 6000)

 nShield Connect 

 (500, 1500, 6000)

 인터페이스

 PCI, PCI Express

 2x 1 Gbit Ethernet

 Default Client 라이센스

 1

 3 

 최대 클라이언트 지원

 1

 500 Model : 10

 1500 Model : 20

 6000 Model : 100 

 PSU 및 Fan 이중화

 N/A

 2 (Hot-Swappable) 

 성능 TPS (RSA 1,024/2,048 서명 기준)

PCIe: 500/82, 6000/3000

 500/82, 1500/500, 6000/3000

 인증

 FIPS140-2 Level 2 or 3, Common Criteria EAL 4+

 FIPS140-2 Level 3, Common Criteria EAL 4+

SEE 지원 (Secure Execution Engine)

 FIPS Level 3 장비에만 적용 가능하며 중요한 알고리즘, 소스 코드 및 비즈니스 로직 등의 보호

 Load-balancing 및 Fail-over O – 모델에 상관없이 상호 지원



[nShield 제품군의 FIPS 140-2 인증서]


Thales nShield HSM Series는 FIPS-140-2 인증을 받은 제품입니다.


SSL 인증 키를 안전하게 보호하기 위한 하드웨어 보안 솔루션, Thales nShield HSM에 대한 문의는 아이마켓코리아 IT솔루션 담당자에게 연락주시면 컨설팅과 견적 상담을 해드립니다. 


(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀
TEL +82-2-3708-8254
Mobile : +82-10-4516-4593
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



SSL보안, Secure Sockets Layer, FIPS 140-2, PCIe, nShield, nCipher, SSL 암호화, DB보안, 서버보안, 오라클 TDE, HSM, 하드웨어암호화모듈, Hardware Security Module, GPHSM, 보안솔루션, 보안어플라이언스, SSL 마스터키, 암호화 키 관리, 암호화 키

Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/03   »
          1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31            

방문자 통계

  • 전체 : 327,827
  • 오늘 : 11
  • 어제 : 272
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 김규일 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.