Beruflich Dokumente
Kultur Dokumente
Hard wa re -S ic
made in Germany
Sie erfahren:
Hardware-
)
• Wie HSM gebaut sind
odule (HSM
Sicherheitsm
• Welche Anwendungs-
schnittstellen heute verfüg-
bar sind
• Welche Zertifizierungen
Was Sie über Hardware- existieren
HSM
für Dummies
Wiley, the Wiley logo, Für Dummies, the Dummies Man logo, and related trademarks
and trade dress are trademarks or registered trademarks of John Wiley & Sons, Inc.
and/or its affiliates, in the United States and other countries. Used by permission.
Wiley, die Bezeichnung »Für Dummies«, das Dummies-Mann-Logo und darauf bezogene
Gestaltungen sind Marken oder eingetragene Marken von John Wiley & Sons, Inc.,
USA, Deutschland und in anderen Ländern.
Das vorliegende Werk wurde sorgfältig erarbeitet. Dennoch übernehmen Autoren und Verlag
für die Richtigkeit von Angaben, Hinweisen und Ratschlägen sowie eventuelle Druckfehler
keine Haftung.
Kapitel 1
Wie alles begann – ein bisschen Crypto-Geschichte 11
Der Zahlungsverkehr – der Startpunkt für
Hardware-Sicherheitsmodule 12
Brief und Siegel: Standardisierung 13
Kapitel 2
Die HSM-Technik heute 15
Bauformen von HSM 16
Sicherheitsanforderungen 17
Designprinzipien für HSM 17
Der physikalische Schutz 19
Standards und Normungen 20
Fazit 20
Kapitel 3
Die Schnittstelle: der Schlüssel zur Anwendung 21
Übersicht über die aktuellen Schnittstellen für HSM 23
PKCS#11 Cryptographic Token Interface Standard 23
JCE: Java Cryptography Extension 24
Microsoft Cryptography API: Next Generation 24
Weitere Standardschnittstellen 25
Einsatzzwecke von Schnittstellen 25
5
HSM für Dummies
Kapitel 4
Zertifizierung – ein Gütesiegel, und dann? 29
Der FIPS 140-Standard 29
Common Criteria und HSM 31
Was bedeutet eine Zertifizierung für mein Projekt? 32
Anhang
Der HSM-Simulator 35
Installation des CryptoServer Simulators 35
Den CryptoServer Simulator starten 37
Die Verbindung zum CryptoServer Simulator via CAT aufbauen 38
Wie Sie sich als Admin in den Simulator einloggen 39
6
Einleitung
Hardware-Sicherheitsmodule (kurz HSM) sind heute in den unterschiedlichsten
Anwendungen integriert und ein wesentlicher Bestandteil von unseren moder-
nen Infrastrukturen.
Wir gehen davon aus, dass Sie sich im Bereich der IT-Sicherheit auskennen – sei
es im Bereich der Absicherung von Unternehmensinfrastrukturen oder aber im
Bereich von Sicherheitsinfrastrukturen für elektronische Identitäten oder Smart
Metering. Hier sind Sie sicherlich schon mehrfach über das Thema Hardware-
Sicherheitsmodule gestolpert oder haben sich auch schon mit dem einen oder
anderen Gerät detaillierter auseinandergesetzt.
In diesem Buch erfahren Sie alles über Hardware-Sicherheitsmodule – von der
historischen Entwicklung über die aktuellen Hardware- und Softwarelösungen
bis hin zu den Trends und Entwicklungen für die Zukunft. Daneben beschäfti-
gen wir uns detailliert mit dem Thema der Zertifizierung nach Standards wie
FIPS oder Common Criteria. Schließlich betrachten wir die heute existierenden
Standardschnittstellen im Markt und stellen Ihnen diese mit all ihren Vorteilen,
aber auch Nachteilen, kurz vor.
Mit diesem Buch haben Sie jederzeit ein Nachschlagewerk zur Hand, wenn es
um das Thema Hardware-Sicherheitsmodule, Techniken, Schnittstellen und
Zertifizierungen geht.
