KEYMILE Solution Brief SECU1 (D 2016-02-10)

Solution Brief

10.02.2016 © KEYMILE 2016

KEYMILE Encryption Card – SECU1

Starke Verschlüsselung ohne Gefährdung der Hochverfügbarkeit

■ Erfüllt die strengen Anforderungen an anwendungskritische Systeme (MCS)

■ Lüfterlose, robuste Hardware integriert in die XMC20-Plattform

■ Verschlüsselt Ende-zu-Ende gegen Cyber-Attacken in paketbasierten Transportnetzen (MPLS-TP)

■ Zufallszahlen generiert durch Quantenphysik (QRNG)

■ Erweiterbar mit einem Quantum Key Distribution (QKD) Server

■ Zentrale und dezentrale Schlüsselverteilung

■ Hergestellt und entwickelt in Deutschland und der Schweiz

■ Bietet Security und Hochverfügbarkeit

Solution Brief KEYMILE Encryption Card – SECU1

210.02.2016 © KEYMILE 2016

KEYMILE Trusted Security

KEYMILE ist ein technologisch führender Anbieter von Telekommunikationslösungen mit Hauptstandorten in Deutschland und der Schweiz. Als ein kompetenter Berater im Bereich der sicherheitsrelevanten Netze bieten wir „KEYMILE trusted Security“. Dies umfasst

die Einhaltung zentraler Sicherheitsanforderun-gen von der Produktion in Deutschland mit sicherheitsüberwachten und zertifizierten Mitarbeitern über das zentrale Management der Übertragungssysteme bis hin zum Einsatz von Verschlüsselungstechnologien mit Ver-schlüsselungshardware und Schlüsselverwal-tung bzw. Generierung.

Security in Mission-Critical Systems

In anwendungskritischen Systemen (Mission-Critical Systems) ist die Sicherheit eine Grundvorausset-zung. Doch gerade durch die steigende Zahl von Angriffen, Manipulationsversuchen und Spionage sind MCS-Netze stark gefährdet. Netzwerke und Standleitungen bieten viele Angriffspunkte, insbe-sondere optische Netze sind dabei nicht sicher.

Ohne den Einsatz von Verschlüsselungssystemen haben Angreifer hier leichtes Spiel. Der Angriff ist mit einem minimalen Aufwand an Technik möglich z.B. durch Auftrennung der Glasfaserstrecke (Splicing), durch die Splitter-Koppler-Methode (Biegen der Leitung) oder durch Non-Touching-Metho-den, bei denen der gesamte Datenverkehr durch hochempfindliche Fotodetektoren ausgelesen wird. Anschließend erfolgt die Analyse der gesammelten Informationen. Aktive Attacken wie Denial-of-Service, Spoofing, Verfälschung und Missbrauch, Viren, Würmer, Trojaner ergänzen die Angriffsmög-lichkeiten der passiven Attacken und gefährden die Sicherheit der Infrastruktur.


3

KEYMILE zeigt zusätzliche Sicherheitsverbesse-rungen durch die Verschlüsselungskarte SECU1 für die XMC20-Plattform und ergänzt den Sicherheitsgedanken der Integrität, Vertraulich-keit, Autorisierung, Authentifizierung und stellt die Nachweisbarkeit von Daten, Nachrichten, Geräten und Services sicher.

Hochsichere Kommunikation

Die SECU1 bietet Verschlüsselung für Infra-strukturen, die anwendungskritische Applikatio-nen zur Steuerung und Überwachung von Energie-Verteilnetzen, von Gas- und Ölpipe-lines, Eisenbahnen, Behörden und Militär-Net-zen sowie für das Luftfahrtmanagement bereit-stellen:

■ Steuer- und Signalisierung in Bahnnetzen

■ Vernetzung von Standorten und Rechen-zentren

■ Powerautomation von Hochspannungs-leitungen

■ SCADA-Anwendungen für Öl & Gas

■ Polizei- und Militär-Netze

■ Banken

Die starke, vertrauenswürdige Verschlüsselung bei gleichzeitiger hoher Verfügbarkeit in anwendungskritischen Systemen gewährleistet die XMC20-Plattform. Sie ist optimal an diese Anforderungen angepasst und bietet Einfach-heit in der Bedienung, Leistungsfähigkeit und niedrige Kosten bei hoher Verfügbarkeit.

