Djupgående: Encryption Consultings on-demand Thales Luna 7 HSM-utbildning – en teknisk genomgång

Det mesta utbildningsmaterialet för Luna 7 slutar vid installationsguiden för apparaten och låter ingenjörerna själva lista ut partitionstopologi, procedurer för PED-nycklar, val av NTLS kontra STC och HA-gruppjustering, vanligtvis i produktion, under press, med underdokumenterade konfigurationer som ärvts från den som byggde miljön för tre år sedan.

Krypteringskonsultföretagets HCSE Luna 7 On-Demand-utbildning är uppbyggd annorlunda. Detta är en sammanfattning av vad kursen faktiskt täcker på teknisk nivå, modul för modul, med tillräckligt med detaljer för att utvärdera om den matchar de specifika luckor som ditt team försöker täcka.

Luna 7-arkitektur innan du trycker på en kommandorad

Hårdvarugränserna, FIPS 140-2 nivå 3-validering och tre formfaktorer som formar varje designbeslut nedströms.

Hårdvarugränsen och varför den är viktig

Thales Luna Network HSM 7 är en PCIe-ansluten eller 1U-rackenhet byggd kring en dedikerad kryptografisk processor med en fysiskt isolerad exekveringsmiljö. privat nyckel Material genereras, lagras och används exklusivt inom den gränsen. Värdoperativsystemet och alla processer som körs på det har ingen åtkomst till nyckelmaterial i klartext någon gång under nyckelns livscykel.

Gränsen upprätthålls på hårdvarunivå och valideras under FIPS 140-2 Nivå 3, som kräver fysisk manipuleringsbevisning, manipuleringsskydd och identitetsbaserad autentisering. Nivå 3 går utöver nivå 2 (som endast kräver manipuleringsbevisning) genom att kräva att HSM nollställer nyckelmaterial vid detektering av manipuleringshändelser, vilket eliminerar alla möjligheter till nyckelutdragning även genom fysisk åtkomst till enheten.

Luna 7-produktlinjen omfattar tre distributionsmodeller, som alla delar samma kryptografiska kärna:

• Luna Network HSM 7Fristående 1U-enhet ansluten till klienter via TCP/IP via NTLS eller STC. Flera klienter kan dela en enda HSM genom partitionsmodellen.
• Luna PCIe HSM 7Direkt PCIe-anslutning till en värdserver. Eliminerar nätverkslatens men begränsar HSM till den fysiska värden. Vanligt vid betalnings-HSM-distributioner där dataflöde är den primära begränsningen.
• Luna Cloud HSMThales-hanterade HSM-instanser tillgängliga via plattformen Data Protection on Demand (DPoD). Använder samma PKCS#11- och JCA/JCE-gränssnitt som lokala Luna HSM:er, vilket möjliggör hybriddistributioner utan kodändringar på klientsidan.

Kursen täcker alla tre formfaktorer. Att förstå skillnaderna i topologi är grundläggande: partitionsdesign, säkerhetskopieringsstrategi, HA-gruppkonfiguration och klientanslutning skiljer sig alla avsevärt mellan dem.

Modul 2: PED-autentisering, mekanismen som de flesta team gör fel

De fem PED-nyckelfärgerna, M-of-N-kvorum, fjärr-PED och säkert transportläge, källan till de flesta produktionsblockeringar, förklarade innan de kostar dig en.

Hur multifaktor-kvorumautentisering faktiskt fungerar

Luna 7:s PED-autentisering (PIN Entry Device) är en av de mest operativt komplexa aspekterna av plattformen och källan till majoriteten av utlåsningsincidenter i produktionsmiljöer. Kursen ägnar en hel modul åt detta, och djupet är motiverat.

PED-enheten är en dedikerad USB-ansluten enhet med ett fysiskt tangentbord och en display. Det är den enda auktoriserade kanalen för att ange autentiseringsuppgifter till HSM för roller som kräver verifiering av fysisk närvaro. Detta är en avsiktlig säkerhetsdesign: autentiseringsuppgifter skrivs aldrig in på värdtangentbordet, överförs aldrig okrypterade över nätverket och lagras aldrig i värdminnet.