7
HSM für Dummies
Hier möchten wir Sie warnen! Schnell sind falsche Annahmen ge-
macht, die gerade im Sicherheitsumfeld zu Schwachstellen führen.
Hier ist der Techniker gefragt. Hier gibt es Hintergründe und weiter-
führende Informationen rund um die Technik von Hardware-Sicher-
heitsmodulen.
8
Einleitung
9
1
Wie alles begann – ein bisschen
Crypto-Geschichte
In diesem Kapitel
Warum HSM entwickelt wurden
Wie die ersten Geräte aussahen und welche Techniken sie verwendeten
Welche ersten Formen der Standardisierung und Zertifizierung es gab
E s verwundert Sie sicherlich nicht, wenn wir Ihnen erzählen, dass Hardware-
Sicherheitsmodule ursprünglich für den Einsatz im militärischen Umfeld
entwickelt bzw. erfunden wurden. Sicherheitsmodule entstanden in einer Zeit,
in der Spezialhardware notwendig war, um kryptografische Operationen durch-
zuführen. Denn die Leistungsfähigkeit damaliger Rechnersysteme war – gerade,
was die Durchführung mathematischer Funktionen betrifft – noch nicht ent-
sprechend ausgereift. Somit war es naheliegend, einen Co-Prozessor zu bauen,
der die Mathematik der Kryptografie ausführt. In den späten 70er und frühen
80er Jahren kam dann mit dem Data Encryption Standard (DES) ein Algorith-
mus auf den Markt, der sich effizient in Hardware implementieren ließ. Das
führte zwar zu effizienten Implementierungen in Soft- und Hardware, aber lei-
der musste man erkennen, dass man noch keine Lösung für den Schutz der ver-
wendeten kryptografischen Schlüssel hatte. Das war der Punkt, an dem die ers-
ten Hardware-Sicherheitsmodule entwickelt wurden. Die ersten Geräte waren
zum Teil mit sich selbst zerstörender Technik ausgerüstet.
Hier finden Sie ein paar historische Geräte: »NSA devices with ex-
plosive tamper resistance« http://www.nsa.gov/about/crypto
logic_heritage/museum/
11
HSM für Dummies
12
1 Wie alles begann – ein bisschen Crypto-Geschichte
Erste kommerzielle Geräte wurden fast zeitgleich von IBM und Racal entwickelt.
Auch Utimaco kam zu dieser Zeit mit seinem ersten Gerät auf den Markt.
Was schon damals bei den Geräten auffiel, war die separate Eingabeeinheit, die
es ermöglichte, Schlüsselmaterial einzubringen. Jedoch waren diese Geräte
immer so konzipiert, dass sie die folgenden Anforderungen erfüllten:
Physikalische Absicherung des Datenspeichers, in dem kryptografische
Schlüssel verwahrt werden. Absicherung an dieser Stelle bedeutet das Er-
kennen von unbefugtem Zugriff.
Auslagerung des sicherheitsrelevanten Programmcodes innerhalb des HSM.
Zugriffskontrolle unterstützt durch ein Rechte- und Rollenkonzept.
13
HSM für Dummies
15
HSM für Dummies
Eine andere, weit verbreitete Bauform von HSM ist die Netzwerk Appliance- oder
auch Server-Variante. Hierbei handelt es sich im Prinzip um ein HSM, das direkt
via TCP/IP angesprochen wird und somit direkt in ein Netzwerk eingebunden
werden kann.
