R&S CryptoServer Höchste Sicherheit für vertrauliche Daten und kryptografische Schlüssel



Ähnliche Dokumente
R&S CryptoServer Höchste Sicherheit für vertrauliche Daten und kryptografische Schlüssel

Produktbroschüre Version R&S CryptoServer Höchste Sicherheit für vertrauliche Daten und kryptografische Schlüssel

R&S EFW Flywheel Manuelle Einstellung von Empfängerparametern

Rohde & Schwarz Service mit Mehrwert

Stammtisch Zertifikate

Verschlüsselung

Diffie-Hellman, ElGamal und DSS. Vortrag von David Gümbel am

Allgemeine Erläuterungen zu

Möglichkeiten der verschlüsselten -Kommunikation mit der AUDI AG Stand: 11/2015

How-to: Webserver NAT. Securepoint Security System Version 2007nx

ANWENDUNGSFÄLLE UND SZENARIEN REVERSE PROXY

R&S ENY81-CA6 Kopplungsnetzwerk Für Störaussendungsund Störfestigkeitsmessungen. TK-Schnitt stellen. Datenblatt Messtechnik

-Verschlüsselung mit S/MIME

Netzsicherheit I, WS 2008/2009 Übung 12. Prof. Dr. Jörg Schwenk

estos UCServer Multiline TAPI Driver

Sicherheit im E-Business

Datenaustausch mit Ihren Versicherten einfach und sicher über die Cloud

-Zertifikatsverwaltung

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Programmiertechnik II

White Paper. Konfiguration und Verwendung des Auditlogs Winter Release

Mediumwechsel - VR-NetWorld Software

Betriebssysteme und Sicherheit

Mediumwechsel - VR-NetWorld Software

Sichere Kommunikation mit Ihrer Sparkasse

Secure Network Communications (BC-SEC-SNC)

Whitepaper. EDIFACT-Signatur-, Verschlüsselungs- und Mailcockpit

R&S ATCMC16 Air Traffic Control Multikoppler Aktive 16-fach-VHF/UHFSignalverteilung

Umstellung des Schlüsselpaares der Elektronischen Unterschrift von A003 (768 Bit) auf A004 (1024 Bit)

Information der Ärztekammer Hamburg zum earztausweis. Beantragung und Herausgabe des elektronischen Arztausweises

10.6 Authentizität. Geheimhaltung: nur der Empfänger kann die Nachricht lesen

Community Zertifizierungsstelle. Digitale Identität & Privatsphäre. SSL / S/MIME Zertifikate

Verteilte Systeme. Übung 10. Jens Müller-Iden

Sichere Kommunikation mit Ihrer Sparkasse

Anwendungsbeispiele Sign Live! Secure Mail Gateway

ANYWHERE Zugriff von externen Arbeitsplätzen

Pressemitteilung. Sichere Dokumente in der Cloud - Neue Open Source Dokumenten-Verschlüsselung

-Verschlüsselung

2. Konfiguration der Adobe Software für die Überprüfung von digitalen Unterschriften

Elektronische Signaturen. LANDRATSAMT BAUTZEN Innerer Service EDV

OP-LOG

OSCI-Transport 1.2 Korrigenda 05/2011 Status: Entwurf OSCI Leitstelle

Microtraining e-security AGETO

Local Control Network Technische Dokumentation

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.8 Berlin, Januar Copyright 2016, Bundesdruckerei GmbH

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Einrichten eines Postfachs mit Outlook Express / Outlook bis Version 2000

Verteilte Systeme Unsicherheit in Verteilten Systemen

BSI Technische Richtlinie

NAT & VPN. Adressübersetzung und Tunnelbildung. Bastian Görstner

Sicherer Mailversand des Referats Automatisiertes Auskunftsverfahren (IS14 der Bundesnetzagentur)

Endpoint Web Control Übersichtsanleitung

Bestätigung. TÜV Informationstechnik GmbH - ein Unternehmen der RWTÜV-Gruppe - Zertifizierungsstelle Langemarckstraße Essen

LOG-FT BAG Filetransfer zum Austausch mit dem Bundesamt für Güterverkehr (BAG) Kurzanleitung

LabView7Express Gerätesteuerung über LAN in einer Client-Serverkonfiguration. 1. Steuerung eines VI über LAN

Software zur Anbindung Ihrer Maschinen über Wireless- (GPRS/EDGE) und Breitbandanbindungen (DSL, LAN)

Anleitung Thunderbird Verschlu sselung

Anleitung zum Prüfen von WebDAV

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Switching. Übung 9 EAP 802.1x. 9.1 Szenario

Einfache und effiziente Zusammenarbeit in der Cloud. EASY-PM Office Add-Ins Handbuch

PKI-Outsourcing: Vertrauen ist gut, Kryptografie ist besser

I N F O R M A T I O N V I R T U A L I S I E R U N G. Wir schützen Ihre Unternehmenswerte

Schleupen.Cloud IT-Betrieb sicher, wirtschaftlich und hochverfügbar.

