CE-Infosys bietet zwei Produktlinien an, die als Netzwerkverschlüsselungslösungen für Behörden speziell konzipiert wurden. Die ANIS Produktreihe und die Premium Produktreihe. Beide Produktlinien werden ständig mit neuen Modellen und Funktionen erweitert. ANIS und Premium Produkte haben eine Fülle von Gemeinsamkeiten, aber auch grundsätzliche Unterschiede. Diese sind wie folgt beschrieben:
ANIS Produktlinie
Advanced Network Infrastructure (ANIS) Produkte bieten die modernsten Sicherheitsfunktionen, die heute am
Markt erhältlich sind. Sie wurden konzipiert, um ausgeklügelten Attacken, einschließlich physischen
Manipulationen, zu widerstehen. Dies erlaubt ihren Einsatz in unsicheren Umgebungen
und bietet die notwendige Sicherheit für die Nutzung proprietärer Algorithmen. Ein Sicherheitskonzept
mit mehreren Stufen schützt die im Produkt gespeicherten Geheimnisse. Der Schutz besteht dabei nicht
nur aus einem passiv mechanischen Schutz, sondern auch aus einer Reihe von elektronischen Schaltungen,
die ständig Produkt und Umgebung überwachen. Diese arbeiten unabhängig von einer externen Stromversorgung.
Dieser aktive Überwachungsmechanismus schützt das Produkt vom Moment der Initialisierung an.
Die Produkte werden von CE-Infosys zunächst ohne Software geliefert und erst vom Kunden initialisiert.
Das Aufspielen der Software, sowie des eigenen Verschlüsselungsalgorithmus kann von der dazu - von
behördlicher Seite - autorisierten Stelle vorgenommen werden. Dies gewährleistet, dass ausschließlich
geprüfter Code zum Einsatz kommt.
Ein spezielles Auslieferungskonzept stellt sicher, dass das Produkt keine verwertbaren Geheimnisse
während des Transports zum Bestimmungsort enthält. Sollte das Produkt während des Versands gestohlen
werden, enthält es für Dritte keine nützlichen Informationen. Jeder Versuch das Produkt während
des Transports zu manipulieren, führt dazu dass dieses unbrauchbar wird.
Am Bestimmungsort wird das Produkt aktiviert. Die Aktivierung kann nicht ohne Kenntnis und Einverständnis
des Security Administrators vollzogen werden. Für jeden Cryptor wird eine eigene Chipkarte bzw. ein
eigener Token zur Aktivierung benötigt. Daher ist es unmöglich weitere Cryptoren oder einen falschen
Cryptor zu aktivieren. Erst die Aktivierung versetzt den geladenen Code in eine verwendbare Form.
Im Betrieb kann das Produkt zusätzliche Umgebungsbedingungen erfassen. Dies schließt den Verlust der
Netzwerkverbindung und die physische Bewegung des Produktes mit ein. Alle ANIS Produkte verfügen über
einstellbare Alarmsensoren. Beispiele für einstellbare Reaktionen im Alarmfall sind die vollständige
Löschung des Produktes oder die Zurücksetzung in einen Status, der eine Re-Aktivierung vor Ort erforderlich
macht. Wie Flugzeuge haben alle ANIS Produkte eine “Black-Box” zur Aufzeichnung von
wichtigen und ungewöhnlichen Ereignissen.
Alle ANIS Produkte sind mit einem speziellen Sicherheits-Prozessor ausgestattet und bieten eine strikte
Trennung von Netzwerk- und Sicherheits-Funktionen. Die kryptografische Verarbeitung der IP-Pakete, darunter
auch die Erzeugung der Paketschlüssel erfolgt vollständig in Hardware mittels modernster FPGA Bausteine.
Alle ANIS Cryptoren verfügen über höchste Ausfallsicherheit. Dies wird erreicht durch den Verzicht auf
mechanisch drehende Teile und jeglichen Luftstrom. Aus Gründen der Zuverlässigkeit sind die Netzteile
extern angeschlossen. Eine redundante Versorgung mit 2 Netzteilen ist bei den ANIS Produkten möglich.
Durch den sehr geringen Strombedarf sind die Produkte umweltfreundlich.
Premium Produktlinie
Premium Cryptoren sind für sichere Umgebungen konzipiert und verfügen nicht über die erweiterten Selbstschutzmechanismen
der ANIS Produktreihe. Die Premium Produkte für Staatliche Organisationen bieten die gleiche Flexibilität in Sachen
kundenspezifische Algorithmen wie die ANIS Lösungen. Da der Selbstschutz allerdings begrenzt ist, ist es empfehlenswert
Produkte mit proprietärem Algorithmus nur in sicheren und überwachten Räumlichkeiten einzusetzen.
Alle CE-Infosys Netzwerkprodukte, sowie auch die Premium Produktlinie unterstützen das Enhanced IPSec Protokoll.
Diese Eigenentwicklung macht die Cryptor Produkte immun gegen bekannte Netzwerk- und kryptografische Attacken.
Eine wichtige Besonderheit ist dabei, dass der für die Verschüsselung verwendete Schlüssel wahlweise nach
jedem IP-Paket geändert werden kann. Dies reduziert die Datenmenge für eine kryptografische Analyse
auf 1500 Byte. Bei weitem zu gering für eine erfolgreiche Attacke.
Alle Cryptor Produkte sind hermetisch geschlossen und können daher in schwierigsten Umgebungsbedingungen
verwendet werden. Beispielweise in Wüsten mit kleinsten Sandpartikeln in der Luft.
Externe Netzteile tragen zur Zuverlässigkeit eines Produktes bei. Die Erfahrung zeigt allerdings, dass
elektrische Komponenten in den Netzteilen großen Belastungen ausgesetzt sind und daher gerne ausfallen.
Dies stellt kein Problem dar, wenn das Netzteil ohne Neuinstallation des Cryptor getauscht werden kann.
Der externe 12Volt Anschluss des Cryptor erlaubt die Nutzung und die Installation in Fahrzeugen, Schiffen,
Flugzeugen oder Helikoptern. Der Verzicht auf mechanisch drehende Teile im Cryptor erhöht die
Ausfallsicherheit der Produkte.
Überprüfung des Algorithmus
Mit dem Encryption Verification Utility kann Netzwerkdatenverkehr analysiert und hinsichtlich
korrekter Verschlüsselung überprüft werden. Zur Entschlüsselung eines IP-Paketes sind der richtige Algorithmus
und Schlüssel notwendig. Diese Informationen sind geheim und müssen dementsprechend behandelt werden. Daher
werden diese Geheimnisse niemals in einer Datei gespeichet. Stattdessen wird eine Chipkarte oder ein Token
genutzt, um die Geheimnisse von der GlobalAdmin Station und vom Algorithmus Generator zum Encryption Verification
Utility zu übertragen. Sie als Kunde erhalten dieses Programm mit Source-Code und intensiver Schulung. Das
Utility kann mit Produkten der ANIS und Premium Reihe verwendet werden.
Zum Encryption Verification Utility..
> oben <