16
2 Die HSM-Technik heute
Sicherheitsanforderungen
Über die letzten Jahre hinweg haben sich die Sicherheitsanforderungen an HSM
im Grunde nicht großartig verändert. Im Wesentlichen erfüllen HSM die nach-
folgenden Anforderungen:
Absicherung gegen Angriffe auf die HSM-Gerätehardware; »tamper resis-
tant«
Schutz vor Seitenkanalangriffen wie zum Beispiel Timing-Attacken oder Dif-
ferential Power Analysis, also Angriffen, die aus dem zeitlichen Verhalten
oder der Stromaufnahme der Geräte Rückschlüsse auf die Schlüssel ziehen
Absicherung der kryptografischen Anwendungsumgebung
Absicherung der Softwareumgebung gegen Manipulation und Einspielen
von Fremdprogrammen
Generierung von Schlüsseln durch echte Zufallszahlengeneratoren
Unterstützung aller derzeit etablierten kryptografischen Operationen (Si-
gnieren, Verschlüsseln und so weiter)
Dies sind die grundlegenden übergreifenden Anforderungen an HSM. An dieser
Stelle haben wir bewusst den gesamten Bereich der Schnittstelle außer Acht ge-
lassen. Dieser wird in Kapitel 3 detailliert betrachtet.
17
HSM für Dummies
Ebenso führt die definierte Abgrenzung dazu, dass eine klare Trennung der Spei-
cherbereiche für die geheimen Daten im HSM stattfindet. Nur durch die Firm-
ware innerhalb des HSM sind die Bereiche innerhalb der Sicherheitszone zu ad-
ressieren. Alle andere Hardware und auch Software außerhalb der Sicherheits-
zone, wie zum Beispiel Kabel-Trägerplatinen oder Client Software, APIs oder Au-
thentisierungs-Token, ist notwendig für den Betrieb des HSM, kann aber nicht
direkt auf die Elemente im gesicherten Bereich zugreifen.
Auch im laufenden Betrieb eines HSM, also zur Laufzeit, bietet die Sicherheits-
zone maximalen Schutz gegen das Ausspähen der Schlüsselinformationen. Gera-
de auch wenn ein Gerät aus der Betriebsumgebung gestohlen wird, ist durch die
Sicherheitszone und den gesicherten Kommunikationskanal gewährleistet, dass
keine Informationen nach außen gelangen.
18
2 Die HSM-Technik heute
19
HSM für Dummies
Fazit
In diesem Kapitel haben Sie gesehen, welche Designprinzipien, welche Sicher-
heitsanforderungen und welche Maßnahmen zum physikalischen Schutz bei
Hardware-Sicherheitsmodulen zum Einsatz kommen. Zudem haben wir Ihnen
kurz die aktuellen Normen für Hardware-Sicherheitsmodule vorgestellt. Diese
grundlegenden Definitionen werden wiederum untermauert von den unter-
schiedlichen Zertifizierungsschemata wie FIPS oder Common Criteria, die auf
diesen Prinzipien aufsetzen und hier entsprechende Prüf- und Validierungsrah-
menwerke bilden. Zu diesem Punkt lesen Sie bitte in Kapitel 4 weiter.
20
3
Die Schnittstelle: der Schlüssel
zur Anwendung
In diesem Kapitel
Welche Schnittstellen heutzutage für HSM existieren
Zu welchem Einsatzzweck welche Schnittstelle herangezogen wird
21
HSM für Dummies
Command API:
Hierbei handelt es sich um das Interface zum HSM, das dazu da ist, um auf
die kryptografischen Funktionen des HSM zuzugreifen. Hierzu zählen auch
erweiterte Funktionen wie zum Beispiel die Schlüsselgenerierung und der
Import oder Export von Schlüsseldatensätzen.
User Management API:
Mithilfe dieser Schnittstelle werden alle notwendigen Funktionen aufgeru-
fen, um Anwender und deren entsprechende Rollen im HSM anzulegen und
zu verwalten.
Grundlegend zeichnet sich die Schnittstelle eines HSM durch folgende Eigen-
schaften aus:
Umsetzung der Sicherheitspolitik für den externen Zugriff auf den gesicher-
ten Bereich
22
3 Die Schnittstelle: der Schlüssel zur Anwendung
Vorteile:
Einer der wesentlichen Vorteile der PKCS#11-Schnittstelle ist die Interoperabili-
tät zwischen Anwendung und Sicherheitsmodul. Des Weiteren bietet der
PKCS#11 einen universellen Ansatz sowohl für symmetrische als auch asymme-
trische kryptografische Verfahren.
