CompuSec® HSM ist eine Hardware Verschlüsselungslösung für Desktop PCs. Alle Verschlüsselungs- und Schlüsselverwaltungsfunktionen werden in Hardware ausgeführt. Die CompuSec® HSM bietet Festplattenverschlüsselung in Verbindung mit IP Netzwerkverschlüsselung. Das höchste Sicherheitslevel für Desktop PCs.
Anwendungsbereiche
Die CompuSec® HSM kommt zum Einsatz, wenn die höchste Sicherheitsstufe erforderlich ist. Verwendung findet das Produkt in Arbeitsstationen von höchster Wichtigkeit. Die Kombination von 3-Faktoren Pre-Boot Nutzerauthentisierung mit Hardware basierter Festplatten- und Netzwerkverschlüsselung ist einzigartig.
Verschlüsselungsalgorithmus
| Hardware basierender AES Algorithmus für Festplatten-, Medien- und Netzwerk-verschlüsselung |
| Schlüssellänge 256 Bit (kürzere Schlüssel werden nicht unterstützt) |
| Verschlüsselung und Schlüsselverwaltung erfolgt in Hardware FPGA Chips |
| Integrierter SmartCard Chip mit Verschlüsselungsfunktionen auf der Leiterplatte |
| ECC für DataCrypt Public Key Verfahren |
| Alle Zertifikate nutzen RSA 1024 oder RSA 2048 |
| SHA-256 wird genutzt als Hash-Algorithmus |
Kryptographie
CompuSec® HSM nutzt den Standard AES Algorithmus. Die Schlüssellänge beträgt 256 Bit. Kürzere Schlüssel mit 128 oder 192 Bit werden nicht unterstützt. Festplatten-, Medien- und Netzwerkverschlüsselung erfolgt im Hardware Chip auf der Leiterplatte (FPGA).
Schutzmechanismen
Die CompuSec® HSM verfügt über eine Reihe von Sicherheitsfunktionen zum Schutz der Integrität und der in der HSM gespeicherten Geheimnisse. Ein Anti Tamper Device schützt die Elektronik und meldet Alarm, wenn die HSM berührt oder manipuliert wurde. Das ATD erkennt auch Manipulationen im ausgeschalteten Zustand des PCs.
Alarmreaktionen
Im Alarmfalle führt die CompuSec® HSM vordefinierte Abläufe aus. Dies reicht vom normalen herunterfahren des Computers bis hin zur Löschung aller Sicherheitsinformationen in der HSM. Die Alarmreaktionen werden konfiguriert über die GlobalAdmin Verwaltungsstation.
Pre-Boot-Authentisierung
Die Pre-Boot Authentisierung erfolgt in der HSM Karte. Die Chipkarte des Benutzers ist direkt mit der CompuSec® HSM und nicht mit dem PC verbunden. Der Boot code ist in der HSM gespeichert und wird vom PC gelesen, wenn die Nutzer Authentisierung erfolgreich war. Um einen entsprechend gesicherten PC zu starten, müssen die folgenden 3 Informationen übereinstimmen:
- Das Passwort des Benutzer muss zu seinem Token passen
- Der Token muss zur Chipkarte auf der HSM Leiterplatte passen
- Die Schlüssel der Chipkarte müssen zur verschlüsselten Festplatte passen
Festplatte, HSM-Karte, Token und der Benutzer müssen zusammenpassen, um den Computer verwenden zu können.
Passwortverwaltung
Der Kunde kann die Passwort-Strategie seinen Bedürfnissen anpassen. Variabel sind
die Passwortlebensdauer nach Tagen und/oder Logins, der Passwortwechsel zu jeder
Zeit, die Passwortlänge und weitere Einstellungen. In den Fällen wo ein Passwort
vergessen wurde, bietet ein Challenge/Response Verfahren in Verbindung mit der
GlobalAdmin Station eine einfache und sichere Möglichkeit, um dem Benutzer ein
neues Passwort zuzuteilen.
Single Sign On
Zwei Alternativen von Single Sign On werden unterstützt. Erstens: die e-Identity® des
Benutzers speichert das System-Anmeldepasswort zusammen mit der Benutzer-ID und
dem Domain-Namen. Dies ersetzt die traditionelle Anmeldung am Betriebssystem. Die
zweite, fortschrittlichere Methode die CompuSec® bietet, nutzt ein digitales Zertifikat
des Nutzers zusammen mit dem privaten Schlüssel in der e-Identity®. Diese
zertifikatsbasierte Anmeldung am Domain-Server ist der bevorzugte Weg für
Domain-Nutzer und ist voll integriert im Microsoft Betriebssystem. Das zertifikatsbasierte
Single Sign On benötigt die GlobalAdmin Station, die als Zertifikatsstelle genutzt wird.
Lotus Notes Nutzer speichern ihre ID-Informationen in der e-Identity® und nutzen ebenso
die Zertifikate der e-Identity®.
