完整的解决方案 公钥基础设施
安全数字认证.
公钥基础设施 (PKI) 为各种应用程序提供安全性,在执行交易、访问权限和数字签名时验证用户、设备和系统等身份。通过使用加密密钥所促进的任何安全性都取决于它们的安全性。
该基础设施中的任何漏洞,如果允许密钥被不当使用,都可能损害受其保护的信息和应用程序的真实性、完整性和机密性。
Kryptus 在数字认证高性能加密技术方面拥有成熟的专业知识,提供完整的解决方案来支持国家以及私人机构、公共和国防机构创建和运行官方公钥基础设施。
国家ICP.
确保在国家层面(包括政府和私人实体)颁发和存储数字证书的安全基础设施。
Kryptus 开展实施官方国家公钥基础设施的项目,涉及根认证机构及其整个认证、注册和时间戳机构生态系统。作为交钥匙解决方案,Kryptus 为世界各国提供的服务包括规划架构和安全法规、提供设备和系统许可证、设计流程以及提供国家 PKI 运营所需的培训。
在某些国家/地区,根据 ICP 颁发的证书的安全级别,要求在具有国际认证(例如 FIPS)的加密设备上生成证书,而 Kryptus 的 kNET HSM 设备已批准该认证。
内部空调.
在所有企业应用程序中使用数字证书,不受限制,并且具有完全的控制和安全。
对于有意通过在其内部服务(如 TLS 通信、内联网、外联网、SSH 和 VPN)中使用大量数字证书来降低成本的机构,Kryptus 提供咨询和最合适的安全技术来创建其内部认证机构。
凭借经验丰富的 ICP 专业人员,Kryptus 还可以为认证政策、认证实践声明和安全政策的定义做出贡献。
时间交流电.
通过应用与官方机构同步的日期和时间,为数字签名添加无可争辩的法律价值。
与数字签名相关的时间戳可作为文档签署、生成或复制时刻的证据。时间戳由经批准和认可的时间戳机构 (ACT) 颁发,与可靠的时间源同步并可由 ICP 认证实体审核,提供先前性和真实性的不可争辩的法律价值(不可否认性)。
Kryptus 提供完整的时间戳解决方案,包括时间戳系统审计和同步系统 K-SAS 和时间戳系统 K-TSA,促进 EAT 和 ACT 之间的管理和互操作性。
KRYPTUS,巴西数字认证加密和网络安全解决方案市场的领导者.
私钥保护.
使用 kNET HSM 最大程度地保护您的密钥
• 集中密钥生成和存储
• 集中证书管理
• 通用标准 EAL4+ 认证
• FIPS 140-2 3 级 (EFP/EFT) 认证
• 获得 ICP 巴西 MCT7 NSH3 批准
• 高可用性和性能
私钥是基于公钥基础设施的各种服务中加密、解密、签名或验证信息所必需的,必须保存在安全的环境中,防止未经授权的访问。一旦私钥被泄露,所有受其保护的系统和服务都会变得脆弱。
为了安全存储密钥,建议使用专用加密设备,例如 Kryptus 的 kNET HSM,它可以在本地或云端集成(云 HSM)。
管理
证书.
私钥由 HSM 通过本机加密 API(例如 KMIP、Java JCA/JCE、PKCS#11、OpenSSL Engine)进行管理,但当涉及 PKI 时,公司使用专用于整个证书生命周期的软件,包括颁发、验证和撤销,以及 AR 功能 - 注册机构。
Kryptus 有一个基于 EJBCA 社区版的证书管理器,它实现了上述所有功能,可以完全控制证书。
保险箱的优势
证书.
智能卡和令牌可用于存储加密密钥,但这些设备丢失和滥用的风险很高,这意味着需要管理大量智能卡和令牌的公司选择在 HSM 中实施证书库,因为它提供了更高级别的安全性:
• 集中密钥存储;
• 所有员工都可以通过公司自己的门户网站访问证书;
• 通过双因素身份验证(TOTP 或 HOTP)实现强大的访问控制;
• 审计跟踪,完整记录何时以及谁使用了数字证书。
100% 的证书 由 ICP-BR 发行,受 KRYPTUS HSM 保护.
探索时间认证
轻松且合规的管理。
K-SAS 是 Kryptus 的时间源主时钟解决方案,由根证书颁发机构用于时间源管理、时间戳网络和审计跟踪存储。负责保护 K-SAS 加密密钥的 kNET HSM 加密安全模块也完善了该解决方案。
对于 ACT,Kryptus 带来了 K-TSA:时间戳系统,具有管理和发布时间戳的所有功能。它还依靠 kNET HSM 来保护 K-SCT 加密密钥,记录所有同步数据并注册时间戳签名。
时间戳.
K-SAS 和 K-TSA
• 外部管理系统
• 管理门户网站
• kNET HSM 用于安全存储和签名(时间戳和许可证)
• 高性能
• 电子邮件提醒
• 自动发送 Syslog 日志
• 日志可供下载
• 符合 ICP-Brasil 标准
ICP-BRASIL 中的时间戳动态
当客户端站上签署文档时,用户系统会计算该文档的哈希值并将其发送到时间戳服务器(Kryptus TSS),该服务器接收请求,验证哈希值在该时刻是否存在并生成时间戳 - 一份签名文档,证明用户的文档是在该日期创建并存在的。私钥、证书和本文档本身的签名受到 ACT 内部的加密安全模块 (kNET HSM) 的保护。单个 ACT 可以有多个时间戳服务器。
为了确保 ACT 发布的时间戳具有正确的时间,有一个同步和审计系统(Kryptus TAS),它将 ITI 维护的服务器时钟与可靠的时间源(国家天文台)同步,并在获得正确的当前时间后,与 Kryptus TSS 通信以审计其时钟并在必要时进行同步。一旦同步,Kryptus TAS 就会发出许可证,授权 Kryptus TSS 在指定期限内运行并发出时间戳。该许可证是使用 Kryptus TAS 私钥进行数字签名的文件,其证书安全地存储在根 CA 内的 kNETs HSM 集群中。
作为一项额外的安全措施,Kryptus TSS 必须在日志中记录每个时间戳,该日志可以由 Kryptus TAS 或任何其他实体审核,但绝不能编辑。任何试图编辑日志以更改时钟的行为都会被 Kryptus TSS 加密引擎暴露。方案的组成灵活,可以多个时间戳服务器共享一个HSM来签发时间戳,也可以单个时间戳服务器使用多对HSM组成集群来保证高可用性,甚至可以多个审计和同步服务器对同一个时间戳服务器进行审计。
Kryptus TAS 和 Kryptus TSS 之间用于审计和同步的通信协议是开放的,允许任何感兴趣的公司构建 SCT、批准它并确保它能与 ITI 的 SAS 协同工作。刺激市场竞争力的措施。