Secunet Security Networks AG Sicherung der Kommunikationsfähigkeit und Schutz sensibler...
-
Upload
ansgar-anspach -
Category
Documents
-
view
108 -
download
0
Transcript of Secunet Security Networks AG Sicherung der Kommunikationsfähigkeit und Schutz sensibler...
secunet Security Networks AG
Sicherung der Kommunikationsfähigkeit und Schutz sensibler Informationen mittels flexibler, hochsicherer Kryptosysteme
Bonn, 16. Februar 2009
Stefan Reuter
2AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
3AFCEA – Cyber Defence, Bonn
Kryptografie – Mittel gegen die Gefahren des Cyberspace
▀ Kryptografische Maßnahmen ermöglichen:
- Datenverschlüsselung >> Sicherung der Daten, nicht der Netze
- Starke Authentifizierung >> Personen + Objekte
- Digitale Signaturen >> Schutz der Integrität
▀ Beispiele für Systeme mit kryptografischen Funktionen:
- PKI
- VPN
- Festplattenverschlüsselung
- Zugangskontrollen
4AFCEA – Cyber Defence, Bonn
Angriffsmöglichkeiten
> Angriffe gegen Betriebssystem> Trojaner> Datenabfluss
> Netzwerksniffing> Ausspähen> Datenabfluss
> Eindringen über offene Ports
> Rootzugang> Ausspähen> Datenabfluss
> Angriffe gegen Betriebssystem> Trojaner> Datenabfluss
> Verkehrsanalyse> Ausspähen
5AFCEA – Cyber Defence, Bonn
Gegenmittel Kryptografie
▀ Krypto-basierte Systeme schützen gegen …
… Angriffe auf Daten auf Transportweg. << starke Verschlüsselung
… Eindringen aus den Transportnetzen. << verwerfen unverschlüsselter + nicht authentisierter
Datenpakete
… unberechtigten Zugriff auf Informationen. << Authentifizierung
… Abfluss von Informationen. << verschlüsseln von Daten auf Speichermedien
▀ Zusätzliche Sicherheitsmaßnahmen (Firewall, Antivirus, etc.) gehören nach wie vor zu einer Sicherheitsarchitektur
6AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
7AFCEA – Cyber Defence, Bonn
Kryptografie – jedes Mittel recht?
▀ Worauf kommt es an?
- Stärke des Kryptoalgorithmus (bspw. ECC – Elliptic Curve Cryptogr.)
- Implementierung
- Schlüsselmanagement
▀ Was sollte vermieden werden?
- Obskure Eigenentwicklungen die „völlig sicher“ sind …
- Systeme, welche im „Hackercontest“ bestehen sollen …
- Black Boxes, welche nicht preisgeben, was im inneren passiert…
- Nutzerunfreundliche Systeme, da diese sonst umgangen werden…
8AFCEA – Cyber Defence, Bonn
Kryptografie – hohe Anforderungen auch an Umfeld
▀ Für hochsichere Anwendung und VS-Bearbeitung muss das Kryptosystem…
… ein geeignetes und sicheres Schlüsselmanagement verwenden.
… mit Hilfe eines dedizierten Managementsystems sicher konfiguriert werden.
… auf einem soliden Sicherheitskonzept aufbauen.
… in der Entwicklung transparent und prüfbar sein. (Dokumentation)
… in allen Bereichen testbar sein.
… durch staatliche Stellen evaluiert und zugelassen werden.
9AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
10AFCEA – Cyber Defence, Bonn
Flankenschutz
▀ „Sektor 13 gesichert!“
▀ Fazit:
- Viele Sicherheitsinstallationen konzentrieren sich oftmals auf eine Funktion (z.B. VPN > Transportsicherheit, aber keine Sicherung der Offline-Daten)
- Hohes Sicherheitsniveau nur durch Kombination aufeinander abgestimmter Sicherheitsmaßnahmen erreichbar
11AFCEA – Cyber Defence, Bonn
Flankenschutz
▀ Plattformsicherheit
- Durch geprüftes und zugelassenes Betriebssystem
- Integriert verschiedene Sicherheitsfunktionen
- Schützt Offline-Daten (bei Clients) und Zugriff auf das System
- Stellt zusätzlichen Schutz der Kryptokomponenten sicher
12AFCEA – Cyber Defence, Bonn
Flankenschutz
▀ Zusätzliche Module eines hochsicheren Kryptosystems
IDS Funktionen
AuthFilter /ACL
Hochsicheres Betriebssystem
Filter /ACLKrypto Kern
Software
Krypto KernHardware
Kein Bypass !> Aufspalten des Datenflusses
13AFCEA – Cyber Defence, Bonn
Ungeschütze Plattformen
▀ Ohne umfassende Plattformsicherheit …
… können Daten vor(!) der kryptografischen Behandlung verändert / gelöscht / eingebracht werden.
… sind komplexe Architekturen (bspw. NetOpFü) gefährdet
… sind direkte Angriffe gegen die IT-Plattform möglich.
… liegen lokale Daten ungeschützt auf (mobilen) Clients.
14AFCEA – Cyber Defence, Bonn
Anriffspotentiale in komplexen Architekturen
▀ Beispiel NetOpFü:
Sensor
Effektor
FüInfoSys
Angriff auf Plattform
Angriff auf Plattform
15AFCEA – Cyber Defence, Bonn
Architektur mit hochsicheren Kryptokomponenten
> Systemschutz> Schutz lokaler Daten> Transportschutz
> Authentisierung> Zugriffsschutz> Transportschutz
> Authentisierung> Zugriffsschutz> Transportschutz
> Transportschutz
> Systemschutz> Schutz lokaler Daten> Transportschutz
> Systemschutz> Schutz lokaler Daten> Transportschutz
> Sicherheitsmanagement> Konfiguration> Auswertung
16AFCEA – Cyber Defence, Bonn
Flexible, hochsichere Kryptosysteme
▀ Weitere Vorteile hochsicherer krypto-basierter Systemlösungen
- Kommunikationsbudget kann minimiert werden
- Starker Schutz der Daten ermöglicht Verwendung beliebiger (günstiger) Transportnetze
- Kryptografische Datenseparierung erlaubt Nutzung eines Transportnetzes
- Zugriffsschutz für Netzsegmente
- Bei Verwendung einer entsprechenden Infrastruktur aus Kryptokomponenten, wird ein Eindringen von außen erheblich erschwert
- Starke Authentifizierungsmechanismen auch zur Zugriffsteuerung auf Netzsegmente/Hosts
- Komplementäre Client-Systeme
- Plattformschutz für mobile und stationäre Clients
- Schutz lokaler Daten
17AFCEA – Cyber Defence, Bonn
Agenda
▀ Kryptografie – das wirksame Mittel gegen Gefahren im Cyberspace
▀ Worauf kommt es an?
▀ Vom Kryptosystem zum hochsicheren Kryptosystem
▀ Zusammenfassung
18AFCEA – Cyber Defence, Bonn
Zusammenfassung
▀ Kryptografie alleine ist nicht ausreichend, bildet aber den unverzichtbaren Kern von hochsicheren Systemen und Sicherheitsarchitekturen
▀ Nur evaluierte und zugelassene Systeme bieten ausreichend Sicherheit und Vertrauen, um in VS-Bereichen eingesetzt werden zu können
▀ Hochsichere Kryptosysteme mit verschiedenen, aufeinander abgestimmten Komponenten (One-Way-Gateways, Clients) bieten die Flexibilität, welche für die Sicherung komplexer Systeme benötigt wird
▀ Sicherung von Workflows mit Hilfe dieser Krypto-Systemlösungen möglich
19AFCEA – Cyber Defence, Bonn
Kontakt
Stefan Reuter
Senior Key Account Manager Defence
secunet Security Networks AGGeschäftsbereich Hochsicherheit Weidenauer Strasse 223-22557076 Siegen
Tel.: (0201) 5454-3510Fax: (0201) 5454-1329
E-Mail: [email protected]: http://www.secunet.com