Los recientemente anunciados sistemas zEnterprise de IBM con el procesador z196 convenientemente destacado como corazón de la nueva arquitectura suponen un nuevo impulso en la estrategia de Mainframe del gigante azul, con un claro impacto en la racionalización de los CPDs al gestionar cualquier tipo de carga y virtualización con metodologías de servicios críticos.
Uno de los elementos que caracterizan desde el punto de vista de seguridad la nueva arquitectura, es la disponibilidad de funciones criptográficas por hardware ya preinstalado. La funcionalidad denominada Crypto Express3 se basa en dos adaptadores criptográficos PCI Express. Cada uno de los adaptadores criptográficos PCI Express puede ser configurado como coprocesador criptográfico o acelerador criptográfico.
La funcionalidad Crypto Express3 (CEX3) supone un nuevo avance en el estado de la técnica en lo relativo a funciones cifrado, tanto en criptografía simétrica como asimétrica.
Al igual que sus predecesoras, está diseñada para complementar las funciones del CPACF (CP Assist for Cryptographic Function). La placa detecta intentos de manipulación y reacciona ante ellos. Incluye dos procesadores criptográficos que funcionan en paralelo, dotando a las funciones criptográficas de un rendimiento y fiabilidad sin precedentes.
La funcionalidad Crypto Express3, se aloja en la cabina de entrada/salida o en en el receptáculo de entrada/salida del procesador z196 y mantiene en las arquitecturas zEnterprise las funciones disponibles en la Crypto Express3 originalmente desplegada en sistemas System z del tipo z10.
Cuando uno o ambos de los adaptadores PCIe se configuran como coprocesador, quedan disponibles las siguientes mejoras criptográficas introducidas por el procesador z196:
- Seguridad por PIN según la norma ANSI X9.8
- Encapsulamiento mejorado de claves CCA (Common Cryptographic Architecture) en conformidad con los requisitos de agrupamiento de claves de la norma ANSI X9.24
- HMAC (Keyed-Hash Message Authentication Code – Código de autenticación de mensajes de Hash basado en clave) de clave segura.
- Algoritmo de Firma Digital basado en Criptografía de curva elíptica (ECC)
- Concurrent Driver Upgrade (CDU) Actualización de controlador concurrente y Concurrent Path Apply (CPA)
Otras funciones clave de Crypto Express3 incluyen:
- Dynamic Power Management (gestión dinámica de consumo) para maximizar el rendimiento de RSA, manteniendo la CEX3 dentro de los límites de temperatura del sistema de reacción ante manipulaciones del conjunto.
- Todas las particiones lógicas (LPAR) en todos los subsistemas de canal lógico (LCSSs – Logical Channel Subsystems) tienen acceso a la funcionalidad Crypto Express3, con hasta 32 LPARs por cada equipamiento.
- Carga segura de código que permite la actualización de la funcionalidad, aunque la unidad esté en uso asignada a una aplicación.
- Comprobación de bloqueo de CPUs duales para la detección de errores mejorada y aislamiento de fallos de
las operaciones criptográficas que ejecute un coprocesador cuando un adaptador PCI-E se configure como
coprocesador. - Mejora de RAS (Reliability, Availability and Serviceability) sobre versiones anteriores como consecuencia del uso de procesadores dobles y del prcesador de servicio.
- Inserción dinámica y configuración de equipamientos Express3 Crypto a LPAR sin interrupción del servicio.
Los equipamientos Crypto Express3 están diseñado para ofrecer mejoras de rendimiento tanto para operaciones criptográfica simétricas y asimétricas.
Otros artículos relacionados:
- zBackTrust en Caixa Galicia
- Caixa Galicia impulsa la tecnología financiera
- 10 años de Linux en System z. Madrid, 26 de Mayo
- Productos y servicios basados en DSS
- Características de zBackTrust
- zBackTrust, firma electrónica para System Z
- IBM 4764
- DSS + XAdES-XL + z/OS + Websphere
- Firma electrónica con OASIS DSS
- B4E BackTrust for ERPs
- Portafirmas BackTrust disponible para descarga
- Proyecto FactOffice Add-in en Codeplex
- BackTrust en las pruebas de compatibilidad de firma electrónica XAdES en ETSI
- XAdES Plugtest en ETSI
- XAdES/CAdES ETSI Plugtest
- Compatibilidad de soluciones de firma electrónica
Pingback: Aceleradores criptográficos en mainframe IBM | Todo es electrónico
Pingback: Firma electrónica en zEnterprise EC12 « Todo es electrónico
Pingback: Caixa Galicia, caso de éxito « Todo es electrónico
Pingback: Diseño y planificación de una infraestructura de clave pública (PKI) « Todo es electrónico