Thales HSM 제품군 소개

(Luna 7, Protect Server 3)

Technical Overview

조재웅 부장(Jaewoong.Cho@Thalesgroup.com)
Sales Engineer | CPL | DIS

Thales © 2019 All rights reserved Thales Group Internal

 Hardware Security Module

? WHAT ! WHY * HOW

IT IS IT MATTERS TO YOU IT WORKS

2 Thales © 2019 All rights reserved

 규제 준수

데이터 유출과 취약성으로 GDPR, eIDAS, PCI-DSS, HIPAA 등과 같은 규제에 대한

필요성이 증가하고 있습니다.

3 Thales © 2019 All rights reserved

 HSM은 우리가 매일 사용하는 모든 것을 보호합니다.

통신 보안: SSL/TLS, DNSSEC, PKI

Mobile devices: 앱, 모바일 결제 및 기기

ID : 생체 인식, 주민등록증, 여권

블록 체인: 암호 화폐, Smart contracts

문서: 정부, 병원 및 법원 시스템

4 Thales © 2019 All rights reserved

 Luna HSM 7

www.thalesgroup.com
 SafeNet Luna Network HSMs

▌ Network Type HSM

Standard 1U 19" rack mount appliance
4 - Gigabit Ethernet ports with Port Bonding IPv4 and IPv6
10G optical Ethernet option

▌ PCIe Type HSM

Low Profile PCIe card
PCI-Express CEM 3.0, PCI, PCI Express Base 2.0

▌ USB Type HSM

USB Interface

6 Thales © 2019 All rights reserved

 SafeNet Luna Network HSMs

Luna A-series Luna S-Series

(PWD) (PED)

Luna A700 Luna S700

Good Performance:
•Standard Performance •Standard Performance • RSA-2048: 1,000
•2MB Memory •2MB Memory • ECC P256: 2,000
•Partitions: 5 •Partitions: 5 • AES-GCM: 2,000

Luna A750 Luna S750 Performance:

Better •Enterprise Performance •Enterprise Performance • RSA-2048: 5,000
•16MB Memory •16MB Memory • ECC P256: 10,000
•Partitions: 5 •Partitions: 5 • AES-GCM: 10,000
•Max Partitions: 20 •Max Partitions: 20

Luna A790 Luna S790 Performance:

• RSA-2048: 10,000
Best •Maximum Performance
•32MB Memory
•Maximum Performance
•32MB Memory • ECC P256: 20,000
• AES-GCM: 20,000
•Partitions: 10 •Partitions: 10
•Max Partitions: 100 •Max Partitions: 100

7 Thales © 2019 All rights reserved

 Luna 7 – 인증
패스워드 방식

PC

패스워드 기반
Luna A  패스워드를 통한 인증
 암호화 키 접근에 대한 각 파티션별 패스워드
인증 Serial/SSH

PED 방식
PC PED iKeys PED

Luna S PED 기반 USB

 PED를 통한 신뢰할 수있는 경로 인증

 로컬 또는 원격으로 연결 USB

Serial/SSH

8 Thales © 2019 All rights reserved

8
PED 인증

▌ Trusted path interface

▌ key Secret 분리
▌ 이중인증(Two-factor authentication)

LCD screen

Keypad for
data entry

9 Thales © 2019 All rights reserved

 Luna Client

▌ “Luna Client”는 HSM과 통신하기 위한 필수 application입니다.

▌ 모든 타입의 HSM 및 기능을 하나의 인스톨러에서 설치 가능합니다.
network HSM
PED drivers
Backup HSM drivers
USB HSM drivers
PCI drivers
▌ 지원하는 API
PKCS#11
JAVA
Microsoft’s cryptographic APIs (CAPI/CNG)

10 Thales © 2019 All rights reserved

 가상 및 클라우드 환경에서 확장 가능한 보안을 지원하는 멀티 파티션

SafeNet Network HSM은 암호적으로 고립된 파티션으로 분리 될 수 있으며, 각 파티션은 마치 독립 HSM 인 것처럼
작동합니다.