Nachteile:
So schön die oben angesprochene Interoperabilität auch sein mag: Viele Herstel-
ler haben bei der Umsetzung des PKCS#11 Erweiterungen, sogenannte Vendor
definied mechanisms, eingebaut und somit den Vorteil der Herstellerneutralität
ad absurdum geführt. Auch hat der Standard eine so hohe Komplexität ent-
wickelt, dass gerade Angriffe auf die Schnittstelle durch Abfolgen von Befehlen
23
HSM für Dummies
sehr hohe Erfolgsquoten haben. Schauen Sie sich einmal den Artikel http://
www.dsi.unive.it/~focardi/Articoli/bmfs-ASA09.pdf an, der das
Problem sehr schön beschreibt.
Die JCE ist ein Teil der JCA (Java Cryptography Architecture). Durch
die Aufteilung in JCE und JCA konnte in der Vergangenheit die Be-
schränkung der USA für Kryptografie eingehalten werden. Beinhaltete
die JCA nur Hashfunktionen, Schlüsselgeneratoren und so weiter,
durfte diese frei exportiert werden.
Die JCE basiert auf einem Provider-Konzept, mit dem es möglich ist, verschiede-
ne kryptografische Konzepte einzubinden. Die Java Cryptography Extension ist
(wie auch die Java Cryptography Architecture) von der Implementierung der
konkreten Algorithmen unabhängig. Über ein Service Provider Interface (SPI)
können unterschiedliche Implementierungen von unterschiedlichen Herstellern
gleichzeitig in die Java-Laufzeitumgebung eingebunden werden. Java wird ab
Version 1.4 mit einer JCE- und JCA-Implementierung ausgeliefert, andere Im-
plementierungen können aber einfach sowohl statisch als auch dynamisch nach-
geladen werden. Zu den bekanntesten JCE-Implementierungen gehört der IAIK-
JCE-Provider des Instituts für Angewandte Informationsverarbeitung und
Kommunikationstechnologie (IAIK) der Technischen Universität Graz.
24
3 Die Schnittstelle: der Schlüssel zur Anwendung
In Amerika hat die NSA 2005 einen Katalog – Suite B – von kryptogra-
fischen Algorithmen veröffentlicht. Diese Sammlung ist als Empfeh-
lung der NSA zu verstehen, wenn es um den Einsatz von kryptografi-
schen Verfahren sowie deren Schlüsselstärken geht. Parallel dazu hat
die NSA ebenfalls noch den Suite A-Katalog verfasst. Hierbei handelt
es sich um Algorithmen für den Einsatz im hochsensiblen Bereich.
Dieser Katalog wurde nicht veröffentlicht.
Aber was wäre die IT ohne ihre Ausnahmen? Auch im Bereich von Microsoft
haben wir noch eine weitere Schnittstelle für HSM im Bereich Datenbankserver.
Hierbei handelt es sich um die SQL-Serverdatenverschlüsselungsfunktion EKM
(Extensible Key Management). Diese Funktionsschnittstelle bietet die Möglich-
keit, die in vielen Anwendungsbereichen geforderte Datenbankverschlüsselung
mittels eines HSM zu realisieren. Grundsätzlich handelt es sich bei der EKM-
Schnittstelle um eine weitere Standardschnittstelle im Bereich Microsoft.
Weitere Standardschnittstellen
Die in diesem Buch vorgestellten Schnittstellen sind zum Zeitpunkt der Druck-
legung des Buches die aktuellen APIs für HSM, die am weitesten Verbreitung fin-
den. Hinzu kommen weitere Schnittstellen, die entweder herstellerspezifisch
sind, aber einen »Industrie«-Standard darstellen, oder auch weitere definierte
Schnittstellen wie zum Beispiel die Integration von HSM in die OpenSSL-Biblio-
thek. Bei OpenSSL handelt es sich um die Bibliothek für SSL (Secure Socket
Layer) und TLS (Transport Layer Security). Sie wird von vielen anderen Produk-
ten, wie auch der OpenCA, im Backend genutzt. Mit dem Engine-Konzept von
OpenSSL lassen sich für alle kryptografischen Prozesse ebenfalls Smartcards
und Hardware-Sicherheitsmodule einbinden. Somit stellt OpenSSL ebenfalls
eine gute Alternative zu den oben genannten Schnittstellen dar.