PED-nycklar är iKey USB-tokens som lagrar rollspecifika hemligheter i krypterad form. Varje roll på HSM: HSM-säkerhetsansvarig (SO), partitions-SO, kryptoansvarig (CO), kryptoanvändare (CU) och granskning, har sin egen PED-nyckelFörhållandet mellan PED-nycklar och HSM-roller är värt att förstå exakt:

• Ocuco-landskapet Blå PED-nyckel lagrar HSM SO-hemligheten, som används för administration på enhetsnivå, inklusive skapande av partitioner, ändringar av HSM-policy och uppgraderingar av firmware.
• Ocuco-landskapet Svart PED-nyckel lagrar partitions-SO-hemligheten, begränsad till en specifik partition. Partition SO styr partitionspolicyer, CO-registrering och kloning av domänmedlemskap.
• Ocuco-landskapet Grå PED-nyckel lagrar CO-hemligheten, som används för nyckelgenerering, import, export och kryptografiska operationer inom en partition.
• Ocuco-landskapet Orange PED-nyckel lagrar fjärr-PED-vektorn, som används för att autentisera fjärr-PED-sessioner.
• Ocuco-landskapet Lila PED-nyckel är domännyckeln, en delad hemlighet som styr vilka HSM:er som kan klona nycklar till varandra. Två HSM:er kan bara vara i samma HA-grupp om de delar en kloningsdomän, vilket innebär att de initialiserades med samma Purple PED-nyckel eller att nycklar säkert migrerades mellan dem.

Quorum-autentisering (M av N) är en kritisk funktion för högsäkerhetsdistributioner. Istället för en enda PED-nyckel som ger åtkomst, HSM kan konfigureras så att M av N nyckelinnehavare måste visa sina PED-nycklar innan en känslig operation auktoriseras. Kursen behandlar hur M-of-N konfigureras vid initialisering, hur delad kunskapshantering mappas till NIST SP 800-57 del 2-krav, och de operativa konsekvenserna av olika M:N-förhållanden på återställningsscenarier.

Fjärrstyrd PED utökar PED-autentisering till geografiskt distribuerade distributioner. En orange PED-nyckel auktoriserar en säker out-of-band-kanal mellan HSM och en fjärr-PED-server (RPS), vilket möjliggör PED-operationer utan fysisk närvaro vid enheten. Utbildningen täcker RPS-installation, processen för etablering av autentiserade kanaler och säkerhetskonsekvenserna av fjärr-PED i förhållande till lokal PED.

Säkert transportläge (STM) tar itu med leveranskedjans integritet. När en HSM skickas från fabriken eller överförs mellan förvaltare, säkerställer STM att eventuella manipuleringsförsök under transporten försätter HSM:n i ett tillstånd där den kräver autentiserad PED-interaktion för att lämna fabriken och STM-utgångsuppgifterna endast kan ha ställts in av den ursprungliga parten. Kursen behandlar hur man verifierar STM-status och hur man korrekt överför en HSM ur transportläge före driftsättning.

Modul 3: Partitionsarkitektur och rollseparation

Hur SO/CO/CU-hierarkin och firmware-baserade policyer levererar flerinnehav med lägst privilegium som mappar direkt till PCI DSS 3.7.

Förstå HSM:s modell för flera hyresgäster

En Luna Network HSM 7-apparat presenterar sig för anslutna klienter som en eller flera poäng, var och en en logiskt isolerad kryptografisk behållare med sin egen nyckellagring, policyuppsättning och åtkomstkontroll. Partitioner är den grundläggande enheten för multitenancy på Luna HSM:er.

Varje partition har en oberoende rollhierarki:

HSM-säkerhetsansvarig (enhetsnivå) └── Partitionssäkerhetsansvarig (partitionsnivå) ├── Kryptoansvarig (nyckelhantering inom partition) └── Kryptoanvändare (endast kryptografiska operationer, ingen nyckelhantering)

SO/CO/CU-separationen framtvingar lägsta behörighet på det kryptografiska operationslagret. En process som utför TLS-operationer som en kryptoanvändare kan inte generera nya nycklar, kan inte exportera nyckelmaterial och kan inte ändra partitionspolicyer, även om det är komprometterat. Denna rollmodell mappas direkt till PCI DSS Krav 3.7:s krav på dubbel kontroll och delad kunskap för hantering av kryptografisk nyckel.