Festplattenverschlüsselung
Die Festplattenverschlüsselung von CompuSec® HSM nutzt den schnellen AES Algorithmus. Jeder Sektor der Festplatte(n) wird verschlüsselt mit unterschiedlichen Initialisierungsvektoren. Dies hat den Effekt, dass identische Daten im verschlüsselten System unterschiedlich dargestellt und in unterschiedlichen Sektoren gespeichert werden können. Hackerangriffe mittels statistischer Analyse der verschlüsselten Festplatte werden somit verhindert. Die Festplattenverschlüsselung schließt das Betriebssystem mit ein. Mehrere Betriebssysteme auf einem Computer werden unterstützt. Die
Initialverschlüsselung wird direkt nach dem Login des Benutzers gestartet oder nach
dem Login unter dem Betriebssystem (Hintergrundverschlüsselung). Die
Hintergrundverschlüsselung ermöglicht dem Benutzer den Verschlüsselungsprozess zu
unterbrechen und den Computer jederzeit herunterzufahren oder den Hibernation Modus
zu nutzen. Sehr wichtig für Nutzer von mobilen Systemen ist die Unterstützung des
Hibernation Modus des Windows Betriebssystems. In diesem Modus werden die Inhalte
des Arbeitsspeichers (RAM) auf die Festplatte geschrieben und verschlüsselt, bevor
der Computer herunterfährt. Beim Neustart werden nach der Pre-Boot Authentifizierung
des Benutzers die RAM-Inhalte wieder von der verschlüsselten Hibernation Datei geladen
und der Benutzer kann seine Arbeit fortsetzen. Bisher konnten
Festplattenverschlüsselungen diesen Modus nicht unterstützen oder keine
verschlüsselte Hibernation Datei erzeugen. CE-Infosys war das erste Unternehmen,
dass den Hibernation Modus in seinen Produkten unterstützte.
Wechselmedienverschlüsselung, CD-ROM & DVD - CDCrypt
Disketten, CD/DVD, und Wechselmedien wie z.B. USB Speichermodule und
externe USB Festplatten können mit CompuSec® HSM verschlüsselt werden. Die CD/DVD Verschlüsselung nutzt die CDCrypt Funktion, die intern oder extern über USB oder IDE angebundene CD/DVD Brenner unterstützt. Mit
der zentralen Administration über GlobalAdmin ist es möglich die Verschlüsselungsregeln
und damit die Modi zu definieren, in welchem diese "Geräte" benutzt werden. Der
Nutzer kann das Recht erhalten, den Verschlüsselungsmodus zu verändern. Damit
erhält das Unternehmen die Möglichkeit Sicherheitsrichtlinien umzusetzen, z.B. die
ausschließliche Nutzung von verschlüsselten Disketten oder Wechselmedien.
Dateiverschlüsselung für sicheren Austausch - DataCrypt
CompuSec® HSM beinhaltet DataCrypt, welches den Nutzern ermöglicht, einzelne
Dateien zu verschlüsseln. Mit DataCrypt können die Nutzer verschlüsselte Nachrichten
per E-Mail, FTP etc. versenden. Die Daten werden verschlüsselt versendet oder mit
einem anderen Medium transportiert. Zusätzlich ist es mit CompuSec® möglich die
Dateien auf sicherem Wege auszutauschen. DataCrypt nutzt dazu ein Public-Key
Verfahren mit der Schlüsselgenerierung über elliptische Kurven. DataCrypt nutzt die
neue "Sealing" Technologie, die alle Strukturen im Header der verschlüsselten Dateien
versteckt. Sealing erlaubt den Schutz der verschlüsselten Dateien vor neugierigen
Augen bei Ihrer Reise durch das Internet.
E-Mail Signierung & Verschlüsselung
CompuSec® HSM bietet die erforderlichen Verschlüsselungsmodule, um E-Mails in Microsoft
Outlook, Outlook Express oder Lotus Notes zu verschlüsseln und zu signieren. Die
benötigten digitalen Zertifikate für die E-Mail Sicherheit sind in der e-Identity® gespeichert.
Die kryptografische Software arbeitet mit dem Microsoft signierten CSP (Cryptographic
Service Provider). Die E-Mail Sicherheit nutzt den S-MIME Standard, um den Austausch
mit anderen Benutzern, die CompuSec® noch nicht verwenden, zu garantieren.
Verschlüsselte Dateien und Verzeichnisse auf Servern - SafeLan
Datei- und Verzeichnisverschlüsselung mit CompuSec® HSM kann auf dem lokalen
Rechner oder auf Netzlaufwerken durchgeführt werden. Diese Funktion stellt sicher,
dass alle Dateien, die in das Verzeichnis zur Verschlüsselung geschrieben oder kopiert
werden, automatisch und absolut transparent für den Benutzer verschlüsselt werden.