SCHRITT FÜR SCHRITT ZU IHRER VERSCHLÜSSELTEN

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.5 Berlin, März Copyright 2015, Bundesdruckerei GmbH

Chiffry. einfach sicher kommunizieren

Lizenzierung von System Center 2012

White Paper. Installation und Konfiguration der Fabasoft Integration für CalDAV

sign-me Unterschreiben mit dem npa: schnell und einfach

Kryptographische Anonymisierung bei Verkehrsflussanalysen

Update und Konfiguraton mit dem ANTLOG Konfigurations-Assistenten

Beschreibung und Bedienungsanleitung. Inhaltsverzeichnis: Abbildungsverzeichnis: Werkzeug für verschlüsselte bpks. Dipl.-Ing.

Betriebssysteme und Sicherheit Sicherheit. Signaturen, Zertifikate, Sichere

Avira Professional Security/ Avira Server Security Version 2014 Release-Informationen

Drahtlose Kommunikation in sicherheitskritischen Systemen

Datenempfang von crossinx

PKI Was soll das? LugBE. Public Key Infrastructures - PKI

Anleitung zum ebanking KOMPLETT - Computercheck So aktualisieren Sie Ihr Microsoft-Betriebssystem

Adressen und Kontaktinformationen

Registrierung im Datenraum

Entwicklung und Einsatz von Signaturserverdiensten

Virtual Private Network. David Greber und Michael Wäger

Handbuch. timecard Connector Version: REINER SCT Kartengeräte GmbH & Co. KG Goethestr Furtwangen

Payment Card Industry (PCI) Datensicherheitsstandard. Änderungsübersicht von PCI-DSS Version 3.0 auf 3.1

D Versandoptionen

BSV Software Support Mobile Portal (SMP) Stand

Digital signierte Rechnungen mit ProSaldo.net

Installationsanleitung SSL Zertifikat

Daten Monitoring und VPN Fernwartung

White Paper. Installation und Konfiguration der PVP Integration

Diese Anleitung erläutert die Einrichtung des Active Directory Modus im DNS-343.

PREISLISTE TRUSTCENTER-PRODUKTE. Preisliste Version 3.0 Berlin, November Copyright 2013, Bundesdruckerei GmbH

Authentikation und digitale Signatur

2. Einrichtung der ODBC-Schnittstelle aus orgamax (für 32-bit-Anwendungen)

TopSec Mobile Sichere Sprachverschlüsselung. für Smartphones und Laptops. Produktbroschüre Sichere Kommunikation

eid-server Thomas Koch, Manager Corporate Communications OpenLimit SignCubes AG Berlin, Juli 2010

Die Smartcard im microsd-format

Handbuch USB Treiber-Installation

Transkript:

Sichere Kommunikation Datenblatt 02.01 R&S CryptoServer Höchste Sicherheit für vertrauliche Daten und kryptografische Schlüssel

R&S CryptoServer Auf einen Blick R&S CryptoServer wird als Hardware Sicherheitsmodul (HSM) für die Absicherung von Transaktionen und Daten eingesetzt. R&S CryptoServer entspricht höchsten internationalen Sicherheitsstandards, verfügt über Zertifizierungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und des US National Institute of Standards and Technology (NIST). Über Schnittstellen (APIs) wird R&S CryptoServer in vorhandene IT-Systeme wie Public-Key-Infrastrukturen (PKI) von Ausweisund Inspektionssystemen integriert und dort für Verschlüsselung und Signatur vertraulicher Daten genutzt. R&S CryptoServer ist durch sein optimiertes Durchsatzverhalten und den geringen Administrations aufwand besonders für den zentralen Einsatz, zum Beispiel zur Initialisierung und Validierung von Zertifikaten einer PKI, zur Verschlüsselung von Datenbanken oder zur sicheren Authentisierung geeignet. Durch den hohen Sicherheitsstandard von R&S CryptoServer ist das Hardware Sicherheits modul (HSM) sowohl für hoheitliche Anwendungen, zum Beispiel bei Polizei, Militär und Verwaltung, als auch für kommerzielle Anwendungen mit höchsten Sicherheitsanforderungen, beispielsweise bei Banken, einsetzbar. Dieser hohe Sicherheitsstandard wird durch die Kombination von physischen Schutzmaßnahmen mit Software Sicherheitstechniken ermöglicht. Selbst bei einem massiven mechanischen Angriff auf ein entwendetes HSM werden die gespeicherten Informationen vor Offenlegung bewahrt, da R&S CryptoServer mit ausgefeilten Mechanismen zur Angriffserkennung sowie begleitenden Schutzmaßnahmen versehen ist. So wird im Falle eines unautorisierten Zugriffversuchs das gespeicherte Schlüssel- und Datenmaterial binnen Millisekunden gelöscht. Hauptmerkmale Hardware-Sicherheitsmodul als Einsteckkarte (PCI/PCIe) und als LAN-Appliance (Industrie-PC) Hochperformante Bereitstellung zeitgemäßer kryptografischer Methoden und Algorithmen (z.b. AES, Elliptische Kurven) für verschiedene Schlüssellängen Physische Sicherungstechniken für maximale Sicherheit (z.b. Manipulationsschutz, Speicherschutz, Notlöschen, physikalischer Zufallszahlengenerator) Zugelassen durch BSI, ZKA und NIST Hochsicherer Datenspeicher R&S CryptoServer/Deutschland-HSM (PCI-Karte). R&S CryptoServer/SecurityServer Se (PCIe-Karte). 2

