|
| Žiadosť č. |
205 |
| |
|
| Názov služby |
Disig Remote HSM |
| |
|
| Model služby (I, P, S) |
SaaS |
| |
|
| Úroveň služby (U1, U2, U3) |
U1 |
| |
|
| Kategória služby |
Sieťové služby = Networking (including network as a service) |
| |
|
| Klasifikácia služby (CIA) |
C0I0A1 |
| |
|
| Kľúčové slová |
HSM |
| |
|
| Poskytovateľ služby |
DiSig a.s.,
+421 (0)2 208 50 140, disig@disig.sk
Záhradnícka 151, Bratislava, 821 08
IČO: 359 75 946
Dátum registrácie 25.01.2006
www.disig.sk, https://zep.disig.sk/
Zodpovedná osoba za obchodnú činnosť: Ing. Ivan Kühn, +421918549499
|
| |
|
| Prevádzkovateľ služby |
Záhradnícka 151, Bratislava, 821 08 |
| |
|
| Základný popis služby |
Služba zahŕňajúca Cloudové HSM úložisko kvalifikovaných certifikátov pre pečať. HSM modul je certifikované (NBÚ) zariadenie spĺňajúce tie najvyššie štandardy IT bezpečnosti a uchovávanie dokumentov v bezpečnom prostredí. |
| |
|
| Používatelia služby |
Pre orgány verejnej moci a podnikateľské subjekty
Podstatou Služby Remote HSM je poskytnutie bezpečného úložiska pre podpisové komponenty zákazníka na QSCD zariadení (certifikovanom HSM zariadení), ktoré je umiestnené a prevádzkované v infraštruktúre akreditovanej certifikačnej autority Disig a.s..
|
| |
|
| Technológie služby |
Funkcionalita služby Remote HSM
• Manažuje QSCD zariadenie „Thales nShield HSM Family v11.72.02“ a sprístupňuje jeho služby cez jednoduché webové API viacerým používateľom
• Autentizuje jednotlivých používateľov pomocou klientskych SSL certifikátov
• Generuje a uchováva asymetrické kľúčové páry používateľov
• Uchováva certifikáty prislúchajúce ku kľúčovým párom používateľov
• S používateľskými privátnymi kľúčmi vykonáva nízkoúrovňovú podpisovú operáciu „PKCS#1 v1.5 RSA“ v zmysle štandardu RFC 8017
1.1. Služba Remote HSM poskytuje
1.1.1. HTTP REST API
umožňujúce autentizovanému používateľovi:
• Získať všeobecné informácie o zariadení, jeho schopnostiach a stave
• Získať zoznam objektov (verejných kľúčov, privátnych kľúčov a certifikátov)
• Generovať nový RSA kľúčový pár o veľkosti 2048, 3072 alebo 4096 bitov
• Vygenerovať potvrdenie o pôvode kľúčového páru (atestácia kľúča)
• Overiť potvrdenie o pôvode kľúčového páru
• Privátnym kľúčom podpísať SHA256, SHA384, SHA512 alebo ľubovoľný iný hash
• Importovať X.509 certifikát
• Vymazať objekty
• Generovať náhodné dáta
1.1.2. Webové rozhranie
umožňujúce autentizovanému používateľovi cez webový prehliadač Microsoft Edge, Mozilla Firefox alebo Google Chrome:
• Získať všeobecné informácie o zariadení a jeho schopnostiach
• Získať zoznam objektov (verejných kľúčov, privátnych kľúčov a certifikátov)
• Generovať nový RSA kľúčový pár o veľkosti 2048, 3072 alebo 4096 bitov
• Vygenerovať PKCS#10 žiadosť o certifikát s potvrdením o pôvode kľúčového páru
• Overiť potvrdenie o pôvode kľúčového páru nachádzajúce sa v PKCS#10 žiadosti o certifikát
• Importovať X.509 certifikát
• Vymazať objekty
1.1.3. .NET komponent
pre klientske aplikácie pracujúce v prostredí .NET 2.0 alebo novšom, ktorý umožňuje :
• Autentizovať používateľa voči serveru klientskym SSL certifikátom dostupným v úložisku certifikátov poskytovanom operačným systémom
• Volať všetky metódy publikované cez HTTP REST API
1.1.4. PKCS#11 k |
| |
|
| Parametre ceny |
Cena za službu sa bude skladať z :
1. Jednorazového poplatku za zriadenie služby Remote HSM / zákazník
2. Mesačných poplatkov / koncový zákazník (poplatky účtované mesačne/fakturované podľa dohody napr. štvrťročne)
3. Poplatok za skutočný počet transakcií a dostupnosť služby
4. Poplatok za Servisnú podporu podľa zvoleného typu (voliteľné)
|
| |
|
| Parametre monitorovania |
Na zabezpečenie stáleho monitoringu služby Remote HSM sú použité programové prostriedky bash, perl, checker-ng, syslog a nagios3. Kontrola služby je vykonávaná dvomi prístupmi. Prvý prístup vo forme priamej kontroly služby, kde sa kontroluje dostupnosť služby alebo HW prostriedku celou cestou „od klienta k serveru“. Druhý prístup je zabezpečený programovým vybavením „Checker-ng“ a subsystému „Syslog“. Tento mechanizmu, kontroluje stav samotných interných komponentov a poskytuje tieto informácie cez syslog architektúru až k centrálnemu monitorovaciemu systému.
Služby sú centrálne monitorované:
Serverom WATCH (Nagios)
Notifikácie zabezpečené pomocou:
e-mail notifikácie
SMS notifikácie
Typ kontroly:
Priama kontrola:
- klient-server - dostupnosť služby
- Stav HW komponentov serverov - diskový radič, napájanie, ventilátory, atď)
- Nodestatus próba - reálna kontrola stavu nodu primárne určená pre funkciu vysokej dostupnosti)
Nepriama kontrola:
- Checker-ng a syslog subsystém – stav OS, HSM, synchronizácie času, diskovej kapacity, aplikačného vybavenia, atď
|
| |
|
| Komentár |
|
|
|
|