25
HSM für Dummies
Eine sehr schöne Übersicht darüber, wie heute Angriffe auf Schnitt-
stellen aussehen, finden Sie bei der Universität Oldenburg unter:
http://www.uni-oldenburg.de/fileadmin/user_upload/
informatik/download/da.pdf.
26
3 Die Schnittstelle: der Schlüssel zur Anwendung
27
4
Zertifizierung – ein Gütesiegel,
und dann?
In diesem Kapitel
Welche Zertifizierungsschemata es heute für HSM gibt
Welche Vor- und Nachteile Zertifizierungen im Bereich HSM haben
Was Sie als Anwender in Bezug auf Zertifizierungen wissen müssen
29
HSM für Dummies
Schauen wir uns den FIPS-Standard etwas genauer an, so haben wir es mit vier
aufeinander aufbauenden Sicherheitsstufen, sogenannten Level, zu tun. Jede
Stufe hat eine höhere Sicherheitsfeature-Konzentration als der Vorgänger,
wobei diese Konzentration entsprechend dem Grad der zu erreichenden Sicher-
heitsanforderungen angepasst ist. Als Vorlage ging in den FIPS-Standard der
ISO/IEC 19790-Standard ein und definiert hier die grundlegenden Anforderun-
gen an die vier Sicherheitslevels. Betrachtet man aktuelle Tendenzen in der Wei-
terentwicklung des Standards, so ist ebenfalls die ISO/IEC 19790 in der Version
2.0 aus dem Jahr 2012 die Grundlage für weitere FIPS 140-Definitionen.
30
4 Zertifizierung – ein Gütesiegel, und dann?
Auf der Webseite des CMVP finden Sie alle weiterführenden Informa-
tionen rund um den FIPS 140: http://csrc.nist.gov/groups/
STM/cmvp/index.html. Des Weiteren finden Sie in der Sektion
»Module Validation Lists« eine Übersicht der zertifizierten Geräte
nach Hersteller sortiert. In der Sektion »Modules in Process« finden
Sie alle Hersteller, deren Module sich derzeit in Evaluierung befinden.
Werfen wir mal einen kurzen Blick auf die ISO/IEC 19790. Die Norm spezifiziert
detailliert die Sicherheitsanforderungen an »Cryptographic Modules«, also Si-
cherheitsmodule. Es werden insgesamt elf Teilaspekte von Modulen betrachtet,
vom Design der Hardware über die Implementierung bis hin zur Kryptografie.
Der Umfang an Maßnahmen für diese Teilaspekte bestimmt dann den entspre-
chenden Sicherheitslevel.
Zurück zum FIPS-Standard. Mit FIPS 140-2 haben wir einen internationalen
Standard vorliegen, der wesentlich bei der Auswahl von Hardware-Sicherheits-
modulen zum Tragen kommt. Als Ergebnis einer erfolgreichen Zertifizierung
nach FIPS 140-2 wird nicht nur ein Gesamtsicherheitsniveau (Level 1 bis 4) be-
scheinigt, sondern auch individuelle Prüfergebnisse in verschiedenen Teilberei-
chen. Letztere sind für konkrete Anwendungsfälle wesentlich aussagekräftiger
als das Gesamtergebnis.
31
HSM für Dummies
nen. Will man eine Prüfung nach CC durchführen, ist grundsätzlich, unabhän-
gig von dem jeweiligen Produkt, zwischen der Funktionalität des Systems und
dessen Vertrauenswürdigkeit zu unterscheiden. Denn der Grundgedanke der
Common Criteria ist, dass das Vertrauen in ein Produkt oder System durch die
Prüfung der Funktionalität entsteht.