R&S CryptoServer Wesentliche Merkmale und Vorteile Kommerzielle und hoheitliche Einsatzbereiche Elektronische Identitäten (eid) Public-Key-Infrastrukturen (PKI) Internet Domain Name System (DNSSEC) Datenbank-Verschlüsselung Zeitstempel und elektronische Signatur (FES/QES) Elektronischer Zahlungsverkehr (PCI DSS) Seite 4 Bestätigte Sicherheit durch internationale und deutsche Zertifizierungen Internationale Zertifizierungen (NIST, BSI, Common Criteria) Deutsche Zertifizierungen (BSI, SigG, ZKA) Seite 6 Leistungsstark, flexibel und hochverfügbar Hoher kryptografischer Durchsatz bei geringem Administrationsaufwand Flexible Integration in sicherheitskritische Anwendungen durch Standard-Schnittstellen Redundanter Einsatz für Ausfallsicherheit und Lastverteilung Seite 7 Professionelles Schlüssel- und Rollenmanagement Kryptografisches Mehr-Augen-Prinzip nach Shamir Sicheres Schlüssel-Backup Fernadministration kryptografischer Parameter mittels Secure Messaging Seite 8 R&S CryptoServer/SecurityServer CS (PCI-Karte). Rohde & Schwarz R&S CryptoServer 3

Kommerzielle und hoheitliche Einsatzbereiche R&S CryptoServer ist ein Hardware-Sicherheitsmodul für die Ausführung kryptografischer Funktionen wie Schlüssel erzeugung, digitale Signatur und Hash. Es stellt Vertraulichkeit, Integrität und Authentizität von Daten in IT Systemen sicher. Dazu sind geheime Schlüssel erforderlich, die unter anderem der Identifikation von Personen, Objekten und Prozessen dienen und naturgemäß besonders schützenswert sind. Diese Schlüssel werden innerhalb von R&S CryptoServer erzeugt sowie sicher und dauerhaft gespeichert. R&S CryptoServer ist flexibel nutzbar und bietet in einer Vielzahl von Einsatzbereichen ein Maximum an Sicherheit: Elektronische Identitäten in Ländern, Unternehmen und Behörden (eid) Public-Key-Infrastrukturen (PKI) Domain Name System im Internet und in lokalen Netzwerken (DNSSEC) Datenbank-Verschlüsselung Zeitstempel und elektronische Signatur (FES/QES) Elektronischer Zahlungsverkehr (PCI DSS) Elektronische Identitäten (eid) und Public-Key-Infrastrukturen (PKI) Die vertrauenswürdige Bereitstellung elektronischer Identitäten innerhalb von Public-Key-Infrastrukturen ist eine Schwerpunkt-Anwendung von R&S CryptoServer sowohl im hoheitlich-nationalen Kontext (für Reisepässe, Personalausweise usw.) als auch für einzelne Unter ehmen und Behörden (Firmen- bzw. Dienstausweise). Für den deutschen Reisepass mit Biometrie-Funktion und für den neuen elektronischen Personalausweis der Bundesrepublik Deutschland sichert R&S CryptoServer folgende Aufgaben: Produktion und Personalisierung der hoheitlichen Dokumente Vertrauliche Datenpflege von Sperrlisten Bereitstellung hoheitlicher und kommerzieller eid-server Berechtigungsprüfung im Kontrollsegment Im deutschen Reisepass werden seit 2007 biometrische Daten gespeichert. Neuer elektronischer Personalausweis mit epass-, eid- und esign-funktion (Foto: Bundes ministerium des Inneren). 4