XMC20-Plattform und Verschlüsselungskarte SECU1

XMC20 ist eine hybride Multi-Service-Zugangs- und Transport-Plattform, die den strengen Anforderungen in anwendungskritischen Kommunikationsnetzen entspricht. Sie zeichnet

sich durch höchste Verfügbarkeit, Robustheit, einfachen Betrieb und einfache Wartung, geringen Energiebedarf sowie eine lange Lebensdauer und damit Zukunftssicherheit aus.

Mit der Verwendung der Verschlüsselungkarte SECU1 im XMC20 können SDH/PDH-basierte Netze sowie PTN (Packet-based Transport Networks) sicher in einem Netzknoten betrie-ben werden.

Die Verschlüsselungskarte SECU1:

■ verschlüsselt Ende-zu-Ende gegen Cyber-Attacken in paketbasierten Transportnetzen (MPLS-TP)

■ Keine Verzögerung von PTP (Precision Time Protocol IEEE1588) Paketen

■ Bietet eine redundante Verschlüsselungsein-heit pro Karte

■ Mit 4 x SFP+/10 GbE Ports pro Einheit

■ „Tamper protected“ – Schutzmechanismen gegen mechanische Manipulation

■ Mit integriertem physikalischen Zufallszah-lengenerator QRNG

Bestehende XMC20 MPLS-TP-Infrastrukturen können nachträglich mit der Verschlüsselungs-lösung SECU1 ausgestattet werden.

Ethernet

STM-1/4

XMC20Subrack

Gesichert

Überwachungs-

kamera

Drittanbieter

Router

WLANRouter

nx2 Mbps

GbE10 GbE

ETAG1

COGEX

STM14

SECU1

SELI1

Paket

Netzwerk

SDHNetzwerk

PDHNetzwerk

GSM-R

Bild 1: Verschlüsselung der paketbasierten Anwendung


410.02.2016 © KEYMILE 2016

Layer-2 Verschlüsselung

Die KEYMILE Verschlüsselungskarte SECU1 verschlüsselt den gesamten Netzverkehr transparent nativ auf Layer-2 in der Baugruppe. Layer-2-Geräte verfügen über einen bedeuten-den Vorteil gegenüber Layer-3-basierter Verschlüsselung mit IPSec. Dies sind die Einsparung von bis zu 62 % an Overhead und die geringe Latenz von unter 1 Mikrosekunde statt Millisekunden oder sogar Sekunden.

Vorteile der Layer-2-Verschlüsselung:

■ Geringste Auswirkungen auf die Netz- leistung

■ Niedrige Latenz von unter 1 Mikrosekunde

■ Kein Bandbreitenverlust durch Overhead

■ Transparent für Voice, Daten, Video etc.

■ Datendurchsatz bis zu 10 Gbit/s

■ Weniger Konfigurationsaufwand durch geringe Komplexität

■ Einfache Implementierung auf Layer-2

Somit bietet KEYMILE eine Verschlüsselungs-lösung, die das wichtige Kriterium der Verfüg-barkeit in anwendungskritischen Systemen nicht gefährdet.

Quantenkryptografie

Eine Verschlüsselung ist nur so sicher wie die erzeugten Zufallszahlen bzw. der Schlüssel, mit dem sie zugänglich ist. Damit die Vertraulich-keit und Integrität der Kommunikation sicher erhalten bleiben, kommt für die Betreiber von Mission-Critical-Netzen der eingesetzten Verschlüsselungstechnologie eine besondere Bedeutung zu. Dabei reichen herkömmliche mathematische Schlüssel häufig nicht mehr aus, um ausreichenden Schutz zu gewährleisten.

KEYMILE verwendet für die Verschlüsselungs-karte SECU1 der XMC20-Plattform einen hardwarebasierten QRNG (Quantum Random Number Generator), um hochsichere, wirklich zufällige Schlüssel zu generieren.

