5 Wahrheiten über Verschlüsselung zwischen Standorten und Rechenzentren Stephan Lehmann Dipl.-Betriebswirt, T.I.S.P. Produktmanager Tel. +49 (30) 6 58 84-265 stephan.lehmann@rohde-schwarz.com
Unser Tagesgeschäft basiert auf Kommunikation Sicherheit ist erfolgsentscheidend ı Schnelle und sichere Kommunikation ermöglicht Wettbewerbsvorteile Videokonferenzen Desktop Sharing VoIP Telefonie Private Clouds und Big Data ı Ausgetauschte Daten sind strategisch, personenbezogen, oft unternehmenskritisch und meist vertraulich ı Akzeptanz der Lösung beim Anwender Funktional und zeitsparend Performant und verfügbar CeBIT 2015 5 Wahrheiten über Verschlüsselung 2
Datensicherheit ist besonders für RZ unabdingbar Sicheres Disaster Recovery für Big Data ı Rechenzentren ermöglichen Cloud Computing Private Clouds (z. B. Enterprise Cloud, Green Government Cloud) Hybrid Clouds ı Treiber Big Data > SAN-Switching (Storage) Virtualisierung > Low-Latency-Netzwerke Verfügbarkeit oberstes Ziel ı Notfallwiederherstellung (DR) Geo-Redundanz durch Backup-Standorte Kryptografie für Datensicherheit (Vertraulichkeit und Integrität) Zentrale Backup CeBIT 2015 5 Wahrheiten über Verschlüsselung 3
Kommunikation benötigt Ende-Ende-Sicherheit Netzwerke und Standleitungen sind unsicher Netzwerk-Knoten (Router/Switche) sind Angriffspunkte Standleitungen können angezapft werden ANGRIFF ANGRIFF ANGRIFF ANGRIFF ANGRIFF ANGRIFF CeBIT 2015 5 Wahrheiten über Verschlüsselung 4
1. Wahrheit: Sicherheit erzeugt Overhead So viel wie nötig, so wenig wie möglich ı Verschlüsselung benötigt Platz neuer Header schützt vor Verkehrsflussanalysen und verdeckten Kanälen Verschlüsselungsparameter Authentisierung (ICV) für Manipulationsschutz Original Hdr Payload Data ı Dieser Overhead beeinflusst Latenz und Jitter Rahmen-/Paketgröße (MTU) ı Anforderung: Konfigurierbarer Trade-Off zwischen Sicherheit und Overhead Verschlüsselt New Hdr Crpt Hdr Encrypted Data (IP Tunnel Mode) ICV CeBIT 2015 5 Wahrheiten über Verschlüsselung 5
1. Wahrheit: Sicherheit erzeugt Overhead VoIP leidet besonders unter Overhead Ethernet IPsec verschlüsselt VoIP CeBIT 2015 5 Wahrheiten über Verschlüsselung 6
2. Wahrheit: Integrierte Verschlüsselung ist weniger sicher In Routern/Switchen eingebaute Verschlüsselung Designed für Routing und Switching Netz-Admin = Security-Admin Pseudo-Zufallszahlen Einfache Authentisierung mit Passwort Kein physischer Manipulationsschutz Logische Separierung Hochwertige Verschlüsselung durch dedizierte Appliance Designed für High-Speed-Verschlüsselung Separates Security Management Echte Zufallszahlen mit hoher Entropie Starke 2-Faktor-Authentisierung mit Zertifikaten Physischer Manipulationsschutz Physische Trennung verschlüsselter und unverschlüsselter Daten ATTACK ATTACK CeBIT 2015 5 Wahrheiten über Verschlüsselung 7
3. Wahrheit: Sichere und schnelle Verschlüsselung benötigt spezialisierte Hardware ı Performance für Big Data und Echtzeitanwendungen 10 Gbit/s = 10 Mrd. x Licht an/aus /s auf der Leitung Verschlüsselung darf nicht der Flaschenhals sein Schlüsselaushandlung (Elliptische Kurven) Schlüsselerzeugung Ver- und Entschlüsselung Software benötigt Millisekunden Hardware verschlüsselt in Mikrosekunden ı Computer kennen keinen echten Zufall Original Schwache Verschlüsselung ı Physischer Manipulationsschutz Starke Verschlüsselung CeBIT 2015 5 Wahrheiten über Verschlüsselung 8
4. Wahrheit: Schlüsselgenerierung und Verwaltung wird schnell komplex ı Sicherheit basiert auf einer Vielzahl von Schlüsseln Individuelle Geräte-Zertifikate (C dev ) zur Authentisierung und Schlüsselableitung Sitzungsschlüssel (K 1234 ) zwischen zwei Kommunikationspartnern Gruppenschlüssel (K group ) durch Key Server C dev1 C dev1 K 1-2 K 1-2 C dev2 C dev2 K 1-3 K 1-4 K 2-3 K 2-4 ı Anforderung: Automatisiertes Schlüsselmanagement Verzicht auf Single-Point-Of-Failure C dev3 K 3-4 C dev4 C dev1 K group C dev2 C dev3 C dev4 CeBIT 2015 5 Wahrheiten über Verschlüsselung 9