Die Kontrolle des elektronischen Reisepasses unterliegt strengen Sicherheitsrichtlinien. Nur offiziell berechtigte Personen dürfen auf biometrische Daten zugreifen, die in den Dokumenten gespeichert sind. R&S CryptoServer ist beispielsweise für den Einsatz in einer durch die International Civil Aviation Organization (ICAO) definierten ICAO-PKI als Hardware-Sicherheitsmodul vorgesehen. Weitere Informationen zum Betrieb von R&S CryptoServer als Hardware-Sicherheitsmodul eines nationalen Kontrollsystems sind nachzulesen in der Technischen Richtlinie TR 03129 PKIs for Machine-Readable Travel Documents des BSI und in der Applikations broschüre Deutschland HSM für den eid-server des neuen Personal ausweises von Rohde & Schwarz. Internet Domain Name System (DNSSEC) Das Domain Name System (DNS) wird weltweit von jedem Internet-Browser genutzt, um URLs (wie www.rohde-schwarz.com) in von Computern verarbeitbare IP-Adressen aufzulösen. Daher sind innerhalb des DNS die sogenannten Registrare ein begehrtes Angriffsziel für Cache-Poisoning. Hierbei wird die IP-Adresse der im Zwischenspeicher vorgehaltenen URL manipuliert, sodass anfragende Internet-Browser unbemerkt auf einen anderen, gefälschten Internetserver umgeleitet werden. Um die Authentizität und Integrität der einzelnen DNS-Einträge sicher zustellen, wurde DNSSEC entwickelt. Durch DNSSEC können DNS-Server ihre Listeneinträge (Zonen) mit digitalen Signaturen versehen. Da DNS-Server permanent im Internet erreichbar sein müssen, unterliegen die Signaturschlüssel, die für DNSSEC genutzt werden, maximalen Sicherheitsanforderungen. Mit kompromittierten Signaturschlüsseln könnten Angreifer gültige digitale Signaturen vortäuschen. R&S CryptoServer wird vom DNS-Server für die sichere Erstellung und Anwendung der Signaturschlüssel genutzt. Datenbank-Verschlüsselung Datenbank-Verschlüsselung schützt einzelne Spalten oder ganze Tabellen vor dem Zugriff durch unautorisierte Dritte. R&S CryptoServer unterstützt sowohl die Sicherheitsschnittstellen von Microsoft SQL-Server (SQLEKMS) und von Oracle SQL-Server (PKCS #11) für Datenbank-Verschlüsselung und wird für die sichere Schlüsselerzeugung und deren Anwendung genutzt. Zeitstempel und elektronische Signatur (FES/QES) Die elektronische Abwicklung von Geschäftsprozessen unterliegt kaufmännischen und rechtlichen Regelungen. So ist beispielsweise die Vergabe öffentlicher Aufträge über das Internet für Vergabestelle und Bieter revisionssicher zu gestalten. Hier wird R&S CryptoServer genutzt, um Zugriffsprotokolle und empfangene Dokumente mit Zeitstempeln und elektronischen Signaturen zu versehen. Frontansicht des R&S CryptoServer (LAN-Appliance). Rückansicht des R&S CryptoServer (LAN-Appliance). Rohde & Schwarz R&S CryptoServer 5

Bestätigte Sicherheit durch internationale und deutsche Zertifizierungen Internationale Zertifizierungen (NIST, BSI, Common Criteria) 1) R&S CryptoServer ist mit modernen Erkennungs- und Schutzmaßnahmen gegen physische Angriffe ausgestattet. Damit erfüllt R&S CryptoServer den US-amerikanischen Standard FIPS PUB 140-2 Level 3 mit dem Zusatz Level 4 für Physical Security. Dieser Zusatz ist in den implementierten Schutzmaßnahmen gegen diverse Seitenkanalangriffe (wie Abstrahlungs- und Energieverbrauchsmessungen), dem frühzeitigen Erkennen physischer Angriffe sowie dem sofortigen Einleiten der Notlöschmaßnahmen begründet. Neben den kryptografischen Algorithmen ist die Güte des Zufalls für die Schlüsselgenerierung ein wesentliches Kriterium für hochsichere Kryptogeräte. Das BSI gibt mit den AIS-Dokumenten international anerkannte Kriterien für Zufallszahlen vor. R&S CryptoServer erzeugt Zufallszahlen physisch gemäß BSI AIS 31 Klasse P2, deterministisch nach BSI AIS 20 Klasse K4 und entspricht damit jeweils der höchsten Klasse dieser Kriterien. R&S CryptoServer wird derzeit für eine Zertifizierung nach Common Criteria EAL4+ vorbereitet. Deutsche Zertifizierungen (BSI, SigG, ZKA) 1) R&S CryptoServer/Deutschland-HSM erfüllt die Sicherheitsanforderungen des BSI für die Verarbeitung von vertraulichen Informationen bis VS-NfD und ist daher die erste Wahl für die hoheitlichen Projekte der Bundesrepublik Deutschland. R&S CryptoServer/QES-HSM ist für die qualifizierte elektronische Signatur bzw. Massensignatur nach dem deutschem Signaturgesetz (SigG) vorgesehen. R&S CryptoServer/QES-HSM wird für eine Bestätigung nach SigG vorbereitet. Die für den Einsatz bei Banken und Kreditinstituten erforderliche Zulassung durch den zentralen Kreditausschuss (ZKA) ist vorhanden. 1) Zertifizierungen abhängig von der Variante des R&S CryptoServer. R&S CryptoServer ist mit modernen Erkennungs- und Schutzmaßnahmen gegen physische Angriffe ausgestattet. 6