Partitionspolicyer styr vilka operationer som är tillåtna inom en partition och vilka som tillämpas av HSM-firmwaren, inte av programvaran på värden. Viktiga policyattribut inkluderar:

• Tillåtna nyckelalgoritmer och nyckelstorlekar
• Om nycklarna är extraherbara (för säkerhetskopiering/återställning via kloning) eller inte extraherbara (permanent bundna till HSM)
• Om nycklar är markerade som känsliga (blockerar export av klartext även av auktoriserade roller)
• Session kontra tokenobjektpersistens
• Aktivering kontra automatisk aktivering för CO-autentiseringsuppgifterna

Automatisk aktivering är ett viktigt operativt koncept. När den är aktiverad cachas CO-PIN-koden i det batteridrivna HSM-minnet, vilket gör att HSM kan överleva en omstart utan att en människa behöver presentera PED-nyckeln igen innan kryptografiska operationer återupptas. Detta är viktigt för obevakade servermiljöer. Utbildningen täcker säkerhetsavvägningarna vid automatisk aktivering i förhållande till konfigurationer som kräver aktivering.

Modul 4: NTLS vs. STC, att välja rätt klientkanal

Den verkliga kryptografiska skillnaden mellan Lunas två klientkanaler och varför fel val skapar ett gap mellan din FIPS-gräns och din faktiska säkerhetsposition.

Den tekniska skillnaden mellan Lunas två klientanslutningsmodeller

Detta är en av de mest missförstådda aspekterna av Luna 7-distribution. Kursen täcker båda modellerna på djupet, vilket är avgörande eftersom att välja fel modell för din hotmodell kan skapa ett betydande gap mellan din HSM:s FIPS valideringsgräns och din faktiska operativa säkerhetssituation.

NTLS (Network Trust Link Service) upprättar en TLS 1.2-kanal mellan Luna Client-programvaran på värden och HSM-enheten. Kanalen autentiseras ömsesidigt med hjälp av en certifikatbaserad handskakning: klienten presenterar sitt certifikat (registrerat med enheten under klientregistreringsprocessen), och enheten presenterar sitt certifikat (läggs till i klientens servercertifikatarkiv). Båda sidor verifierar den andra sidans certifikat mot sitt lokala förtroendearkiv innan TLS-sessionen upprättas.

NTLS använder port 1792 som standard. Certifikatutbytet under klientregistrering är en manuell process: klienten exporterar sitt certifikat (client export), registrerar apparatens administratör den (client register), och partitionen tilldelas klienten (client assignPartitionKursen täcker detta arbetsflöde inklusive vanliga fellägen, certifikatutgång, CN-matchningsfel och partitionstilldelningsfel, som resulterar i CKR_DEVICE_ERROR returer från PKCS#11-ansökningar.

STC (Säker betrodd kanal) är efterföljaren till NTLS och den föredragna kanalen för FIPS-kompatibla distributioner. STC tillhandahåller en kryptografiskt starkare kanal med ytterligare skydd som NTLS inte erbjuder:

• Ömsesidig autentisering med hjälp av HSM-genererade identitetsnycklar, inte certifikat på värdnivå
• Meddelandenivåintegritet på varje PKCS#11-kommando och svar, vilket förhindrar manipulering av kryptografiska förfrågningar under överföring
• Omspelningsskydd via sekvensnumrering
• Kanalbindning som kopplar STC-sessionen till den specifika partitionen, vilket förhindrar att en komprometterad kanal omdirigeras till en annan partition

STC fungerar över samma port som NTLS (1792) men använder en helt annan protokollstack. Klientsidans STC-identitet genereras av HSM under klientregistrering och lagras i klientens token-arkiv. När en STC-klient ansluter involverar kanalupprättandet ett kryptografiskt bevis på besittning, där klienten bevisar att den innehar den privata nyckeln som motsvarar dess registrerade identitet utan att överföra det nyckelmaterialet över nätverket.

Praktisk vägledning från utbildningen: använd STC för alla distributioner där HSM används för att generera eller lagra rot-CA-nycklar, kodsigneringsnycklar eller annat kronjuvelmaterial. Använd NTLS endast där STC inte stöds av applikationsstacken eller där kostnaden för äldre integration är oöverkomlig. Kursen täcker kompatibilitetsbegränsningar; vissa Luna SDK-versioner och tredjeparts PKCS#11-omslag stöder ännu inte STC.