Schaut man sich nun an, welche Schutzprofile bei Common Criteria für Hard-
ware-Sicherheitsmodule existieren, so wird man im ersten Schritt nur im Be-
reich von Security-Modulen fündig – wobei aber Achtung geboten ist, denn es
handelt sich hierbei ausschließlich um Security-Module in Form einer Smart-
card. Das einzige Schutzprofil (Protection Profile bzw. PP), das heute evaluiert
und veröffentlicht ist, ist das PP mit der Nummer BSI-CC-PP-0045 Cryptogra-
phic Modules, Security Level »Enhanced«. Dieses Protection Profile wurde vom
Bundesamt für Sicherheit in der Informationstechnik entwickelt und findet zum
Beispiel im Bereich der Infrastruktur des neuen Personalausweises seinen Ein-
satz.
32
4 Zertifizierung – ein Gütesiegel, und dann?
Teilweise ist der Funktionsumfang eines HSM durch die zertifizierte Version
soweit eingeschränkt, dass kein Einsatz mit der entsprechenden Anwendung
möglich ist. Hier müssen Sie sich im Vorfeld der Produktauswahl im Klaren
sein, was Sie genau benötigen.
33
A
Anhang
Der HSM-Simulator
Sie können noch heute beginnen, mit Ihrer eigenen HSM-»Software« zu arbei-
ten, indem Sie sich den voll funktionsfähigen Utimaco HSM-Simulator herun-
terladen. Das Simulatorpaket bietet eine zu 100 Prozent funktionstüchtige
HSM-Runtime, ferner sämtliche Werkzeuge, die Sie zur Verwaltung und Konfi-
gurierung benötigen. Auch eine umfassende Bibliothek mit Anleitungen zur
Einrichtung des HSM und zum Einstieg in die Bedienung werden Sie finden, so-
dass Sie das HSM unmittelbar in Ihre Standardanwendungen integrieren
können.
In diesem Kapitel erfahren Sie Schritt für Schritt, wie Sie den CryptoServer Si-
mulator downloaden, auf einem Computer installieren und initial in Betrieb
nehmen können. Es werden nicht alle möglichen Szenarien aufgeführt (zum
Beispiel finden Sie hier stellvertretend nur die Installation des Simulators unter
dem Betriebssystem Windows 7); der Text ist also eher als Ergänzung zum
Quickstart Guide im Simulator-Paket gedacht.
Genauere Informationen über das gesamte Spektrum an Einrichtungs- und
Konfigurationsoptionen finden Sie im CryptoServer Handbuch für Systemver-
walter.
35
HSM für Dummies
36
A Anhang – Der HSM-Simulator
Während der Installation müssen Sie wählen, welche Komponenten Sie installie-
ren wollen. Wenn Sie Ihr Anwendungsgebiet kennen und Ihnen Ihre API be-
kannt ist, wählen Sie bitte Entsprechendes aus. Eine Installation mehrerer
Funktionsschnittstellen ist ebenfalls zulässig. Orientieren Sie sich dabei an fol-
gender Abbildung:
37
HSM für Dummies
Um den Simulator zu starten, müssen Sie einen Doppelklick auf das »CryptoSer-
ver Simulator«-Icon ausführen. Nach dem Start sehen Sie das Statusfenster wie
in folgender Abbildung:
38
A Anhang – Der HSM-Simulator
1. Starten Sie das CAT, indem Sie das Icon auf Ihrem Desktop anklicken.
39
HSM für Dummies
40
Notizen
41
Notizen
42
Notizen
43
Notizen
44
Notizen
45
Notizen
46
Notizen
47
Notizen
48
Hardware-Sicherheit h e rh e it smodule verstehen
Hard wa re -S ic
made in Germany
Sie erfahren:
Hardware-
)
• Wie HSM gebaut sind
odule (HSM
Sicherheitsm
• Welche Anwendungs-
schnittstellen heute verfüg-
bar sind
• Welche Zertifizierungen
Was Sie über Hardware- existieren