ГлавнаяАппаратные модули безопасностиTime Master Clock 200
Time Master Clock 200 (Источник доверенного времени)
Предлагается рассмотреть вариант использования сертифицированного по критериям FIPS 140-2 аппаратно-программные изделия компании nCipher.
nCipher TMC200 - это сетевое устройство, предназначенное для безопасной синхронизации с источником доверенного времени, используя протокол DS/NTP. NTP (Network Time Protocol) - протокол для синхронизации часов по сети, но, так как он не использует аутентификацию, доверие к получаемому значению времени довольно сомнительно. DS/NTP - это модификация NTP, в которой добавлены взаимная аутентификация и заверение подписью Удостоверяющего Центра (Trust Authority). TMC200 использует протокол DS/NTP для взаимодействия с другими такими же устройствами или устройствами nCipher DSE200, которые также поддерживает этот протокол.
Для защиты криптографических ключей TMC200 использует nCipher nShield HSM (hardware security module). Ключи используются для аутентификации и для подписи TAC (Time Attribute Certificate), который в свою очередь используется для подтверждения точности времени и его источника. TAC позволяет отслеживать путь времени от источника к конечному пункту.
Digital Signing Engine 200
DSE 200 использует сертификаты открытых ключей для простановки цифровых подписей под документами. Цифровые подписи не только позволяют идентифицировать подписавшего, но и содержат метку времени и криптографическую "печать" на документ, что позволяет организовать электронный нотариат. Использование цифровой подписи вместе с меткой времени позволяет проверять подпись даже после истечения срока действия сертификата, то есть появляется возможность утверждать, что в момент подписания документа сертификат подписывавшего лица был действителен.
Document Sealing Engine позволяет проводить калибровку с доверенными источниками времени. Поставщик оборудования предоставляет список таких источников времени. После калибровки DSE 200 по защищенному каналу, он готов проставлять метки времени под всеми соответствующими запросами.
Спецификации TMC 200
TMC - 1-unit rack mountable устройство на основе Intel P4 CPU, с дисковым массивом RAID для HA. Таймерная система модуля базируется на основе ядра Symmetricom X72 (рубидиевый генератор) и chip-set Bc635/637 плата в формфакторе PCI. Безопасность сетевого взаимодействия обеспечивается использованием модуля nCipher nShield 300 также в моде PCI интерфейса. Все программное обеспечение модуля (сетевой стэк,timing и аутентификационные атрибуты) выполняются в окружении Secure Execution Environment (SEE).
Операционная среда
Стандартный дистрибутив Linux Red Hat, административные компоненты используют Apache Web server под HTTPS протоколом.
Поддерживаемые сетевые протоколы
- NTPv2 (RFC 1119)
- NTPv3 (RFC 1305)
- NTPv4 (Draft Standard)
- SNTP (RFC 2030)
- Daytime Protocol (RFC 867)
- Time Protocol (RFC 868)
- SNMPv1 (RFC 1157)
- DHCP (RFC 2131)
- SSH (Secure Shell)
- HTTP/HTML/HTTPS (RFC 2616)
- Datum Secure NTP (DS/NTP)
Передняя панель
- Input/output connections:
- Network: Dual, 10/100Base-T Ethernet
- Serial port A: RS-232/DB9 DTE, Configuration and status
- Serial port B: RS-232/DB9, Sysplex Timer
- Front LED indicators: Power, HDD Activity, Ethernet Link & Activity
Механика и питание
- Power: 100-240 VAC, Auto-switching 50-60 Hz
- Size: Form Factor 1U; 1.75” H X 17” W X 18” D (4.45 cm H X 43.2 cm W X 45.7 cm)
- Operating temp/Humidity: 0° C to +45° C/5-95% @ 40° C
- Weight: 18 lbs. (8.2 kg.)
- Certification: FCC, CE, UL
Система GPS RECEIVER/ANTENNA (опционально)
- GPS receiver: Eight channel, C/A code
- Antenna size: 3.04” D X 2.94” H (7.72 cm X 7.47 cm)
- Antenna operating temp: -40° C to +85° C Acquisition: <5 minutes
- Cable type: 50’ (15 m)/RG58
Временная точность
- Network: 1-10 milliseconds, typical
- GPS receiver (optional): <1 microsecond (relative to UTC, GPS Tracking)
- Dial-Up service: <1-10 milliseconds, on sync
- IRIG B: <5µs to input code
- 1PPS: <5µs to input
- Rubidium Oscillator: Rate stability: 5x10-10
Сертифицировано по стандартам
- FCC: CFRA47, Part 15, Subpart B, Class A
- CE: EN 55022 Class A EN 55024-1 EN 60950
Условия работы
- Maximum power consumption for PCI: 2.5 amps at 5 volts
- Temperature: 10-35 degrees Centigrade
- Relative Humidity: 10-85% non-condensing
Программный интерфейс TSP-API для DS/NTP (RFC 3161).
Для интеграции клиентских приложений с источником доверенного времени используются библиотеки TSP-API. TSP-API предоставляет следующие функции:
- Кодирование и декодирование запросов на получение метки времни
- Кодирование и декодирование ответов и доступ к содержащейся информации
- Проверка цифровых подписей с меткой времени
Как вариант, в качестве TSP-API может быть использованы классы на языке Java, расширение которых включает:
- TCP/IP клиента и сервера меток времени (порт 318)
- SSL клиента и сервера меток времени
- HTTP клиента и сервера меток времени (порт 80)