Leistungsstark, flexibel und hochverfügbar Hoher kryptografischer Durchsatz bei geringem Administrationsaufwand Ob Schlüsselerzeugung, digitale Signatur oder Datenverschlüsselung R&S CryptoServer vollzieht kryptografische Operationen in kürzester Zeit. Dazu wird R&S CryptoServer entweder als PCI-/PCIe-Einsteckkarte oder als fertige 19"-LAN-Appliance verbaut. Die zu verschlüsselnden bzw. zu signierenden Daten werden von der Anwendung auf gesichertem Übertragungsweg an das HSM übermittelt, kryptografisch verarbeitet und zurückgesendet. Der Aufwand für die Inbetriebnahme beschränkt sich auf die Basis-Administration (Benutzer, Berechtigungen, etc.) und das Einrichten der Schnittstellen, die von der Anwendung zur Kommunikation mit R&S CryptoServer genutzt werden sollen. Der geringe Administrationsaufwand während der Laufzeit ermöglicht einen raschen Return-on-Investment. Flexible Integration in sicherheitskritische Anwendungen durch Standard-Schnittstellen Zur Integration in die abzusichernden Prozesse kann R&S CryptoServer je nach Produktvariante flexibel über folgende Standard-Schnittstellen adressiert werden: PKCS #11 Microsoft CryptoAPI, Cryptography Next Generation (CNG) und SQL Extensible Key Management (SQLEKM) Java Cryptography Extension (JCE) OpenSSL Cryptographic extended services Interface (CXI) Java-basierte eid-schnittstelle für hoheitliche Anwendungen, z.b. mit dem neuen Personalausweis Die gewünschten Schnittstellen werden auf dem Host, auf dem die abzusichernde Anwendung läuft, eingerichtet und einem HSM zugewiesen. Da einige Anwendungen PKCS #11-Daten im Klarbetrieb übertragen, wurde der PKCS #11-Wrapper von R&S CryptoServer um eine Übertragungsverschlüsselung erweitert. Redundanter Einsatz für Ausfallsicherheit und Lastverteilung Bei Hochverfügbarkeitsanwendungen sollte R&S CryptoServer redundant eingesetzt werden. Dies ermöglicht schnellere Antwortzeiten durch Lastverteilung (z.b. wenn mit vielen zu signierenden Statusanfragen zur Zertifikatsprüfung zu rechnen ist) und Ausfallsicherheit durch Hot-Standby-/Cold-Standby Szenarien. In beiden Fällen wird der redundante Betrieb abhängig von der eingesetzten Standard-Schnittstelle implementiert: die Microsoft-Schnittstellen C-API und CNG sowie die JCEund CXI-Schnittstellen unterstützen standardmäßig den redundanten Betrieb. Dazu wird an der Schnittstelle der Berechtigungsschlüssel von R&S CryptoServer hinterlegt, der den Zugang zu jedem R&S CryptoServer innerhalb des vorgesehenen Lastennetzes ermöglicht. Bei PKCS #11 und der eid-schnittstelle hingegen kann die Redundanz individuell auf Anwendungsebene implementiert werden. R&S CryptoServer wird in verschiedenen Versionen angeboten, als Einsteckkarte (PCI-/PCIe-HSM) und als komplette Server-Appliance im Rackformat (LAN-HSM). Rohde & Schwarz R&S CryptoServer 7

