ENTRUST nShield 5s
暗号の俊敏性を高めた専用PCIeハードウェア・セキュリティ・モジュール(HSM)を使用して、暗号鍵サービスをアプリケーションに提供します。
Entrust nShield 5s HSMs
nShield 5s HSM は、認証局、コード署名などを含む、広範な商用および特注アプリケーションの暗号化、デジタル署名、およびキー生成を実行する PCIe カードです。 包括的な機能と量子暗号の俊敏性により、既存のnShield HSM展開およびAPIと100%の互換性があり、FIPS 140-3レベル3認証*を取得しているため、非常に安全です。
*FIPS 140-3認証を取得、証明書番号4745
モデル
nShield 5s HSM シリーズには、優れた非対称および対称パフォーマンスとクラス最高の楕円曲線暗号(ECC)トランザクション速度を提供する新しい高性能 nShield 5s High が含まれています。
nShield 5s のメリット
強力なアーキテクチャ
当社の Security World アーキテクチャは、nShield HSM を統一的なエコシステムに統合し、スケーラビリティ、負荷分散などを提供。
より多くのデータをより高速で処理
nShield 5s HSM は、企業や小売店や IoT 5Gなど、スループットが非常に重要とされる環境に最適です。
慎重に扱うべきビジネスおよびアプリケーション ロジックの保護
nShield 境界内でコードを実行し、アプリケーションと処理データを保護。
技術仕様
認定取得済みのハードウェアソリューション
Entrust は、nShield HSM 製品に関して広範な種類の認定を取得しています。 これらの認定は、お客様がコンプライアンスを実証する際に役立つほか、nShield HSM が厳格な業界標準を満たしていることを保証する助けとなります。
安全基準および環境基準への準拠
- UL、CE、FCC、カナダ ICES、KC、VCCI、RCM、UKCA RoHS、WEEE、REACH
セキュリティ関連のコンプライアンス
- Dutch NSCIBスキームに基づく、EN 419 221-5プロテクションプロファイルに対するFIPS 140-3レベル3のeIDASおよびコモンクライテリアEAL4 + AVA_VAN.5およびALC_FLR.2認証
- eIDASのEN 419241-2認定リモート署名システムの基盤として導入できます
- 真の決定論的乱数生成のためのBSI AIS 31 に準拠
サポート対象のAPI
- PKCS#11、OpenSSL、Java(JCE)、Microsoft CAPI およびCNG、nCore、および Web サービス
サポート対象の暗号アルゴリズム
- NIST Suite B の完全実装
- 非対称アルゴリズム: RSA、Diffie-Hellman、ECMQV、DSA、El-Gamal、KCDSA、ECDSA(NIST、Brainpool、secp256k1 曲線を含む)、ECDH、Edwards(Ed25519、Ed25519ph)
- 対称アルゴリズム: AES、AES-GCM、Arcfour、ARIA、Camellia、MD5 HMAC、RIPEMD160 HMAC、SEED、SHA-1 HMAC、SHA-224 HMAC、SHA-256 HMAC、SHA-384 HMAC、SHA-512 HMAC、Tiger HMAC、3DES
- ハッシュ/メッセージ ダイジェスト: MD5、SHA-1、SHA-2(224、256、384、512 ビット)、HAS-160、RIPEMD160、SHA-3 (224、256、384、512 ビット)
- 楕円曲線鍵協定(ECKA)は、Java APIおよびnCoreAPIから確認可能
- 楕円曲線統合暗号スキーム(ECIES)は、Java API、PKCS#11、およびnCore APIから確認可能
- 相互認証と鍵生成(3GPP)のための TUAK & MILENAGE アルゴリズムサポート
- nShield Post-Quantum SDK with CodeSafe を使用してサポートされる NIST ショートリストのポスト量子暗号アルゴリズム
サポート対象のプラットフォーム
Red Hat および SUSE からのディストリビューションを含む Windows および Linux オペレーティング システム。
信頼性
Telcordia SR-332「電子機器の信頼度予測手順」のMTBF基準で、摂氏25度の動作温度で計算
- nShield 5s HSM: 1,702,841 時間
| nShield 5s モデル | ベース | ミッド | 高い |
|---|---|---|---|
| NIST 推奨鍵長での RSA 署名パフォーマンス(tps) | |||
| 2048 ビット | 670 | 3,949 | 13,614 |
| 4096 ビット | 135 | 814 | 2,200 |
| 8192 ビット | 19 | 115 | 309 |
| NIST 推奨鍵長での ECC Prime Curve 署名パフォーマンス(tps) | |||
| 256 ビット | 2,085 | 7,553 | 21,826 |
| 521 ビット | 1,010 | 5,977 | 16,164 |
| キー生成(キー/秒) | |||
| RSA 2048 ビット | 7 | 20 | 23 |
| ECDSA P-256 ビット | 1,040 | 3,580 | 3,494 |
| ECDSA P-521 ビット | 518 | 2,480 | 2,724 |
| 鍵管理のパフォーマンス(トランザクション/秒) | |||
| ECDH P-256 ビット | 2,085 | 7,550 | 21,436 |
各 nShield 5s HSM には、ローカルで使用するための外付けスマートカードリーダーが付属しています。
オプションとアクセサリ
性能別のモデルとオプション
