Académique Documents
Professionnel Documents
Culture Documents
Servidor HSM
El Sistema CryptosecBanking es una adaptación de CryptosecLan al mundo bancario. Esta adaptación se ha llevado
a cabo a través del desarrollo de un conjunto firmware y software específicos.
Especificaciones Técnicas
Sistema HSM
Sistema Servidor
Capacidades Criptográficas
• Cifrado de clave simétrica: DES simple, triple DES de doble longitud de clave, triple DES de triple longitud
de clave; SAFER en 64 y 128 bit y en modos K y SK; y ambos en los modos: ECB, CBC, CFB-64 y OFC-
64.
• Funciones Hash: MD5, SHA-1, RIPEMD en 128 y 160 bit.
• Estándar de clave pública RSA con longitud de clave de hasta 4.096 bit.
• Generación de claves a través de un generador de números aleatorios, según lo especificado en FIPS 186-
2 con nota de modificación y aprobado por FIPS 140-2.
Página 1 de 4
Características Funcionales
Acceso al Sistema
El Servidor permite acceder al HSM a través de red. Para enviar un comando la aplicación cliente ha de formar un
paquete TCP de acuerdo al formato del comando elegido. El Sistema permite recibir peticiones concurrentes de uno
o varios clientes.
Además del acceso por red, se dispone de una conexión serie, directa al HSM, para un terminal VT100. A través de
esta conexión se llevan a cabo tareas administrativas como actualizaciones, alta y baja de usuarios y carga de
claves, entre otras.
Funcionalidades Incluidas
Además de las funciones de administración de usuarios y de claves, se incluyen las siguientes funcionalidades:
• Seguridad de Scripts.
o Firma de Scripts.
o Cifrado de Scripts.
o Script de Cambio de PIN.
• Funciones de PIN.
o Cálculo de PIN.
o Verificación de PIN.
o Gestión de PIN.
o Cálculo del Offset.
o Exportación de PIN.
Página 2 de 4
De acuerdo a las necesidades del Cliente, es posible incorporar a CryptosecLan funciones de su interés, bien en
base a un estándar o bien de diseño propio.
Igualmente es posible incorporar otros algoritmos criptográficos o de hash, como DSA o distintos algoritmos de la
familia SHA.
Estas ampliaciones pueden incorporarse al servidor en cualquier momento, a través de una actualización de
firmware.
Prestaciones
Se muestran a continuación las capacidades de operación bajo cifrado simétrico, hash y cifrado asimétrico del HSM.
Las prestaciones del servidor se ven limitadas por la conexión ETHERNET y dependen en todo caso del tráfico de
red. Para obtener información de rendimiento de alguna de las funcionalidades específicas del Servidor, contacte
con REALSEC.
• Clave simétrica:
Prestaciones máximas (Mbps)
ECB CBC OFB64 CFB64
Función
DES 400 355 355 355
3DES 2 o 3 claves 400 128 128 128
SAFER K64 6 iteraciones 533 457 457 457
SAFER SK64 8 iteraciones 400 355 355 355
SAFER K128 10 iteraciones 320 291 291 291
SAFER SK128 10 iteraciones 320 291 291 291
Página 3 de 4
• Clave asimétrica:
Las prestaciones del manejo de clave simétrica dependen en gran medida de la longitud de las claves y de sus
valores en concreto.
Prestaciones (exp/s) 1)
Función Sin CRT embebido Con CRT embebido 5)
Exponenciación 1024 bit clave pública 2) 7240 ND 6)
Exponenciación 2048 bit clave pública 2) 2275 ND 6)
Exponenciación 1024 bit clave privada 3) 337 688
Exponenciación 2048 bit clave privada 4) 43 166
Notas:
1) Los módulos empleados en las claves públicas son impares.
2) El exponente de la clave pública es 216+1
3) La clave privada es de 1024 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’
4) La clave privada es de 2048 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’
5) Para el test de prestaciones del CRT, la clave pública y la clave privada son de igual longitud
6) El algoritmo CRT sólo puede usarse cuando tanto la clave privada como la clave pública son conocidas
Página 4 de 4