Professionelles Schlüssel- und Rollenmanagement Kryptografisches Mehr-Augen-Prinzip nach Shamir Besonders bei Behörden und behördennahen Institutionen überwachen dedizierte Sicherheitsverantwortliche den korrekten Umgang mit sicherheitskritischen Funktionen wie dem Schlüsselmanagement. Daher wurde R&S CryptoServer mit dem kryptografischen Vier- bzw. Sechs-Augen-Prinzip nach Shamir ausgestattet. Dieses stellt sicher, dass bestimmte Operationen nur dann ausgeführt werden können, wenn sich mindestens zwei bzw. drei Sicherheitsverantwortliche mit ihren persönlichen Schüsselteilen gegenüber R&S CryptoServer authentisiert haben. Die persönlichen Schlüsselteile werden zu dem rollenspezifischen Schlüssel zusammengesetzt, der für den kryptografischen Zugang zu den Funktionen erforderlich ist. Sicheres Schlüssel-Backup Um Schlüssel zu sichern, können diese im verschlüsselten Zustand von R&S CryptoServer exportiert werden. Dies erfordert die Anwesenheit mehrerer Sicherheitsverantwortlicher, da die exportierten Schlüssel mit einem Transportschlüssel (KEK) nach dem kryptografischen Mehr Augen-Prinzip gesichert werden. Die gesicherten Schlüssel werden anschließend entweder in einer sicheren Umgebung deponiert oder in ein Backup-Gerät importiert. Fernadministration kryptografischer Parameter mittels Secure Messaging Für die Administration sicherheitsrelevanter und kryptografischer Parameter wurde die Administrations-Software des R&S CryptoServer mit einem speziell geschützten Management-Zugang ausgestattet. Dieser Zugang basiert auf Secure Messaging, einer Technik, bei der ein verschlüsselter Kanal zu R&S CryptoServer aufgebaut wird. Administratoren und Sicherheitsverantwortliche erlangen über diesen Kanal den Fernzugriff auf R&S CryptoServer. Zur zusätzlichen Absicherung kann R&S CryptoServer so konfiguriert werden, dass der Secure-Messaging-Kanal nur unter Verwendung von persönlichen Authentisierungsinformationen aufgebaut werden kann. Diese persönlichen Informationen sind zum Beispiel auf der Smartcard gespeichert, so dass Administratoren und Sicherheitsverantwortliche immer ein angeschlossenes Kartenlesegerät zur Authentisierung für die Fernadministration benötigen. Das mitgelieferte R&S CryptoServer Administration Tool (CAT) ermöglicht das Sicherheits management über eine komfortable Bedienoberfläche. 8

Glossar Begriff Beschreibung AES Advanced Encryption Standard AIS Anwendungshinweise und Interpretationen zum Schema API Application Programming Interface, Programmierschnittstelle BSI Bundesamt für Sicherheit in der Informationstechnik CA Certificate Authority einer PKI CAT R&S CryptoServer Administration Tool CC Common Criteria for Information Technology Security Evaluation CNG (Microsoft) Cryptographic Next Generation (Interface) DNS Domain Name System DNSSEC DNS Security Extension EAL Evaluation Assurance Level nach Common Criteria ECDH Eliptic Curve Diffie-Hellman ECDSA Eliptic Curve Digital Signature Algorithm eid elektronische Identitäten FES Fortgeschrittene elektronische Signatur FIPS (US) Federal Information Processing Standard HE Höheneinheit HSM Hardware-Sicherheitsmodul ICAO International Civil Aviation Organization JCE Java Cryptographic Engine KEK Key Encryption Key LAN Local Area Network MD5 Message Digest Algorithm 5 mrtd Machine-Readable Travel Documents NIST National Institute of Standards and Technology (USA) PCI Peripheral Component Interconnect PCIe Peripheral Component Interconnect Express PCI DSS Payment Card Industry Data Security Standard PKCS #11 Public Key Cryptography Standard #11 PKI Public Key Infrastructure PP Protection Profile QES Qualifizierte elektronische Signatur RIPEMD RACE Integrity Primitives Evaluation Message Digest RSA Rivest Shamir Adleman SHA Secure Hash Algorithm SSCD Secure Signature Creation Device (deutsch: SSEE) SSEE Sichere-Signatur-Erstellungseinheit SigG Gesetz der Bundesrepublik Deutschland über Rahmenbedingungen für elektronische Signaturen URL Uniform Resource Locator VA Validierungsdienst für Zertifikate (Validation Authority) VS Verschlusssache VS-NfD VS-Nur für den Dienstgebrauch ZKA Zentraler Kreditausschuss der Bundesrepublik Deutschland Rohde & Schwarz R&S CryptoServer 9