Modul 5: Hög tillgänglighet, konfiguration, kvorum och fellägen

Vad händer när en medlem hoppar av, varför återställning inte sker automatiskt och var den lila PED-nyckeln blir ett mänskligt beroende i din runbook.

Vad som faktiskt händer när en HA-gruppmedlem går offline

Luna 7:s HA-implementering är programvarubaserad: Luna Client-programvaran hanterar en HA-grupp och distribuerar kryptografiska operationer över en uppsättning HSM:er som delar en kloningsdomän. Ur applikationens perspektiv visas HA-gruppen som en enda PKCS#11-plats. Klienten hanterar lastbalansering och redundansväxling transparent.

Krav för HA-gruppenAlla HSM:er i en grupp måste dela samma kloningsdomän (upprättad vid initialisering via den lila PED-nyckeln). Nycklar som skapas i HA-gruppen synkroniseras automatiskt, klonas, till alla gruppmedlemmar innan åtgärden som skapade nyckeln returnerar lyckad upplevelse till den anropande applikationen. Denna synkrona kloning är det som gör HA-gruppens konsekvensgaranti stark: en nyckel är bara synlig för applikationen efter att den finns på alla aktiva medlemmar.

HA-återställningsläge är där de flesta driftsproblem uppstår. När en HSM-medlem lämnar HA-gruppen (nätverksfel, hårdvarufel eller omstart) fortsätter de återstående medlemmarna att utföra kryptografiska operationer. Den felaktiga medlemmen går in i återställningsläge. När den återgår online återansluts den inte automatiskt, klientsidan haAdmin Verktyget måste användas för att synkronisera om nyckelmaterial från en aktiv medlem till den återställande medlemmen innan det läggs till i gruppen igen.

Nyckelsynkronisering under återställning använder kloningsmekanismen, vilket kräver att kloningsdomänens hemlighet (Purple PED Key) är tillgänglig. I distributioner med automatisk aktivering aktiverad och en välkonfigurerad återställningsprocedur är detta till stor del automatiserat. I distributioner där den lila PED-nyckeln lagras i ett fysiskt valv och kräver två personers åtkomst till förvaring, kan återställning av en HA-medlem kräva schemaläggning av mänsklig intervention, ett verkligt operativt beroende som måste finnas i runbooken.

Lastbalansering I en HA-grupp distribueras operationer round-robin över aktiva medlemmar som standard. Luna Client-konfigurationen stöder viktad lastbalansering och alternativ för fasta sessioner för applikationer där sessionstillståndet är viktigt. Utbildningen täcker haAdmin kommandon för att inspektera gruppstatus, medlemshälsotillstånd och synkroniseringsstatus.

Nyckelmigrering mellan partitioner eller mellan HSM:er som använder olika kloningsdomäner (till exempel migrering från en test-HSM till en produktions-HSM som initialiserades separat) kräver att nyckelmaterial lindas in under en nyckelkrypteringsnyckel (KEK) och importeras om. Utbildningen täcker cmu och clonetool verktyg för detta arbetsflöde och de FIPS-kompatibla nyckelomslagningsmekanismerna som Luna 7 stöder.

Modul 6: Granskningsloggning, vad som loggas och hur man verifierar det

Den kryptografiskt kedjade, manipulationssäker logg bakom PCI DSS-krav 10 och 3.7 och revisionsrollen som hindrar administratörer från att dölja sina spår.

HSM-granskningsloggstruktur och manipuleringsbevis

Luna 7:s delsystem för granskningsloggning producerar kryptografiskt kedjade loggposter. Varje loggpost signeras av HSM och innehåller en hash av den föregående posten, vilket skapar en manipulationssäker kedja: att ändra eller ta bort en loggpost bryter kedjan, vilket kan upptäckas under loggverifiering.

Revisionsrollen är en dedikerad HSM roll specifikt för logghantering. Designen är avsiktlig: granskningsanvändaren kan läsa och exportera loggar men kan inte utföra kryptografiska operationer eller ändra HSM-konfigurationen. Omvänt kan rollerna SO och CO inte komma åt eller rensa granskningsloggen. Denna separation säkerställer att en administratör inte kan täcka sina spår genom att ta bort loggposter.