お使いのアプリケーションで必要となる性能ニーズを満たすために、nCipher は、仕様タブに示すような各種の nShield 5s モデルを提供しています。 これらの性能別モデルの中からお好みのモデルを選択した後、インフィールド アップグレードを購入することで、低 nShield 5s 性能のモデルから高性能のモデルへとアップグレードできます。
Software Options Pack
Entrust は、nShield HSM と組み合わせて使用できるさまざまなソフトウェア オプション パックを提供しています。
nShieldモニタリング
nShield HSMモニタリングプラットフォームにより、運用チームは、分散データセンターに存在するものを含め、すべてのnShield HSMのステータスを24時間365日可視化することができます。 このソリューションを使用すると、セキュリティチームはハードウェア・セキュリティ・モジュールを効率的に検査し、セキュリティ、構成、または利用の潜在的な問題がミッション クリティカルなインフラストラクチャを侵害する可能性があるかどうかをすぐに見つけることができます。
Remote Administration Kit
nShield Remote Administration を使うと、オペレーターは、各自のオフィスがある場所から、分散している nShield HSM を管理することで、出張回数を減らしコストを削減できるようになります。実施できる管理作業には、アプリケーションの追加、ファームウェアのアップグレード、状態のチェック、リブートなどが含まれます。 Remote Administration Kit には、同ツールのセットアップと利用に必要となるハードウェアとソフトウェア一式が含まれています。
CodeSafe
CodeSafe は、nShield HSM のセキュアな境界内でアプリケーションを実行できるようにする強力でセキュアな環境です。 サンプル アプリケーションには、デジタル メーター、認証エージェント、デジタル署名エージェント、カスタム暗号処理が含まれています。 CodeSafe は、FIPS レベル3認定取得済みのネットワーク接続と PCIe nShield HSM でご利用いただけます。
CipherTools
CipherTools は、チュートリアル、参考文書、サンプル プログラム、追加ライブラリからなるセットです。本ツールキットを使うことで、開発者は、nShield HSM の持つ高度な統合機能をフル活用できるようになります。また、本ツールキットは標準APIのサポートを提供するほか、本ツールキットを使うことで、カスタム アプリケーションを nShield HSM と連携して動作させることが可能となります。CipherTools は、標準の Security World ソフトウェア ISO/DVD に含まれています。
KCDSA のアクティベーション
KCDSA アクティベーションのライセンスを購入すると、Korean Certificate-based Digital Signature Algorithm(KCSDA)をはじめ、nShield HSM で HAS-160、SEED、ARIA の各アルゴリズムを利用できるようになります。
スマート カード リーダー ラックマウント
1 つまたは複数の nShield 5s モジュールを単一の 19 インチラック内に配備している企業向けに、オプションの nShield スマート カード リーダー ラックマウントは、データセンター内のカードリーダーを接続するために実用的なソリューションを提供します。 このラックマウントは、高さが 1U であり、nShield 5s カードで標準となっている最大 4 台までのカードリーダーを搭載できます。 各ユニットは、未使用のスロットを覆うために 3 つの空のプレートで梱包されています。
よくある質問
PCIe HSMとは?
HSMデバイスは、暗号鍵を管理し、暗号化処理を安全に実行するために使用される物理的アプライアンスです。 PCIeとは、デバイスの接続インターフェイスであるPeripheral Component Interconnect Expressの略で、HSMをコンピュータやアプリケーションサーバのマザーボードに高速接続する手法を指します。
PCIe HSMを使用する理由
PCIeインターフェイスを備えたHSMデバイスは、いくつかの有利な機能を提供します。 特徴:
- 安全な鍵の保管 : 暗号鍵を耐タンパ性ハードウェアに保存
- ハイパフォーマンス: ソフトウェアベースのソリューションと比較して暗号処理を高速化
- コンプライアンス: FIPS 140-2 3やPCI DSSなどの規制基準への準拠を支援
nShield 5s HSMとは?
nShield 5s HSM(ハードウェア・セキュリティ・モジュール)は、機密データ、鍵、暗号化操作を保護するために設計された、高性能な認証済み暗号化デバイスです。 規制基準への順守を保証し、さまざまなシステムとの安全な統合をサポートし、クラウド、ハイブリッド、オンプレミス環境を含む柔軟な導入オプションを提供します。
各モデルとも、暗号化、デジタル署名、鍵の生成などの重要なセキュリティ機能をサポートする堅牢な暗号化操作を提供します。 組織は、Base、Mid、High、の中から、運用要件に最も適したnShield 5sを選択できます。 この柔軟性により、セキュリティニーズの進化に合わせて暗号化機能を拡張したりアップグレードしたりすることができます。
HSMはどのように使用できますか?
nShield HSMは、以下のような幅広いユースケースに対して、信頼性の高いデータセキュリティと暗号保護を提供します:
- クラウドコンピューティングおよびコンテナセキュリティ
- 鍵管理
- デジタル署名
- コードサイニング
- 公開鍵インフラストラクチャと証明書管理
- IDと認証
- 決済セキュリティ
- 暗号化、データベースセキュリティ、トークン化
- 特権アクセスとシークレット管理
関連製品
関連資料
Entrust nShield 5sなどのPCIe HSMが、機密情報を保護し、最高レベルの暗号化処理を実行するためにどのように役立つかをご覧ください。