Technische Daten Technische Daten Kommerzielle Anwendungen Hoheitliche Anwendungen Variante des R&S CryptoServer 1) SecurityServer Se SecurityServer CS Deutschland-HSM QES-HSM Leistung/Durchsatz Max. Anzahl RSA-Signaturen pro Sekunde (2048 bit/4096 bit) 1250/250 80/10 80/10 80/10 Max. Anzahl EC-Signaturen pro Sekunde (224 bit/256 bit) 1300/1100 1200/1000 1200/1000 Qualifizierte elektronische Signatur nach SigG Hardware Verfügbarer Formfaktor PCI-Express-Einsteckkarte (167,65 mm lang, 111,15 mm hoch) PCI-Einsteckkarte (167 mm lang, 107 mm hoch) LAN-Appliance (Rackformat, 2 HE) (446 mm breit, 88 mm hoch, 510 mm tief) Betriebstemperaturbereich +10 C bis +45 C +10 C bis +35 C (Einsteckkarte) Lagertemperaturbereich 14 C bis +66 C Kryptografische Funktionen Symmetrische Algorithmen AES, DES, 3DES AES Asymmetrische Algorithmen ECDSA, ECDH, RSA, DH, DSA ECDSA, RSA RSA Hash-Algorithmen SHA-1, SHA-2-Familie, RIPEMD-160, MD5 Zufallserzeugung Echte Zufallszahlen nach (mit zusätzlicher BSI-Qualifikation) AIS 31 Klasse P2 Pseudo-Zufallszahlen nach FIPS 186-3 und AIS 20 Klasse K4 Zulassung/Konformität ZKA BSI VS-NfD als Einzelzulassung Signaturgesetz (SigG) 2) Common Criteria EAL4+ nach EAL4+ nach PP SSCD 2) PP CM Enhanced 2) FIPS 140-2 Level 3 2) Level 3 + Level 4 Physical Security Funktionale Merkmale R&S CryptoServer Administration Tool (CAT) Notlösch-Schalter Aktives Löschen/Überschreiben der Speicherinhalte beim physischen Angriff Schlüssel-Backup Mandantenfähigkeit PKCS #11, JCE, OpenSSL, CXI Microsoft Cryptographic-API, CNG, SQLEKM eid-schnittstelle 1) Rohde & Schwarz SIT GmbH ist exklusiver Vertriebspartner von Utimaco Safeware AG für hoheitliche eid-projekte in Deutschland. R&S CryptoServer und seine Varianten entsprechen den gleichnamigen SafeGuard CryptoServer-Produkten. 2) Zertifizierung, Zulassung bzw. Bestätigung in Arbeit. 10

