Post on 22-Jan-2016
description
secunet Security Networks AG
Sicherung der Kommunikationsfähigkeit und Schutz sensibler Informationen mittels flexibler, hochsicherer Kryptosysteme
Bonn, 16. Februar 2009
Stefan Reuter
2AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
3AFCEA – Cyber Defence, Bonn
Kryptografie – Mittel gegen die Gefahren des Cyberspace
▀ Kryptografische Maßnahmen ermöglichen:
- Datenverschlüsselung >> Sicherung der Daten, nicht der Netze
- Starke Authentifizierung >> Personen + Objekte
- Digitale Signaturen >> Schutz der Integrität
▀ Beispiele für Systeme mit kryptografischen Funktionen:
- PKI
- VPN
- Festplattenverschlüsselung
- Zugangskontrollen
4AFCEA – Cyber Defence, Bonn
Angriffsmöglichkeiten
> Angriffe gegen Betriebssystem> Trojaner> Datenabfluss
> Netzwerksniffing> Ausspähen> Datenabfluss
> Eindringen über offene Ports
> Rootzugang> Ausspähen> Datenabfluss
> Angriffe gegen Betriebssystem> Trojaner> Datenabfluss
> Verkehrsanalyse> Ausspähen
5AFCEA – Cyber Defence, Bonn
Gegenmittel Kryptografie
▀ Krypto-basierte Systeme schützen gegen …
… Angriffe auf Daten auf Transportweg. << starke Verschlüsselung
… Eindringen aus den Transportnetzen. << verwerfen unverschlüsselter + nicht authentisierter
Datenpakete
… unberechtigten Zugriff auf Informationen. << Authentifizierung
… Abfluss von Informationen. << verschlüsseln von Daten auf Speichermedien
▀ Zusätzliche Sicherheitsmaßnahmen (Firewall, Antivirus, etc.) gehören nach wie vor zu einer Sicherheitsarchitektur
6AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
7AFCEA – Cyber Defence, Bonn
Kryptografie – jedes Mittel recht?
▀ Worauf kommt es an?
- Stärke des Kryptoalgorithmus (bspw. ECC – Elliptic Curve Cryptogr.)
- Implementierung
- Schlüsselmanagement
▀ Was sollte vermieden werden?
- Obskure Eigenentwicklungen die „völlig sicher“ sind …
- Systeme, welche im „Hackercontest“ bestehen sollen …
- Black Boxes, welche nicht preisgeben, was im inneren passiert…
- Nutzerunfreundliche Systeme, da diese sonst umgangen werden…
8AFCEA – Cyber Defence, Bonn
Kryptografie – hohe Anforderungen auch an Umfeld
▀ Für hochsichere Anwendung und VS-Bearbeitung muss das Kryptosystem…
… ein geeignetes und sicheres Schlüsselmanagement verwenden.
… mit Hilfe eines dedizierten Managementsystems sicher konfiguriert werden.
… auf einem soliden Sicherheitskonzept aufbauen.
… in der Entwicklung transparent und prüfbar sein. (Dokumentation)
… in allen Bereichen testbar sein.
… durch staatliche Stellen evaluiert und zugelassen werden.
9AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
10AFCEA – Cyber Defence, Bonn
Flankenschutz
▀ „Sektor 13 gesichert!“
▀ Fazit:
- Viele Sicherheitsinstallationen konzentrieren sich oftmals auf eine Funktion (z.B. VPN > Transportsicherheit, aber keine Sicherung der Offline-Daten)
- Hohes Sicherheitsniveau nur durch Kombination aufeinander abgestimmter Sicherheitsmaßnahmen erreichbar
11AFCEA – Cyber Defence, Bonn
Flankenschutz
▀ Plattformsicherheit
- Durch geprüftes und zugelassenes Betriebssystem
- Integriert verschiedene Sicherheitsfunktionen
- Schützt Offline-Daten (bei Clients) und Zugriff auf das System
- Stellt zusätzlichen Schutz der Kryptokomponenten sicher
12AFCEA – Cyber Defence, Bonn
Flankenschutz
▀ Zusätzliche Module eines hochsicheren Kryptosystems
IDS Funktionen
AuthFilter /ACL
Hochsicheres Betriebssystem
Filter /ACLKrypto Kern
Software
Krypto KernHardware
Kein Bypass !> Aufspalten des Datenflusses
13AFCEA – Cyber Defence, Bonn
Ungeschütze Plattformen
▀ Ohne umfassende Plattformsicherheit …
… können Daten vor(!) der kryptografischen Behandlung verändert / gelöscht / eingebracht werden.
… sind komplexe Architekturen (bspw. NetOpFü) gefährdet
… sind direkte Angriffe gegen die IT-Plattform möglich.
… liegen lokale Daten ungeschützt auf (mobilen) Clients.
14AFCEA – Cyber Defence, Bonn
Anriffspotentiale in komplexen Architekturen
▀ Beispiel NetOpFü:
Sensor
Effektor
FüInfoSys
Angriff auf Plattform
Angriff auf Plattform
15AFCEA – Cyber Defence, Bonn
Architektur mit hochsicheren Kryptokomponenten
> Systemschutz> Schutz lokaler Daten> Transportschutz
> Authentisierung> Zugriffsschutz> Transportschutz
> Authentisierung> Zugriffsschutz> Transportschutz
> Transportschutz
> Systemschutz> Schutz lokaler Daten> Transportschutz
> Systemschutz> Schutz lokaler Daten> Transportschutz
> Sicherheitsmanagement> Konfiguration> Auswertung
16AFCEA – Cyber Defence, Bonn
Flexible, hochsichere Kryptosysteme
▀ Weitere Vorteile hochsicherer krypto-basierter Systemlösungen
- Kommunikationsbudget kann minimiert werden
- Starker Schutz der Daten ermöglicht Verwendung beliebiger (günstiger) Transportnetze
- Kryptografische Datenseparierung erlaubt Nutzung eines Transportnetzes
- Zugriffsschutz für Netzsegmente
- Bei Verwendung einer entsprechenden Infrastruktur aus Kryptokomponenten, wird ein Eindringen von außen erheblich erschwert
- Starke Authentifizierungsmechanismen auch zur Zugriffsteuerung auf Netzsegmente/Hosts
- Komplementäre Client-Systeme
- Plattformschutz für mobile und stationäre Clients
- Schutz lokaler Daten
17AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
18AFCEA – Cyber Defence, Bonn
Zusammenfassung
▀ Kryptografie alleine ist nicht ausreichend, bildet aber den unverzichtbaren Kern von hochsicheren Systemen und Sicherheitsarchitekturen
▀ Nur evaluierte und zugelassene Systeme bieten ausreichend Sicherheit und Vertrauen, um in VS-Bereichen eingesetzt werden zu können
▀ Hochsichere Kryptosysteme mit verschiedenen, aufeinander abgestimmten Komponenten (One-Way-Gateways, Clients) bieten die Flexibilität, welche für die Sicherung komplexer Systeme benötigt wird
▀ Sicherung von Workflows mit Hilfe dieser Krypto-Systemlösungen möglich
19AFCEA – Cyber Defence, Bonn
Kontakt
Stefan Reuter
Senior Key Account Manager Defence
secunet Security Networks AGGeschäftsbereich Hochsicherheit Weidenauer Strasse 223-22557076 Siegen
Tel.: (0201) 5454-3510Fax: (0201) 5454-1329
E-Mail: stefan.reuter@secunet.comURL: http://www.secunet.com