YubiHSM

Kada koristimo identifikaciju koja je ojačana sa hardverskom tokenom sa dva faktora, hardverski ključ korisnika, je samo prva polovina rješenja zaštite. Svako identifikacijsko rješenje je samo u toj mjeri sigurno, koliki sigurnost pruža poslužitelj sigurnosti. Ako se poslužitelj kompromitira, ugrožavaju se i identifikacijski podaci koji su pohranjeni na poslužitelju.

Yubico zbog zahtjeva za rješenje po pristupačnim cijenama, i zbog sigurnosti ključeva po najviših razina je izradio YubiHSM-a. Ovaj uređaj ima veličinu USB ključa, a cijena mu je samo neznatan dio od jednog poslužiteljskog rješenja. Na USB port poslužitelja se priključuje Hardware Security Module, a  YubiHSM je jedno hardversko sigurnosno rješenje koji je jednostavan za postavljanje, sa kojom možemo zaštititi osjetljive podatke identifikacije. Vrlo brzo može da se integrira sa YubiRADIUS rješenjem,  koji može da pruža još veću razinu sigurnosti usluge za YubiKey identifikaciju.

Uz pomoć YubiHSM –a sa sigurnošću  možemo pohraniti tajne podatke, koji su potrebni za identifikaciju na identifikacijskom poslužitelju. Ne samo da štiti od izvršenih pokušaja daljinskih upada, nego štiti i od unutarnjih prijetnji. Ovaj zadnji slučaj, može da bude i kopiranje sigurnosnog ključa sa strane operatora  sigurnosnih ključeva.

Sa rasprostranjivanjem korištenja USB priključaka ni YubHSM ne zahtijeva nikakve posebne postavke. Instalacija se sastoji samo od toga, da ga priključimo kao za poslužitelja kao što to činimo sa običnom USB memorijom. Zahvaljujući ovom dizajnu u odnosu na tradicionalne Hardware Security Module, ogromna je ušteda energije: njegova potrošnja je manja od 0,2 W. Kod projektiranja jedan od glavnih aspekta je bilo, da ovaj uređaj ne sadržava pokretne dijelove, na taj način eliminirane su greške koji se potiču iz toga.

Osim robusne i učinkovite fizičke strukture YubiHSM pruža visokoučinkovite kriptografske usluge. YubiHSM je sposoban za šifriranje i za provođenje kontroliranja, i za generiranje slučajnih brojeva, koji su rezultati Message Authentication Code –ova,   Hash-ova odnosno kriptografskih kodova. Na unaprijed postavljen način pruža potporu za postavljene tokene  za jednokratne lozinke, ali može da se postavlja na njemu i AES  enkripcija / dekripcija, kontrola HMAC-SHA1 potpisa  sa korištenjem spremljenim ključem na HSM-u.

Uređaj ima vlastiti procesor i unutarnju memoriju. Prilikom kontrole YubiKey lozinke preuzima lozinku za jednokratnu uporabu, a za ključ pridružuje šifrirani ključ, odnosno korištenjem internog procesora dešifrira šifriranu lozinku, i sam izvršava identifikaciju lozinke. Za host računalo predaje samo rezultate identifikacije i ostale prateće informacije, kao što je redni broj identifikacije. Dešifriran ključ i lozinka nikad ne napušta uređaj YubiHSM. To pruža značajan sigurnosni prednost, pošto kod kompromitiranja poslužitelja ključevi su i dalje u sigurnom mjestu – i šifrirani su u 128 –bitnom AES ključevima, sa zaštitom lozinke svih korisnika. Jedan uređaj je pogodan za čuvanje 1000 lozinke.