Post on 05-Dec-2014
description
Was ist FIPS und was bringt es?
8 Fakten zur Sicherheit von Datenträgern
Was ist FIPS?
• Federal Information Processing Standards Publication 140-2 [Quelle]
• Standard zur Prüfung der Sicherheit von Verschlüsselungsmodulen
• Auf dem Markt befinden sich
• USB-Sticks
• externe Festplatten
• Interne Festplatten
• Smartphones
FIPS – Security Level 1
• Einsatz verifizierter Algorithmen und Funktionen
• physikalische Sicherheit unbewertet
• System zum Betrieb ohne besondere Sicherung
FIPS – Security Level 2
• Versiegeltes Gerät
• Rollenkonzept für den Zugang
• System zum Betrieb entspricht
• Common Criteria“ (CC) Protection Profiles (PP) gemäß Anlage B
• System zum Betrieb ist funktional und strukturell getestet (EAL2)
FIPS – Security Level 3
• Widerstand bei unbefugtem Öffnen
• Sicherung des Rollenkonzeptes
• Trennung von Klartext- und Schlüssel-Operationen
• Vertrauenswürdiger Übertragungsweg (FTP_TRP.1)
• System zum Betrieb ist methodisch getestet und geprüft (EAL3)
FIPS – Security Level 4
• Komplette Verkapselung des Gehäuses
• Sichtbarmachung aller Zugriffsversuche
• Löschung der Klartext-Daten bei unberechtigtem Zugriff
• Schutz gegen Veränderungen der Umweltbedingungen
• System zum Betrieb ist methodisch entworfen, getestet und durchgesehen (EAL4)
FIPS – Testkatalog
• Spezifikation
• Schnittstellen und Anschlüsse
• Rollen, Dienste und Authentifikation
• Endlicher Automat
• Physische Sicherheit
• Betriebsumgebung
• Schlüsselverwaltung
• Elektromagnetische Strahlung
• Selbsttest
• Entwurfssicherheit
• Verminderung weiterer Angriffe
FIPS-Laufwerke – erfolgreich gehackt
• Oft durch ungenügende Implementierung
• Sicherheitsspezialisten hacken Memorystickshttp://www.golem.de/0912/72131.html
• Warm Replug http://derstandard.at/1356426457262/Hardwareverschluesselung-von-Festplatten-laesst-sich-oft-austricksen
Fazit
• Schutz ist nicht garantiert, abhängig von Implementierung
• FIPS-Stufe gemäß zu transportierenden Daten wählen
• Verwendung von FIPS-zertifizierten Geräten demonstriert Sorgfalt der IT-Leiter und Datenschutzbeauftragten
• Sicherheitsrichtlinien verwenden (oder erstellen )
• Mitarbeiter sensibilisieren
• Einhaltung kontrollieren
Für Fragen stehen wir zu Ihrer Verfügung
• Daleth-Datenschutzc/o Speech & Phone GmbH Bredereckstr. 412621 BerlinFon: 030-91685914www.daleth-datenschutz.de
• Daleth-Datenschutz ist ein Bereich der Speech & Phone
• Fotos: Techgalerie.de, Wikipedia, Gizmodo, Fotolia, Easydeal365, Duale Hochschule Heidenheim