Loggposter insamlade:

• Rollinloggningar och utloggningartidsstämpel, roll, lyckat/misslyckat, sessions-ID
• Viktiga händelser i livscykelnskapande, radering, import, export, med nyckelreferens, nyckeltyp, algoritm och nyckelstorlek
• Kryptografiska operationeroperationstyp (signera, verifiera, kryptera, dekryptera, radbryta, packa upp), mekanism (t.ex. CKM_RSA_PKCS, CKM_AES_CBC), nyckelhandtag
• Policyändringar: vilken policy som ändrades, gammalt värde, nytt värde, roll som gjorde ändringen
• Sabotagehändelserfysisk manipuleringsdetektering, nollställningshändelser, misslyckade autentiseringsförsök

För att PCI DSS ska uppfylla kraven tillhandahåller revisionsloggen den bevisspårning som krävs enligt krav 10 (logga all åtkomst till kryptografiska nycklar) och krav 3.7 (logga alla händelser i nyckelns livscykel). Utbildningen behandlar hur man exporterar loggar med hjälp av audit export, hur man verifierar loggintegritet med hjälp av revisionsrollen och hur man kopplar Luna-revisionsloggar till en SIEM för centraliserad övervakning.

Apparatens statuskoder, som behandlas i samma modul, är Luna-apparatens hälsorapporteringsmekanism. Statuskoder mappar till specifik hårdvara, firmware och driftsförhållanden. Kursen täcker de mest operativt signifikanta koderna, inklusive de som indikerar batterifel (kritiskt för nyckelmaterial i icke-persisterade partitioner), minnesbelastning och nätverksgränssnittsfel.

Modul 7: SDK, API:er och avancerad integration

PKCS#11-kortplatsmappning, JCA/JCE-providerkonfiguration, funktionsmoduler, SKS/PKA och REST, integrationsdetaljerna som orsakar de flesta applikationsfel.

PKCS#11 Slotmappning, JCA/JCE, funktionsmoduler och REST

PKCS # 11 är det primära gränssnittet genom vilket applikationer interagerar med Luna 7. Luna-klienten installerar ett PKCS#11-leverantörsbibliotek (libCryptoki2_64.so på Linux, cryptoki.dll (i Windows) som mappar HSM-partitioner till PKCS#11-platser. Varje partition visas som en plats; en HA-grupp visas som en enda virtuell plats med de fysiska medlemmarna abstraherade bort.

Att förstå kortplatsmappning är avgörande för applikationsintegration. slot list kommando i lunacm Verktyget visar den aktuella slotlayouten inklusive slotindex, partitionsetikett, partitionsserienummer och HA-gruppmedlemskap. Program som hårdkodar slotnummer (istället för att välja efter tokenetikett) är känsliga för HSM-ändringar, träningen täcker båda metoderna och när var och en är lämplig.

Luna SDK-mekanismer, de kryptografiska algoritmidentifierare som används i PKCS#11-anrop, inkluderar Luna-specifika tillägg utöver standardmekanismlistan för PKCS#11. Till exempel, CKM_LUNA_AES_CBC_PAD och vissa RSA-mekanismer med Luna-specifika utfyllnadsvarianter är tillgängliga för prestandaoptimering. Kursen behandlar vilka mekanismer som är FIPS-godkända och vilka som endast är tillgängliga i icke-FIPS-läge.

JCA/JCE (Java Cryptography Architecture / Java Cryptography Extension)-integrationen använder LunaProvider som en pluggbar JCE-leverantör. Leverantören mappar Javas kryptografiska API-anrop till PKCS#11-operationer på HSMVanliga integrationsmönster inkluderar användning av LunaProvider Som en prioriterad leverantör för nyckelgenerering samtidigt som standard-JCE-leverantören tillåter att hantera operationer på programnycklar, täcker utbildningen konfiguration av leverantörsprioritet och den vanliga fallgropen med oavsiktlig programnycklargenerering när leverantörsstacken är felkonfigurerad.