Bestellangaben Bezeichnung Typ Bestellnummer R&S CryptoServer/SecurityServer Se Zertifizierung nach FIPS 140-2 Level 3 in Arbeit, einsetzbar für Anwendungen und Marktsegmente die mittlere bis hohe physische Sicherheit erfordern (wie große Organisationen und Unternehmen); die Modelle der Se Serie basieren auf PCI-Express-Karten PCIe-Karte SecurityServer Se10 PCIe 5414.1280.02 Performance Level: 100 RSA-Signaturen (1024 bit) pro Sekunde PCIe-Karte SecurityServer Se50 PCIe 5414.1280.03 Performance Level: 500 RSA-Signaturen (1024 bit) pro Sekunde PCIe-Karte SecurityServer Se400 PCIe 5414.1280.04 Performance Level: 4000 RSA-Signaturen(1024 bit) pro Sekunde PCIe-Karte, SecurityServer Se1000 PCIe 5414.1280.05 Performance Level: 10 000 RSA-Signaturen (1024 bit) pro Sekunde SecurityServer Se10 LAN 5414.1280.06 Performance Level: 100 RSA-Signaturen (1024 bit) pro Sekunde SecurityServer Se50 LAN 5414.1280.07 Performance Level: 500 RSA-Signaturen (1024 bit) pro Sekunde SecurityServer Se400 LAN 5414.1280.08 Performance Level: 4000 RSA-Signaturen (1024 bit) pro Sekunde SecurityServer Se1000 LAN 5414.1280.09 Performance Level: 10 000 RSA-Signaturen (1024 bit) pro Sekunde R&S CryptoServer/SecurityServer CS Zertifiziert nach FIPS 140-2 Level 3 (mit Level 4 für Physical Security ), bestätigt durch ZKA (Zentraler Kreditauschuss), einsetzbar für Anwendungen und Marktsegmente, die hohe physische Sicherheit erfordern (wie Banken, Finanzen und Behörden); die Modelle der CS-Serie basieren auf PCI-Karten PCI-Karte SecurityServer CS10 PCI 5414.1297.02 Performance Level: 100 RSA-Signaturen (1024 bit) pro Sekunde PCI-Karte SecurityServer CS50 PCI 5414.1297.03 Performance Level: 500 RSA-Signaturen (1024 bit) pro Sekunde SecurityServer CS10 LAN 5414.1297.06 Performance Level: 100 RSA-Signaturen (1024 bit) pro Sekunde SecurityServer CS50 LAN 5414.1297.07 Performance Level: 500 RSA-Signaturen (1024 bit) pro Sekunde R&S CryptoServer/Deutschland-HSM CC-Zertifizierung und BSI-Zulassung in Arbeit, einsetzbar z.b. für eid-server, Kontrollsysteme, Sperrdienste und evergabe-systeme, alle Modelle basieren auf PCI-Karten PCI-Karte Deutschland-HSM/3 CS10 PCI 5414.1300.22 Performance Level: 125 ECC-Signaturen (256 bit) pro Sekunde PCI-Karte Deutschland-HSM/3 CS50 PCI 5414.1300.23 Performance Level: 1000 ECC-Signaturen (256 bit) pro Sekunde Deutschland-HSM/3 CS10 LAN 5414.1300.26 Performance Level: 125 ECC-Signaturen (256 bit) pro Sekunde Deutschland-HSM/3 CS50 LAN 5414.1300.27 Performance Level: 780 ECC-Signaturen (256 bit) pro Sekunde 1) R&S CryptoServer/QES-HSM CC-Zertifizierung als Sichere Signaturerstellungseinheit (SSEE) sowie Bestätigung nach SigG in Arbeit, einsetzbar für zentrale Massensignatur- Anwendungen, basiert auf PCI-Karten QES-HSM CS50 LAN 5414.1316.07 Performance Level: 80 RSA-Signaturen (2048 bit) pro Sekunde R&S CryptoServer/Zubehör PinpadR&S CryptoServer Pinpad 5414.1322.02 SmartcardR&S CryptoServer Smartcard 5414.1322.03 Große externe Stützbatterie für R&S CryptoServer PCI und PCIe R&S CryptoServer Stützbatterie PCI/PCIe 5414.1322.04 Kleine On-Board-Ersatzbatterie für R&S CryptoServer PCI und PCIe R&S CryptoServer Ersatzbatterie PCI/PCIe 5414.1322.05 Große On-Board-Ersatzbatterie für R&S CryptoServer LAN R&S CryptoServer Ersatzbatterie LAN 5414.1322.06 1) Lieferzeit für QES-HSM auf Anfrage. Rohde & Schwarz R&S CryptoServer 11

Service Ihres Vertrauens J Weltweit J Lokal und persönlich J Flexibel und maßgeschneidert J Kompromisslose Qualität J Langfristige Sicherheit Rohde & Schwarz Der Elektronikkonzern Rohde & Schwarz ist ein führender Lösungsanbieter in den Arbeitsgebieten Messtechnik, Rundfunk, Funküberwachung und -ortung sowie sichere Kommunikation. Vor mehr als 75 Jahren gegründet ist das selbst ständige Unternehmen mit seinen Dienstleistungen und einem engmaschigen Servicenetz in über 70 Ländern der Welt präsent. Der Firmensitz ist in Deutschland (München). Der Umwelt verpflichtet Energie-effiziente Produkte Kontinuierliche Weiterentwicklung nachhaltiger Umweltkonzepte ISO 14001-zertifiziertes Umweltmanagementsystem Certified Quality System ISO 9001 Rohde & Schwarz SIT GmbH Am Studio 3 D-12489 Berlin +49 30 65884-223 Fax +49 30 65884-184 E-Mail: info.sit@rohde-schwarz.com www.sit.rohde-schwarz.com www.rohde-schwarz.com Kontakt Europa, Afrika, Mittlerer Osten +49 89 4129 123 45 customersupport@rohde-schwarz.com Nordamerika 1 888 TEST RSA (1 888 837 87 72) customer.support@rsa.rohde-schwarz.com Lateinamerika +1 410 910 79 88 customersupport.la@rohde-schwarz.com Asien/Pazifik +65 65 13 04 88 customersupport.asia@rohde-schwarz.com R&S ist eingetragenes Warenzeichen der Rohde & Schwarz GmbH & Co. KG Eigennamen sind Warenzeichen der jeweiligen Eigentümer Printed in Germany (ch) PD 5214.4642.31 Version 02.01 Mai 2011 R&S CryptoServer Daten ohne Genauigkeitsangabe sind unverbindlich Änderungen vorbehalten 2010-2011 Rohde & Schwarz GmbH & Co. KG 81671 München, Germany 5214464231

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback