КриптоПро HSM — программно-аппаратный криптографический модуль (hardware security module), совместимый с КриптоПро CSP.

ПАКМ «КриптоПро HSM» предоставляет криптографический сервис пользователям корпоративной сети и предназначен для выполнения следующих функций:

• создание и проверка электронной цифровой подписи;
• вычисление хэш-функции;
• шифрование и расшифрование блоков данных;
• вычисление имитовставки блоков данных;
• генерация и защищенное хранение ключевой информации (все ключи хранятся в зашифрованном виде);
• управление учетными записями пользователей криптографического сервиса.

Использование ПАКМ совместно с КриптоПро УЦ или Microsoft CA значительно повышает их уровень безопасности.

Криптографические алгоритмы, реализуемые ПАКМ КриптоПро HSM:

• генерация ключей, используемых в алгоритмах ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, RSA;
• шифрование и расшифрование данных по ГОСТ 28147-89;
• контроль целостности данных посредством вычисления имитовставки по ГОСТ 28147-89;
• вычисление значения хэш-функции в соответствии с ГОСТ Р 34.11-94;
• вычисление и проверку электронной цифровой подписи (ЭЦП) в соответствии с ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, RSA;
• выработка ключа парной связи по Диффи-Хеллману на базе ключей по алгоритмам ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001.

Интерфейс взаимодействия с КриптоПро HSM — Microsoft CryptoAPI 2.0.

Сроки действия ключей, при использовании ПАКМ КриптоПро HSM

• максимальный срок действия закрытых ключей ЭЦП — до 3-х лет;
• максимальный срок действия закрытых ключей ЭЦП при использовании ПАКМ в качестве СКЗИ в программных комплексах удостоверяющих центров, реализованных и сертифицированных по классу защиты KB2 — до 7-и лет;
• максимальный срок действия открытых ключей ЭЦП при использовании алгоритма ГОСТ Р 34.10-2001 — 30 лет;
• максимальный срок действия открытых ключей обмена — до 3-x лет;
• максимальный срок действия закрытого ключа обмена совпадает со сроком действия закрытого ключа.

Области применения

ПАКМ «КриптоПро HSM» может быть использован в качестве СКЗИ в различных системах криптографической защиты информации, поддерживающих интерфейс КриптоПро CSP версии 3.6 и выше.

• в серверных компонентах распределенных систем, требующих высокую степень защиты ключа ЭЦП, например в программно-аппаратных комплексах Удостоверяющих центров;
• в дополнительных службах удостоверяющих центров:
• в службах штампов времени;
• в службах актуальных статусов сертификатов;
• в службах электронного нотариата;

В сетях передачи конфиденциальной информации для реализации протокола TLS:

• в web-серверах;
• в серверах баз данных;
• в серверах приложений;

В этих случаях ПАКМ «КриптоПро HSM» позволяет обеспечить более надежный уровень защиты ключа TSL сервера и выполнять трудоемкие операции по шифрованию и расшифрованию передаваемых по сети данных в персональных (не серверных) системах, где требуется высокий уровень защиты ключевой информации.