Funktionsmoduler (FM) är anpassade kodmoduler som körs inom HSM:s säkra gräns. FM:er tillåter organisationer att implementera anpassade kryptografiska protokoll, nyckelderiveringsscheman eller affärslogik som måste köras inom hårdvarugränsen, vilket är användbart för applikationer där själva kryptografiska operationen inte kan uttryckas som ett standard PKCS#11-anrop. Utbildningen täcker FM API:et, signerings- och laddningsprocessen samt säkerhetsgranskningskraven för FM-distribution.

Skalbar nyckellagring (SKS) och Aktivering av privat nyckel (PKA) hanterar utmaningen att hantera ett stort antal privata nycklar på en enda partition. SKS tillåter nyckellagring att skalas utöver HSM:s inbyggda flashkapacitet med hjälp av krypterad extern lagring, där HSM behåller den omslutande nyckeln. PKA lägger till ett aktiveringssteg i arbetsflödet för nyckelanvändning, vilket kräver en explicit upplåsningsoperation innan en nyckel kan användas, vilket möjliggör tidsbegränsad eller villkorsbegränsad nyckelåtkomst utan att ändra själva nyckelmaterialet.

REST API:er och Cloud Connection Gateway (CCC) föra Luna HSM-funktionalitet till molnbaserade och containerbaserade applikationer som inte kan använda den traditionella PKCS#11-biblioteksmodellen. CCC exponerar ett REST-gränssnitt som använder en proxyserver till PKCS#11-lagret, vilket möjliggör HSM-baserade nyckeloperationer från vilken HTTP-klient som helst. Utbildningen täcker CCC-distribution, autentisering till REST-slutpunkten och mappningen mellan REST-operationer och underliggande PKCS#11-anrop.

Modul 8: Certifiering och CPE-poäng

Genomförd kurs och godkänd slutbedömning ger ett intyg om genomförande som inkluderar CPE-poäng, tillämpliga mot CISSP, CISM och andra certifieringar som kräver dokumentation av fortbildning. Examinationen testar alla sju tekniska moduler och är utformad för att validera operativ förståelse, inte bara återgivning av definitioner.

Vem den här kursen är utformad för

Moduldjupet som beskrivs ovan motsvarar specifika yrkesutövarprofiler:

• PKI-administratörer som hanterar Luna-stödda CA:erModulerna 2, 3, 5 och 6 har högsta prioritet. Förvaringsprocedurerna för PED-nyckel, separation av partitionsroller, arbetsflöde för HA-återställning och kraven för granskningsloggar är direkt operativa för alla som ansvarar för en Luna-baserad rot- eller utfärdande CA.
• Säkerhetsingenjörer som integrerar applikationer med Luna via PKCS#11 eller JCA/JCEModulerna 4 och 7 är kärnan. Val av NTLS kontra STC, mappning av platser, leverantörskonfiguration och mekanismkompatibilitet är de problem som orsakar majoriteten av integrationsfel.
• Säkerhetsdriftsingenjörer ansvariga för HSM-övervakning och efterlevnadModul 6 är ingångspunkten, medan modul 3 behövs för kontext kring roller och deras relation till granskningsbara händelser.
• Ingenjörer som bygger PQC-migreringsprogramLuna 7:s FM-funktion och arbetsflödet för nyckelmigrering (modul 5 och modul 7) är direkt relevanta. Hybridcertifikathierarkier som behöver stödja både RSA/ECDSA- och ML-DSA/ML-KEM-operationer kommer att kräva HSM-nivåändringar av partitionspolicyer och, i vissa fall, FM-distribution för algoritmstöd som ännu inte finns i standardinbyggd programvara.

Skriva in

Encryption Consultings HCSE Luna 7 On-Demand-utbildning finns tillgänglig på training.encryptionconsulting.comRegistreringen inkluderar 90 dagars tillgång till alla moduler, labguider och referensmaterial. Hela kursplanen finns tillgänglig för nedladdning före registrering.

För team som behöver lärarledd undervisning, anpassade labmiljöer eller Luna 7-utbildning i kombination med aktiv HSM-distribution eller migrering, kontakta [e-postskyddad].

Encryption Consulting är en betrodd global ledare inom tillämpad kryptografi, PKI, certifikatlivscykelhantering, HSM-distribution och post-quantum readiness. Över 100 Fortune 500-företag betrodda oss. krypteringskonsultation.com