INFORMACIÓN TÉCNICA

Servidor HSM

El Sistema CryptosecBanking es una adaptación de CryptosecLan al mundo bancario. Esta adaptación se ha llevado
a cabo a través del desarrollo de un conjunto firmware y software específicos.

Especificaciones Técnicas

Sistema HSM

• Procesador con arquitectura RISC, ARM7TDMI a 50 MHz.

• Aceleración criptográfica: dos coprocesadores RSA y coprocesador de cifrado simétrico y hash.
• Bus de propósito especifico para operaciones de cifrado simétrico de muy alta velocidad.
• 128 Kbytes de memoria interna de alta seguridad (esta memoria se borra automáticamente ante una
intrusión). 2,1 Mbytes de almacenamiento interno de alta seguridad.
• Generador de números aleatorios según FIPS 186-2 con nota de modificación y generación de semilla por
hardware.
• Puerto de comunicaciones asíncronas RS-232 aislado del procesador y de la memoria.
• Reloj de tiempo real.
• Protección de cobertura con resina epoxi más carcasa metálica de blindaje en chapa de acero de 0,9 mm.
• Sensores de intrusión (acceso físico, temperatura y tensión).

Sistema Servidor

• Procesador con arquitectura Intel a 3.06 GHz.

• 512 MB de memoria interna.
• Dos conexiones ETHERNET 10/100/1000 Mbps.

Capacidades Criptográficas

• Cifrado de clave simétrica: DES simple, triple DES de doble longitud de clave, triple DES de triple longitud
de clave; SAFER en 64 y 128 bit y en modos K y SK; y ambos en los modos: ECB, CBC, CFB-64 y OFC-
64.
• Funciones Hash: MD5, SHA-1, RIPEMD en 128 y 160 bit.
• Estándar de clave pública RSA con longitud de clave de hasta 4.096 bit.
• Generación de claves a través de un generador de números aleatorios, según lo especificado en FIPS 186-
2 con nota de modificación y aprobado por FIPS 140-2.

Página 1 de 4

Realia Technologies, S.L.

C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
Seguridad

• El HSM cumple con la certificación del estándar FIPS 140-2 nivel 3.

• El firmware del módulo impide la salida de datos confidenciales.
• Se imposibilita el acceso a las diversas partes del HSM con sensores que detectan intrusiones o
anomalías, borrando la información.
• El HSM está cubierto por una resina epoxi opaca, una cubierta metálica protege el conjunto.
• Sistema seguro para carga y custodia de claves de procedencia externa mediante conexión directa a la
placa de un terminal asíncrono.

Características Funcionales

Acceso al Sistema

El Servidor permite acceder al HSM a través de red. Para enviar un comando la aplicación cliente ha de formar un
paquete TCP de acuerdo al formato del comando elegido. El Sistema permite recibir peticiones concurrentes de uno
o varios clientes.
Además del acceso por red, se dispone de una conexión serie, directa al HSM, para un terminal VT100. A través de
esta conexión se llevan a cabo tareas administrativas como actualizaciones, alta y baja de usuarios y carga de
claves, entre otras.

Funcionalidades Incluidas

Además de las funciones de administración de usuarios y de claves, se incluyen las siguientes funcionalidades:

• Autorización de Transacciones EMV.

o Cálculo/Validación de DAC.
o Cálculo/Validación de IDN.
o Verificación de ARQC y/o Generación de ARPC.

• Seguridad de Scripts.
o Firma de Scripts.
o Cifrado de Scripts.
o Script de Cambio de PIN.

• Funciones de PIN.
o Cálculo de PIN.
o Verificación de PIN.
o Gestión de PIN.
o Cálculo del Offset.
o Exportación de PIN.

• Cálculo de Códigos de Validación.

o Cálculo y Verificación de Códigos de Validación.
o Cálculo y Verificación CVC3.

Página 2 de 4

Realia Technologies, S.L.

C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
 • Securización de Mensajes: Cálculo de MAC.
• Cifrado y Descifrado de Datos
o Cifrado/Descifrado DES/TDES.
o Cifrado/Descifrado RSA.

• Firma y Verificación de Datos.

o Firma/Verificación RSA.
• Monedero TIBC
o Generación de Certificado de Monedero y Transporte.
• Impresión.
o Impresión de PIN.
o Impresión de Claves DES/TDES.

Ampliación de las Funcionalidades

De acuerdo a las necesidades del Cliente, es posible incorporar a CryptosecLan funciones de su interés, bien en
base a un estándar o bien de diseño propio.
Igualmente es posible incorporar otros algoritmos criptográficos o de hash, como DSA o distintos algoritmos de la
familia SHA.
Estas ampliaciones pueden incorporarse al servidor en cualquier momento, a través de una actualización de
firmware.

Prestaciones
Se muestran a continuación las capacidades de operación bajo cifrado simétrico, hash y cifrado asimétrico del HSM.
Las prestaciones del servidor se ven limitadas por la conexión ETHERNET y dependen en todo caso del tráfico de
red. Para obtener información de rendimiento de alguna de las funcionalidades específicas del Servidor, contacte
con REALSEC.

• Clave simétrica:
Prestaciones máximas (Mbps)
ECB CBC OFB64 CFB64
Función
DES 400 355 355 355
3DES 2 o 3 claves 400 128 128 128
SAFER K64 6 iteraciones 533 457 457 457
SAFER SK64 8 iteraciones 400 355 355 355
SAFER K128 10 iteraciones 320 291 291 291
SAFER SK128 10 iteraciones 320 291 291 291

Página 3 de 4

Realia Technologies, S.L.

C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06
• Hash:
Función Prestaciones (Mbps)
MD5 393
RIPEMD-128 393
RIPEMD-160 316
SHA-1 316

• Clave asimétrica:
Las prestaciones del manejo de clave simétrica dependen en gran medida de la longitud de las claves y de sus
valores en concreto.

Prestaciones (exp/s) 1)
Función Sin CRT embebido Con CRT embebido 5)
Exponenciación 1024 bit clave pública 2) 7240 ND 6)
Exponenciación 2048 bit clave pública 2) 2275 ND 6)
Exponenciación 1024 bit clave privada 3) 337 688
Exponenciación 2048 bit clave privada 4) 43 166

Notas:
1) Los módulos empleados en las claves públicas son impares.
2) El exponente de la clave pública es 216+1
3) La clave privada es de 1024 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’
4) La clave privada es de 2048 bit y contiene aproximadamente el mismo número de ‘0’ y ‘1’
5) Para el test de prestaciones del CRT, la clave pública y la clave privada son de igual longitud
6) El algoritmo CRT sólo puede usarse cuando tanto la clave privada como la clave pública son conocidas

Página 4 de 4

Realia Technologies, S.L.

C/ Orense, 68 Pl. 11 – 28020- MADRID- Tlf.: +34- 91 449 03 30 / Fax: +34- 91 579 56 06