Dies gewährleistet, dass nur Nutzer die einen autorisierten Zugangsschlüssel besitzen,
Zugang zu diesem Verzeichnis haben und somit Dateien entschlüsseln, d.h. lesen
können. Diese Funktion wird verwendet um Benutzertrennung auf Unternehmensservern
auf kryptografischem Wege zu realisieren. Sicher ist, dass selbst der Server-Administrator
die Inhalte der verschlüsselten Dateien nicht lesen kann. SafeLAN unterstützt die Dateisysteme FAT,
NTFS und Netzwerk Speichersysteme.
Verschlüsselte Sprachkommunikation - [ClosedTalk] ®
[ClosedTalk]TM ist die CompuSec® HSM Komponente für die verschlüsselte Sprachübertragung
zwischen zwei CompuSec® Nutzern. [ClosedTalk]TM verwendet die Soundkarte des PC’s
und spart dadurch externe Geräte. Die Sprachdaten werden kostengünstig und sicher
über das Internet ausgetauscht. Anstatt mit der Telefonnummer erfolgt die Anwahl des
Gesprächspartners mittels der persönlichen E-Mail Adresse. [ClosedTalk]TM nutzt gesicherte
Vermittlungsrechner im Internet zur Vermittlung der Gespräche. Die Verwendung
ausgefeilter Sicherheitstechnik garantiert sowohl die Vertraulichkeit der Gesprächsinhalte
als auch die der Verbindungsdaten.
Identity Management
Ein universelles Passwortmanagement unterstützt PC und Internet basierende
Anwendungen. Die Identität des Anwenders wird bei der CompuSec® HSM Anmeldung einmalig
festgestellt und dann auf Wunsch automatisiert anderen Anwendungen mitgeteilt.
Es werden zusätzlich zertifikatsbasierte Anmeldeprozesse an Microsoft Domain
Controllern, Lotus Notes, Novell und anderen Netzwerken unterstützt.
Erweiterter VPN Client für sichere Verbindungen zu Unternehmensnetzwerken
CompuSec® HSM bietet IP-Verschlüsselung für WAN- und LAN-Nutzer. Der IPCrypt Client ist
eine bei der Installation auswählbare Funktion von CompuSec® HSM. Der IPCrypt Client
unterstützt IP Adresspools, Datenkompression, mehrere Einwahlpunkte und weitere
Funktionen. Die IP Verschlüsselung von CompuSec® HSM benötigt einen Cryptor als
VPN-Gateway im Netzwerk.
IP Netzwerkverschlüsselung Kompatibilitätsliste
CE-Infosys Netzwerkverschlüsselungsprodukte arbeiten problemlos mit allen anderen CE-Infosys Lösungen zusammen. Voraussetzung ist, dass die Produkte den gleichen Algorithmus und die gleichen Schlüssel verwenden. Beides ist zu 100% in Kundenhand. Die folgende Liste führt die Verschlüsselungsprodukte auf, die für den Einsatz in Unternehmensnetzwerken ausgelegt sind:
- ANIS MicroCryptor *
- ANIS GigaCryptor *
- PocketCryptor
- MicroCryptor
- PowerCryptor
- GigaCryptor
- IPCrypt Client mit e-Identity Token oder Chipkarte
- CompuSec mit e-Identity Token oder Chipkarte
* Nur mit Standard AES S-Boxen und ohne zusätzliche Verschlüsselungsrunden
Installation & Verwaltung
CompuSec® HSM kann mit oder ohne zentrale Verwaltung installiert werden. Bei der Single-Installation von CompuSec®
HSM wird während der Installation eine Sicherheitsdatei mit allen geheimen Schlüsseln erzeugt. Es liegt im
Verantwortungsbereich des Benutzers die Datei und die Schlüssel sicher zu verwahren. Beim Einsatz von CompuSec® HSM in größeren Organisationen (z.B. Unternehmen und Behörden) ist eine zentrale Verwaltung mit dem GlobalAdmin
Management Programm empfehlenswert. Die GlobalAdmin Station verwaltet alle Rechner, Benutzerprofile, Rechte,
Schlüssel,
e-Identities® und weitere Daten der CompuSec® HSM Installationen. GlobalAdmin erlaubt bedienerlose Installationen,
automatische Softwareverteilung und Software Updates, ein ferngesteuertes Passwortrücksetzen und komplette
Verwaltung der VPN-Funktionen. CompuSec® HSM kann als integrierter Teil einer unternehmensweiten PKI-Struktur genutzt
werden. Für Unternehmen mit mehreren Standorten ist eine e-Identity® Loading Station verfügbar. Für den User Help Desk ist ein e-Help Center Produkt verfügbar, welches die Passwortrücksetzung mittels Challenge-Response Verfahren als eigenständige Supportfunktion ermöglicht. Ein automatischer
Abgleich mit der Microsoft Nutzerverwaltung und "Active Directory" ist für die CompuSec® HSM Verwaltung gewährleistet.
> oben <