Diese Technologie arbeitet mit Quantenzustän-den von Photonen, also Lichtpartikeln. Der Quantenphysik zufolge ist das Auftreten bestimmter Phänomene grundlegend zufällig, in diesem Fall die Reflektion oder Übertragung eines Photons über einen halbdurchlässigen Spiegel. Abhängig davon, ob die Photonen vom Spiegel reflektiert oder durchgelassen werden, wird eine „0“ oder eine „1“ registriert. Aufgrund seiner inhärenten Zufälligkeit bietet sich dieses Verfahren zur Erzeugung echter, nicht deterministischer Zufallszahlen an.

Die XMC20-Lösung kann um einen Quantum Key Distribution (QKD) Server von IDQ (QKD; auch bekannt als „Quantum Cryptography“) erweitert werden. Der Schlüsselaustausch erfolgt über den mittels Dark-Fiber verbunde-nen QKD-Server. Dies schließt eine Man-in-the-Middle-Attacke völlig aus, da der bloße Versuch, den Schlüssel mitzulesen, eine Verän-derung des Polarisationszustands der Photonen herbeiführt und der Lauschangriff auffällt.


5

Schlüsselmanagement

Das Schlüsselmanagement dient einerseits der Zuteilung der Anfangsgeheimnisse und ande-rerseits dem Erzeugen und Verwalten der verwendeten Master Keys.

Bei dem zentralen Schlüsselmanagement erfolgt die Schlüsselverteilung und Verwaltung mit sicherem hardwarebasierenden Zufallszah-lengenerator QRNG über den Key Manage-ment Server.

Die unabhängige Netzmanagementsoftware UNEM übernimmt im System die Überwachung der Hardware. Dabei werden lediglich die

RS-232

ETH

GbE

1

2

3

4

Server

XMC23 SECU1

Bahnverkehr

Behörden

Öl & Gas

Energie-

versorgung

TradingVideo-

konferenz

SECU1

XMC25

SECU1

XMC25

XMC22 SECU1

XMC22 SECU1

XMC22 SECU1Gesichert

€

XMC22 SECU1

Signale der Karte (Keep-alive, Alarm-Monito-ring, Überwachung der Redundanz etc.) überwacht. Ein direkter Zugriff auf die Karte selbst durch die Managementsoftware ist ausgeschlossen.

Eine Schlüsselverteilung muss stark vertrauens-würdig und geschützt sein – dies kann auch durch die dezentrale Schlüsselerzeugung erfolgen. Der dezentrale Ansatz besagt, dass alle Knoten in der Lage sein müssen, sicher miteinander zu kommunizieren. In dezentralen Systemen gibt es keine Single-Point-of-Failure durch Abhängigkeit von einer Infrastruktur. Durch diesen Ansatz wird das Entstehen von Netzinseln verhindert.

Bild 2: Sichere Kommunikation in anwendungskritischen Netzen


610.02.2016 © KEYMILE 2016

Vertrauenswürdige Sicherheit

Um die größtmögliche Sicherheit zu garantie-ren, werden modernste, überprüfte und empfohlene Verschlüsselungs-Algorithmen verwendet.

Verschlüsselung und Authentifizierung erfolgen auf dem derzeitig sichersten und vom BSI in der Technischen Richtlinie TR-02102-2 empfoh-lenen Verschlüsselungsverfahren. Die Erneue-rung der Session-Keys erfolgt alle 60 Sekunden und bietet ein vollautomatisches Schlüsselma-nagement nach dem Prinzip „set and forget“.

■ Asymmetrische Verschlüsselungsverfahren – Master Key (Key Encrypting)

� Algorithmus ECC – Elliptic Curve Diffie-Hellman ECDH

� Schlüssellänge 521 Bit – NIST P-521 im Standard FIPS 186-4 definiert

� Schlüsselwechsel 60 Minuten – automatisch/manuell

■ Authentifizierung X.509 Zertifikat

■ Symmetrische Verschlüsselungsverfahren – Session Key (Data Encrypting)

� Algorithmus AES-GCM (Galois/Counter Mode – Verschlüsselung und Authentifizierung

� Schlüssellänge 256 Bit

� Schlüsselwechsel 60 Sekunden – automatisch

■ Zentrale und dezentrale Schlüsselverteilung

Deploy & Forget

Die SECU1 kann ohne Änderung der Netzwerk-infrastruktur mit geringem Installationsaufwand in das bestehende Netz integriert werden: dies wird als „Bump-in-the-Wire-Deployment“ bezeichnet. Die Karte wird in einem freien Slot des XMC20-Baugruppenträgers betrieben und mit der Zentralbaugruppe COGE5 per SFP verbunden. Dies erfordert keine Änderungen an weiteren Endgeräten oder eine Reorganisa-tion des Netzes. IPSec-Installationen dagegen sind komplex und zeitintensiv.

