CompuSec® Mobile ist eine Hardware Verschlüsselungslösung für Notebooks kombiniert mit umfangreichen Sicherheitsfunktionen für den mobilen Einsatz. Die Verbindung von 3-Faktoren Pre-Boot Nutzer-authentisierung mit Hardware basierter Festplatten- und Netzwerkverschlüsselung ist einzigartig. Die CompuSec® Mobile verfügt über einen integrierten Chipkartenleser, der für Authentisierung und Zertifikate verwendet wird. Das Produkt ist das derzeit höchste Sicherheitslevel für Notebooks und mobile PCs.
Anwendungsbereiche
Die CompuSec® Mobile kommt in Notebooks zur Verschlüsselung höchst sensitiver Daten zum Einsatz. Eine Dual Boot Funktion ermöglicht die Verwendung einer versteckten Partition, wenn nach außen die verschlüsselten Bereiche nicht ersichtlich sein sollen. Dazu sind 2 Betriebssysteme auf der Festplatte installiert. Wenn die CompuSec® Mobile während der Startvorgangs nicht im CardBus Steckplatz eingesteckt ist, wird automatisch das unverschlüsselte Betriebssystem gestartet. Ist die CompuSec® Mobile verfügbar, erfolgt die Nutzerauthentisierung und der Anwender arbeitet mit dem verschlüsselten Bereich der Festplatte. Ein Zugriff auf die unverschlüsselte Partition ist sodann nicht möglich.
Verschüsselungsalgorithmus
| Hardware basierender AES Algorithmus für Festplatten-, Medien- und Netzwerk-verschlüsselung |
| Schlüssellänge 256 Bit (kürzere Schlüssel werden nicht unterstützt) |
| Verschlüsselung und Schlüsselverwaltung erfolgt in Hardware FPGA Chips |
| Integrierter SmartCard Chip mit Verschlüsselungsfunktionen auf der Leiterplatte |
| ECC für DataCrypt Public Key Verfahren |
| Alle Zertifikate nutzen RSA 1024 oder RSA 2048 |
| SHA-256 wird genutzt als Hash-Algorithmus |
Kryptographie
CompuSec® Mobile nutzt den Standard AES Algorithmus. Die Schlüssellänge beträgt 256 Bit. Kürzere Schlüssel mit 128 oder 192 Bit werden nicht unterstützt. Festplatten-, Medien- und Netzwerkverschlüsselung erfolgt im Hardware Chip auf der Leiterplatte (FPGA).
Schutzmechanismen
CompuSec® Mobile schützt die Geheimnisse mittels eines SmartCard Chips direkt auf der Leiterplatte. Verschlüsselung und Schlüsselverwaltung erfolgt im FPGA Chip. Dieser löscht alle Geheimnisse, wenn das Notebook ausgeschaltet wrid. Beim Starten des PCs berechnen Chipkarte der Benutzers und der onboard SmartCard Chip der CompuSec® Mobile erneut die Geheimnisse. Dies bietet höchsten Schutz, wenn eine CompuSec® Mobile verloren geht.
Pre-Boot-Authentisierung
Die Authentisierung des Nutzers erfolgt unmittelbar nachdem der Computer gestartet wurde und bevor das Betriebssystem bootet. Die Pre-Boot Authentisierung bietet zusätzlichen Schutz, da der Authentisierungsprozess unabhängig vom Betriebssystem erfolgt. CompuSec® Mobile bietet in der Pre-Boot Phase diverse Hilfefunktionen zur Unterstützung der Nutzer, zum Beispiel wenn das Passwort vergessen wurde.
Passwortverwaltung
Der Kunde kann die Passwort-Strategie seinen Bedürfnissen anpassen. Variabel sind
die Passwortlebensdauer nach Tagen und/oder Logins, der Passwortwechsel zu jeder
Zeit, die Passwortlänge und weitere Einstellungen. In den Fällen wo ein Passwort
vergessen wurde, bietet ein Challenge/Response Verfahren in Verbindung mit der
GlobalAdmin Station eine einfache und sichere Möglichkeit, um dem Benutzer ein
neues Passwort zuzuteilen.
Single Sign On
Zwei Alternativen von Single Sign On werden unterstützt. Erstens: die e-Identity® des
Benutzers speichert das System-Anmeldepasswort zusammen mit der Benutzer-ID und
dem Domain-Namen. Dies ersetzt die traditionelle Anmeldung am Betriebssystem. Die
zweite, fortschrittlichere Methode die CompuSec® bietet, nutzt ein digitales Zertifikat
des Nutzers zusammen mit dem privaten Schlüssel in der e-Identity®. Diese
zertifikatsbasierte Anmeldung am Domain-Server ist der bevorzugte Weg für
Domain-Nutzer und ist voll integriert im Microsoft Betriebssystem. Das zertifikatsbasierte
Single Sign On benötigt die GlobalAdmin Station, die als Zertifikatsstelle genutzt wird.
Lotus Notes Nutzer speichern ihre ID-Informationen in der e-Identity® und nutzen ebenso
die Zertifikate der e-Identity®.
Festplattenverschlüsselung
Die Festplattenverschlüsselung von CompuSec® Mobile nutzt den schnellen AES Algorithmus. Jeder Sektor der Festplatte(n) wird verschlüsselt mit unterschiedlichen Initialisierungsvektoren. Dies hat den Effekt, dass identische Daten im verschlüsselten System unterschiedlich dargestellt und in unterschiedlichen Sektoren gespeichert werden können. Hackerangriffe mittels statistischer Analyse der verschlüsselten Festplatte werden somit verhindert. Die Festplattenverschlüsselung schließt das Betriebssystem mit ein. Mehrere Betriebssysteme auf einem Computer werden unterstützt. Die
Initialverschlüsselung wird direkt nach dem Login des Benutzers gestartet oder nach
dem Login unter dem Betriebssystem (Hintergrundverschlüsselung). Die
Hintergrundverschlüsselung ermöglicht dem Benutzer den Verschlüsselungsprozess zu
unterbrechen und den Computer jederzeit herunterzufahren oder den Hibernation Modus
zu nutzen. Sehr wichtig für Nutzer von mobilen Systemen ist die Unterstützung des
Hibernation Modus des Windows Betriebssystems. In diesem Modus werden die Inhalte
des Arbeitsspeichers (RAM) auf die Festplatte geschrieben und verschlüsselt, bevor
der Computer herunterfährt. Beim Neustart werden nach der Pre-Boot Authentifizierung
des Benutzers die RAM-Inhalte wieder von der verschlüsselten Hibernation Datei geladen
und der Benutzer kann seine Arbeit fortsetzen. Bisher konnten
Festplattenverschlüsselungen diesen Modus nicht unterstützen oder keine
verschlüsselte Hibernation Datei erzeugen. CE-Infosys war das erste Unternehmen,
dass den Hibernation Modus in seinen Produkten unterstützte.
Wechselmedienverschlüsselung, CD-ROM & DVD - CDCrypt
Disketten, CD/DVD, und Wechselmedien wie z.B. USB Speichermodule und
externe USB Festplatten können mit CompuSec® Mobile verschlüsselt werden. Die CD/DVD Verschlüsselung nutzt die CDCrypt Funktion, die intern oder extern über USB oder IDE angebundene CD/DVD Brenner unterstützt. Mit
der zentralen Administration über GlobalAdmin ist es möglich die Verschlüsselungsregeln
und damit die Modi zu definieren, in welchem diese "Geräte" benutzt werden. Der
Nutzer kann das Recht erhalten, den Verschlüsselungsmodus zu verändern. Damit
erhält das Unternehmen die Möglichkeit Sicherheitsrichtlinien umzusetzen, z.B. die
ausschließliche Nutzung von verschlüsselten Disketten oder Wechselmedien.
Dateiverschlüsselung für sicheren Austausch - DataCrypt
CompuSec® Mobile beinhaltet DataCrypt, welches den Nutzern ermöglicht, einzelne
Dateien zu verschlüsseln. Mit DataCrypt können die Nutzer verschlüsselte Nachrichten
per E-Mail, FTP etc. versenden. Die Daten werden verschlüsselt versendet oder mit
einem anderen Medium transportiert. Zusätzlich ist es mit CompuSec® möglich die
Dateien auf sicherem Wege auszutauschen. DataCrypt nutzt dazu ein Public-Key
Verfahren mit der Schlüsselgenerierung über elliptische Kurven. DataCrypt nutzt die
neue "Sealing" Technologie, die alle Strukturen im Header der verschlüsselten Dateien
versteckt. Sealing erlaubt den Schutz der verschlüsselten Dateien vor neugierigen
Augen bei Ihrer Reise durch das Internet.
E-Mail Signierung & Verschlüsselung
CompuSec® Mobile bietet die erforderlichen Verschlüsselungsmodule, um E-Mails in Microsoft
Outlook, Outlook Express oder Lotus Notes zu verschlüsseln und zu signieren. Die
benötigten digitalen Zertifikate für die E-Mail Sicherheit sind in der e-Identity® gespeichert.
Die kryptografische Software arbeitet mit dem Microsoft signierten CSP (Cryptographic
Service Provider). Die E-Mail Sicherheit nutzt den S-MIME Standard, um den Austausch
mit anderen Benutzern, die CompuSec® noch nicht verwenden, zu garantieren.
Verschlüsselte Dateien und Verzeichnisse auf Servern - SafeLan
Datei- und Verzeichnisverschlüsselung mit CompuSec® Mobile kann auf dem lokalen
Rechner oder auf Netzlaufwerken durchgeführt werden. Diese Funktion stellt sicher,
dass alle Dateien, die in das Verzeichnis zur Verschlüsselung geschrieben oder kopiert
werden, automatisch und absolut transparent für den Benutzer verschlüsselt werden.
Dies gewährleistet, dass nur Nutzer die einen autorisierten Zugangsschlüssel besitzen,
Zugang zu diesem Verzeichnis haben und somit Dateien entschlüsseln, d.h. lesen
können. Diese Funktion wird verwendet um Benutzertrennung auf Unternehmensservern
auf kryptografischem Wege zu realisieren. Sicher ist, dass selbst der Server-Administrator
die Inhalte der verschlüsselten Dateien nicht lesen kann. SafeLAN unterstützt die Dateisysteme FAT,
NTFS und Netzwerk Speichersysteme.
Verschlüsselte Sprachkommunikation - [ClosedTalk] ®
[ClosedTalk]TM ist die CompuSec® Mobile Komponente für die verschlüsselte Sprachübertragung
zwischen zwei CompuSec® Nutzern. [ClosedTalk]TM verwendet die Soundkarte des PC’s
und spart dadurch externe Geräte. Die Sprachdaten werden kostengünstig und sicher
über das Internet ausgetauscht. Anstatt mit der Telefonnummer erfolgt die Anwahl des
Gesprächspartners mittels der persönlichen E-Mail Adresse. [ClosedTalk]TM nutzt gesicherte
Vermittlungsrechner im Internet zur Vermittlung der Gespräche. Die Verwendung
ausgefeilter Sicherheitstechnik garantiert sowohl die Vertraulichkeit der Gesprächsinhalte
als auch die der Verbindungsdaten.
Identity Management
Ein universelles Passwortmanagement unterstützt PC und Internet basierende
Anwendungen. Die Identität des Anwenders wird bei der CompuSec® Mobile Anmeldung einmalig
festgestellt und dann auf Wunsch automatisiert anderen Anwendungen mitgeteilt.
Es werden zusätzlich zertifikatsbasierte Anmeldeprozesse an Microsoft Domain
Controllern, Lotus Notes, Novell und anderen Netzwerken unterstützt.
Erweiterter VPN Client für sichere Verbindungen zu Unternehmensnetzwerken
CompuSec® Mobile bietet IP-Verschlüsselung für WAN- und LAN-Nutzer. Der IPCrypt Client ist
eine bei der Installation auswählbare Funktion von CompuSec® Mobile. Der IPCrypt Client
unterstützt IP Adresspools, Datenkompression, mehrere Einwahlpunkte und weitere
Funktionen. Die IP Verschlüsselung von CompuSec® Mobile benötigt einen Cryptor als
VPN-Gateway im Netzwerk.
IP Netzwerkverschlüsselung Kompatibilitätsliste
CE-Infosys Netzwerkverschlüsselungsprodukte arbeiten problemlos mit allen anderen CE-Infosys Lösungen zusammen. Voraussetzung ist, dass die Produkte den gleichen Algorithmus und die gleichen Schlüssel verwenden. Beides ist zu 100% in Kundenhand. Die folgende Liste führt die Verschlüsselungsprodukte auf, die für den Einsatz in Unternehmensnetzwerken ausgelegt sind:
- ANIS MicroCryptor *
- ANIS GigaCryptor *
- PocketCryptor
- MicroCryptor
- PowerCryptor
- GigaCryptor
- IPCrypt Client mit e-Identity Token oder Chipkarte
- CompuSec mit e-Identity Token oder Chipkarte
* Nur mit Standard AES S-Boxen und ohne zusätzliche Verschlüsselungsrunden
Installation & Management
CompuSec® Mobile kann mit oder ohne zentrale Verwaltung installiert werden. Bei der Single-Installation von CompuSec®
Mobile wird während der Installation eine Sicherheitsdatei mit allen geheimen Schlüsseln erzeugt. Es liegt im
Verantwortungsbereich des Benutzers die Datei und die Schlüssel sicher zu verwahren. Beim Einsatz von CompuSec® Mobile in größeren Organisationen (z.B. Unternehmen und Behörden) ist eine zentrale Verwaltung mit dem GlobalAdmin
Management Programm empfehlenswert. Die GlobalAdmin Station verwaltet alle Rechner, Benutzerprofile, Rechte,
Schlüssel,
e-Identities® und weitere Daten der CompuSec® Mobile Installationen. GlobalAdmin erlaubt bedienerlose Installationen,
automatische Softwareverteilung und Software Updates, ein ferngesteuertes Passwortrücksetzen und komplette
Verwaltung der VPN-Funktionen. CompuSec® Mobile kann als integrierter Teil einer unternehmensweiten PKI-Struktur genutzt
werden. Für Unternehmen mit mehreren Standorten ist eine e-Identity® Loading Station verfügbar. Für den User Help Desk ist ein e-Help Center Produkt verfügbar, welches die Passwortrücksetzung mittels Challenge-Response Verfahren als eigenständige Supportfunktion ermöglicht. Ein automatischer
Abgleich mit der Microsoft Nutzerverwaltung und "Active Directory" ist für die CompuSec® Mobile Verwaltung gewährleistet.
>oben<