5. Wahrheit: Nicht jede Zertifizierung garantiert das erforderliche Sicherheitslevel ı Security Compliance erfordert zertifizierte Lösungen Datenschutz, TKG, GDPdU BSI Grundschutz, Geheimschutz (VSA) Basel II & III, Sarbanes-Oxley Act (SOX) ISO27001 ı Zertifizierung bestätigt definierte Schutzziele ( Security Targets ) Große Vielfalt (z. B. Common Criteria, FIPS, nationale Zulassungen) Entspricht das Schutzziel dem Einsatzzweck? ı Qualitätskriterien für Zertifizierungen Echte Zufallszahlen zur Schlüsselgenerierung Regelmäßige Überprüfung der Kryptografie Obligatorischer Manipulationsschutz CeBIT 2015 5 Wahrheiten über Verschlüsselung 10
Benchmark für Verschlüsselungslösungen Sicherheit und Overhead? Konfigurierbarer Trade-Off zwischen Sicherheit und Overhead Integrierte Verschlüsselung? Verschlüsselung von Netzwerkknoten (Router/Switche) trennen Sicher und Performant? Spezialisierte Appliance mit gehärteten Krypto-Mechanismen Schlüsselgenerierung und Verwaltung? Automatisiertes und auditierbares Schlüsselmanagement Zertifikat? Schutzziele für Einsatzzweck prüfen CeBIT 2015 5 Wahrheiten über Verschlüsselung 11
Nächste Generation von Verschlüsselungsgeräten R&S SITLine ETH setzt neue Standards Geringster Overhead Nur 5 Byte Overhead für GCM Transport (zzgl. 16 Byte Integrität) Profi-Equipment Neueste kryptografische Methoden und Standards Moderne Plattform- Architektur Saubere Rot-Schwarz-Trennung Rote Datenverarbeitung und Schnittstellen Krypto-Modul Voll-Automatischer Krypto-Betrieb Selbstheilendes Management Bestätigte Sicherheit BSI-Zulassung CC EAL4+ Zertifizierung* * Erwartet Q4/2015 Control-Board Schwarze Datenverarbeitung und Schnittstellen CeBIT 2015 5 Wahrheiten über Verschlüsselung 12
Leitungs- und Netzwerk-Verschlüsselung mit 40 Gbit/s R&S SITLine ETH40G 40 Gbit/s in nur einer Höheneinheit Maximale Bandbreiteneffizienz Geringste Latenz Sitzungsschlüssel mit hoher Entropie Starke 2-Faktor- Authentisierung durch Passwort und Token Manipulationsresistente Geräte 100 Watt Nennleistung, 90% Wirkungsgrad Weniger Strom und weniger Abwärme Optimiert für Kaltgangseinhausungen 99,9941% Verfügbarkeit (höchste MTBF) Im Betrieb wechselbare Netzteile, Lüfter und Batterien Automatischer Krypto- Betrieb Höchste Performance Wirksame Verschlüsselung Green IT 24x7 serienmäßig CeBIT 2015 5 Wahrheiten über Verschlüsselung 13
Mitwachsende Lösung für heterogene Infrastrukturen R&S SITLine ETH4G ETH10G ETH40G ı Flexibilität für heterogene Infrastrukturen Unterstützt optisches und elektrisches 10 GbE Cross Media Connect erübrigt Medienkonverter ı Investitionsschutz durch Im-Feld-Upgrade Lizenzerweiterung von einer auf vier Linien Upgrade von 1 GbE auf 10 GbE CeBIT 2015 5 Wahrheiten über Verschlüsselung 14
Ethernet-Verschlüsselung für alle Bandbreiten R&S SITLine ETH passt in jedes Netz Satellit oder Richtfunk Standort mit Backup-Rechenzentrum 2x 10 Gbit/s Standleitung R&S SITLine ETH40G Zentrale mit Rechenzentrum, Carrier, Satellit und Standleitung R&S SITLine ETH40G Außenstandort 1x 10 Mbit/s Richtfunk R&S SITLine ETH50 Produktion 1x 1 Gbit/s Carrier R&S SITLine ETH4G Standort mit Forschung und Entwicklung 1x 1 Gbit/s Carrier R&S SITLine ETH4G Low-latency, vermascht CeBIT 2015 5 Wahrheiten über Verschlüsselung 15
Mehr Infos? Besuchen Sie uns in Halle 6 / Stand K24 ı Rohde & Schwarz Application Notes Ethernet-Standleitungen Rechenzentrumsanbindung Leitungs- und Netzwerk- Verschlüsselung mit 40 Gbit/s ı Evaluationshilfe für Ethernet- Verschlüssler Erschienen auf www.inside-it.ch ı Internetworking Perspectives Web Blog von Ivan Pepelnjak http://blog.ipspace.net/ CeBIT 2015 5 Wahrheiten über Verschlüsselung 16
Rohde & Schwarz SIT GmbH Besuchen Sie uns in Halle 6 / Stand K24