Ausfallsicherheit

Hohe Ausfallsicherheit spielt eine große Rolle in anwendungskritischen Netzen. Die SECU1 ist daher als Baugruppe redundant ausgelegt. Auf einer einzigen Karte befinden sich zwei völlig eigenständige Verschlüsselungseinheiten inklusive Strom und Zufallszahlengenerator mit Quantenphysik (QRNG).

XMC23

IPsec

IPsec

XMC25 Gesichert

PC

SECU1

SECU1

Bild 3: Verschlüsselung ohne Veränderungen an End- geräten vornehmen zu müssen


7

Flexibilität

Durch den Einsatz programmierbarer FPGAs wird maximale Flexibilität im Betrieb erreicht. Die Technologie bietet eine bessere Anpas-sung an die Kundenbedürfnisse und ist opti-miert für Hochgeschwindigkeits-Verschlüsse-lung mit einem Datendurchsatz bis zu 10 Gbit/s. Damit kann die Lösung auch an zukünftige Änderungen oder Erweiterungen angepasst werden und bietet so optimale, langfristige Investitionssicherheit.

Kompatibilität

Die Verschlüsselung im Knoten ermöglicht die weitere Verwendung vorhandener Endgeräte, die keine oder schwache Verschlüsselung unterstützen. Dies spart erhebliche Kosten bei Erweiterung und Ausbau des Netzes.

Die KEYMILE Cyber Protection Lösung bietet eine hochsichere Ende-zu-Ende-Verschlüsse-lung für MPLS-TP-basierende Infrastrukturen.

Backdoor Free

KEYMILE garantiert eine backdoor- und bug-freie Lösung. Die Produkte werden in Deutsch-land hergestellt und in Deutschland und der Schweiz entwickelt. Eine Unternehmenszertifi-zierung nach ISO 27001 unterstreicht die Cyber–Security-Strategie von KEYMILE.

Auf Anfrage bietet KEYMILE die Einsicht in den Quellcode der Verschlüsselungskarte SECU1 an.


810.02.2016 © KEYMILE 2016

KEYMILE Cyber Security

KEYMILE definiert die Sicherheit in anwendungskritischen Systemen (MCS) neu mit der Integration von starker Verschlüsselung in die XMC20-Plattform und der Partnerschaft mit ID Quantique aus der Schweiz.

IDQ ist der führende Hersteller von quantensicherer Netzwerkverschlüsselung. Die Quantenschlüssel- Generierung, Quantum Key Distribution und die Layer-2 Verschlüsselungsgeräte sind nach internatio-nalen Standard FIPS-, Common Criteria- und CAPS(UK) zertifiziert.

Durch die Partnerschaft mit IDQ kann KEYMILE Verschlüsselungsgeräte mit einem Datendurchsatz von 100 Mbit/s bis zu 10 x 10 Gbit/s der Centauris-Serie CN4000-C8000 als Ergänzung der integrier-ten KEYMILE Verschlüsselungskarte SECU1 für den XMC20 mit 10 Gbit/s, anbieten. Die IDQ-Geräte sind untereinander kompatibel und lassen sich bequem über die IDQ-Management-Plattform CM7 konfigurieren und verwalten.

Die Cyber-Security–Lösung von KEYMILE bietet durch die Robustheit und Anpassungsfähigkeit einen zukunftssicheren Investitionsschutz. Die Spezialisten vom KEYMILE Cyber Security

Competence Center unterstützen dabei von der Planung bis zum Betrieb der Infrastruktur.

KEYMILE Solution Brief SECU1 (D 2016-02-10)

Documents

Transcript of KEYMILE Solution Brief SECU1 (D 2016-02-10)