Jörg Knaupp. Cryptomathic München

Transkript

1 Kryptografie- Management durch Crypto as a Service Jörg Knaupp Cryptomathic München Cryptomathic Firmenüberblick Headquarter History Aarhus, Dänemark Gegründet 1986 von Kryptogafieexperten der Universitat in Aarhus, DK Mitarbeiter 60 (5% Administration, Marketing & Sales 30%, R&D 65%) Kunden +300 Kunden & +30 Partner Niederlassungen Aarhus DK, Cambridge UK, Munich DE, San Jose USA, Sophia Antipolis FR Lösungen Key & HSM Management PKI & eid Authentication & Signing EMV (Bankkarten)

2 Wofür Krypto? Vertraulichkeit Verschlüsselung (Daten, s) Symmetrisch Asymmetrisch Hybrid Nichtabstreitbarkeit Signatur (z.b. PDF-Dateien, s) Integrität Signatur/MAC (z.b. Log-Dateien) Typische Anwendungsumgebung Anwendungen Datenbanken Certification Authority Timestamping OCSP Responder Datenverschlüsselung Elektronische Signaturen App 1 App 2 Proprietäre Schnittstellen Manuelles Management HSMs nicht ausgelastet App n

3 Crypto Service Gateway Kryptografie als Service Verschlüsselung (symmetrisch, asymmetrisch, hybrid) Signaturen Zentrales Management Nutzer Berechtigungen Richtlinien Operationen Crypto Service Gateway Einfache Integration CQL, einfache, verständliche Befehle PKCS#11 für existierende Applikationen Hardware unabhängig Keine direkte Beziehung Applikation-KryptoHW durch Abstraktionslayer

4 Cryptomathic CSG Approach Richtlinendurchsetzung Schlüsselmanagement Monitoring Skalierbarkeit, Fail-over, Loadbalancing Anwendung ohne dediziertes HSM Was nützt mir das? Anwendungsentwickler Projektmanager Security Officer/Compliance Manager IT Operator Höheres Management

5 Anwendungsentwickler Traditioneller Ansatz Hardware muss bereitgestellt/beschafft werden Komplexe Integration für jede Applikation benötigt Welche Verschlüsselungsalgorithmen (RSA, DES, AES )? Welche Schlüssellängen? Proprietäre Schnittstelle jedes HSM Herstellers Unterschiedliche herstellerabhängige DLLs müssen eingebunden werden Anwendungsentwickler Crypto Service Gateway Ansatz Keine Hardware benötigt-> Anwendungsentwickler erhält Benutzeraccount für den Service Einfache Integration durch verständliche Programmbefehle DO ENCRYPT FROM APPLICATION1 TO DATABASE Kryptoalgorithmen unabhängig vom Programmcode, da zentral auf dem Gateway verwaltet Einfache Integration existierender Applikationen durch PKCS#11 Schnittstelle unabhängig von der Krypto-Hardware (HSM)

6 Projektmanager Traditioneller Ansatz Hardware muss bereitgestellt / beschafft werden Security Officer, Entwickler und Einkauf müssen einbezogen werden Lieferzeiten für neue Hardware Einarbeitung von Entwicklern in neue Hardware, Kryptooperationen Erhebliche Vorlaufzeit des Projektes Sicherheitsaspekte müssen vor Projektstart geklärt werden Projektmanager Crypto Service Gateway Ansatz Keine Hardware benötigt Keine Einarbeitungszeit von Entwicklern Sicherheitsaspekte können während der Projeklaufzeit geklärt und jederzeit ohne Codeänderungen angepasst werden Kryptoparameter Berechtigungen Projektlaufzeit wesentlich geringer

7 Security Officer/Compliance Manager Traditioneller Ansatz Projektmitarbeiter müssen geschult werden bzgl. Richtlinien, erlaubter Kryptoparameter, etc. Jede Applikation muss einzeln auditiert werden Sicherstellen, dass Richtlinien eingehalten werden Komplexe Verwaltung von vielen unterschiedlichen Applikationen Monitoring Logfiles Integritätsschutz? Komplexe Schlüsselverwaltung der unterschiedlichen HSMs Compliance schwer zu prüfen und darzustellen Security Officer/Compliance Manager Crypto Service Gateway Ansatz Richtlinien werden auf dem Crypto Service Gateway verwaltet und durchgesetzt Volle Kontrolle duch den Security Officer Applikationen können nur die Operationen durchführen für die sie Berechtigungen auf dem CSG haben Codeänderungen können keine Richtlinenverletzung herbeiführen

8 Security Officer/Compliance Manager Crypto Service Gateway Ansatz Zenrale Verwaltung Richtlinen Logfiles (integritätsgeschützt) Monitoring Krypto-Schlüsseln Einfache Durchsetzung und Darstellung von Compliance IT Operator Traditioneller Ansatz Verteiles Umfeld mit dedizierter Hardware Verfügbarkeit muss pro Applikation sichergestellt werden Update und Maintenance zeitaufwendig da dezentral Überwachung der umfangreichen Applikationen und dedizierter Hardware muss sichergestellt werden

9 IT Operator Crypto Service Gateway Ansatz Verringerter administrativer Aufwand Zentrale Updates und Patchmanagement Zentrales Monitoring Krypto-HW App unabhängig Automatisches Loadbalancing/Failover Einfache Anbindung neuer Nutzer oder Applikationen Höheres Management Traditioneller Ansatz Verteiltes Umfeld mit dedizierter Hardware Verfügbarkeit muss pro Applikation sichergestellt werden Update und Maintenance zeitaufwändig da dezentral Überwachung der umfangreichen Applikationen und dedizierter Hardware muss sichergestellt werden

10 Höheres Management Crypto Service Gateway Ansatz Niedrige Betriebs- und Maintenancekosten Herstellerunabhängiger Hardwareeinkauf Hohe Auslastung existierender Hardware Reduzierter Projektoverhead Zentrale Infrastruktur einfachere Administration und Wartung keine lokalen Installationen CSG Zusammenfassung

11 Kann das funktionieren? First Data Barclays Bank nvidia Wincor Nixdorf Kundenbeispiel Barclays Ausgangslage Ca. 400HSMs Ca. 20% Auslastung Mehrere Dutzend Kryptoapplikationen

12 Kundenbeispiel Barclays Einführung CSG 20 Kryptoapplikationen -> 40+ bis Jan Millionen Krypto-Operationen pro Monat Einführung einer neuen Kryptoapplikation Stark reduzierte Hardwarekosten (130k Euro, eine Applikation!) bessere Auslastung existierender Hardware Stark reduzierte Projektlaufzeit (6 Wochen vs. 6 Monate) Schneller Projekstart durch Nutzung existierender Hardware Keine Entwicklerschulung/-einabeitung nötig da einfaches Standardinterface Weitere Informationen Produktvideo Username: csg-vw@cryptomathic.com Passwort: CRM-VW

13 Crypto Service Gateway Crypto as a service