APP1 HSM1

APP2 HSM2 PAR1 Up to 100

Partitions!
PAR2

PAR3
APP3 HSM3

11 Thales © 2019 All rights reserved

 HSM 구조의 개요

Appliance lunash:>
• Admin SSH/Serial
• Operator
• Monitor

HSM
• Security Officer (SO)
• Auditor

Partition(s)
• Partition Security Officer (PO)
• Crypto Officer (CO)
• Crypto User (CU)

12 Thales © 2019 All rights reserved

 Users와 역할에 대한 정의
PED Key 작업 역할 권한 및 책임

HSM Security Officer • HSM 초기화 및 정책 설정

(SO) • 파티션 생성 및 삭제

Partition Security • 파티션 초기화 및 설정

Officer
(PO)

Crypto Officer • 파티션 활성화

(Partition Owner) • 키 생성, signing,
encryption/descryption
(CO)

Remote PED Vector • Secures trusted path to remote PED.

Secure Audit • Audit logs 관리

(AU)

13 Thales © 2019 All rights reserved

 Functionality Module Support

▌ HSM내에서 custom 기능 추가
비 표준 함수 및 모듈 추가 가능

▌ C언어로 작성

▌ SDK는 Linux환경에서 제공

▌ Use cases
Card Personalization
안전한 환경에서 암호 해독 및 재 암호화 수행
맞춤형 루틴 실행 (예 : 비표준 알고리즘)

14 Thales © 2019 All rights reserved

14
 고 가용성
3
Application 서버 대기

2 활성화

▌ 중요한 암호화 응용 프로그램에 확장성 제공

▌ 로드 밸런싱
▌ 객체의 자동 동기화
▌ 장애 극복 모드
▌ 대기 기능

15 Thales © 2019 All rights reserved

15
 모니터링

Syslog 서명, 타임 스탬프 감사 로그

SIEM
Who/What/When/Where
Logging

SNMP HSM 사용 추적

Memory CPU
Usage Usage
16 Thales © 2019 All rights reserved
16
 SafeNet Crypto Command Center

D/C에서 암호화 리소스를 관리하기 위한 공통 REST API

인터페이스
직관적 인 GUI 마법사로 복잡한 HSM 명령을 자동화하고 빠르게 HSM Monitoring &
실행 POST:
Reporting
https://172.16.0.90:8181/CCC-
프라이빗, 퍼블릭 및 하이브리드 클라우드에서 HSM을 REST/admin/serviceTemplate/104/
action/deploy
논리적으로 그룹화하여 환경을 단순화하고 리소스를 관리
간단한 인터페이스로 Crypto as a Service 환경에 암호화
리소스를 배포 할 수 있음
모니터링,보고 및 경고 : 관리자가 용량 계획 결정을 내리고
문제를 해결하며 응용 프로그램 소유자를 신속하게 지원할 수
있도록 지원
Hypervisor =
SafeNet Crypto Command Center + SafeNet Luna Network HSM

17 Thales © 2019 All rights reserved

 SafeNet Luna HSM 7 certifications

Availability Available today Available today

FIPS 140-2 Level 3 Common Criteria

Validated EAL4+
Certification
NITES

Luna HSM A700/750/790 eIDAS Protection Profile to target

SafeNet European Digital Signature market
Luna 7 Luna HSM S700/750/790
Luna HSM A700/750/790
HSMs
Luna HSM S700/750/790

https://csrc.nist.gov/Projects/ https://www.commoncriteriaport
Links Cryptographic-Module- al.org/files/epfiles/CC-20-
Validation- 195307.pdf
Program/Certificate/3205

18 Thales © 2019 All rights reserved

 Thales HSM – 400+ proven integrations

Code Block-
PKI TLS Cloud TDE IoT chain
Signing

19 Thales © 2019 All rights reserved

감사합니다.

Thales © 2019 All rights reserved Thales Group Internal