FLAM-Key-Management-Extension

Die FLAM Key Management Extension (FKME) ist das Bindeglied zwischen den kryptographischen Schutzmechanismen in FLAM (Vertraulichkeit, Integrität und Vollständigkeit), verschiedenen kryptographischen Infrastrukturen (KMIP, x509-PKI, FINPIN, …) und verschiedenen Architekturen von Hardware-Sicherheits-Modulen (HSM (IBM-CCA/ICSF, PKCS#11, ...)), um eine professionelle Schlüsselverwaltung für FLAM realisieren und damit den Zugriff auf die Daten kontrollieren zu können. Natürlich unterstützt FLAM auch den Schutz mit Hilfe einer einfachen Passphrase oder einer internen Konstante als Schlüssel, aber professionelle Key-Management-Lösungen werden über dieses Service-Provider-Interface realisiert, welches ab der Version 4 von FLAM zur Verfügung steht.
 

Der Nutzen

  • Verwendung von bestehenden kryptographischen Infrastrukturen für den Schutz von „flambierten“ Daten
  • Prozesse für die Schlüsselverwaltung und Rechtevergabe können wieder verwendet werden
  • Höchste Sicherheit durch die Unterstützung von verschiedenen Hardware-Sicherheits-Modulen (HSM)
  • Keine nachgelagerten Kosten durch die Verschlüsselung
  • Erfüllung von Sicherheitsanforderungen und -standards
 

 

Das Produkt

  • Einfache Integration von FLAM® in bestehende kryptographische Infrastrukturen (SKI (FINPIN) oder PKI (KIMP, PGP, x509 (SSL))) über ein standardisiertes  Service Provider Interface (SPI) für die Bereitstellung und den Schutz von Schlüsselmaterial
  • Fertig entwickelte Lösungen oder  Eigenentwicklungen sind möglich
  • Die FKME kann gegen die  verschiedene Arten und Architekturen von Hardware-Sicherheits-Modulen implementiert werden und kann somit die Kompatibilität über diese heterogene Hardware sicher stellen
  • Durch die Umschlüsselung des Datenschlüssel für ein FLAMFILE® kann zum Einen der Zugriff auf die Daten kontrolliert aber auch ein ungeplanter oder turnusmäßiger Schlüsselwechsel vorgenommen sowie zentrale Kopfstellen, Archive und Vermittler sicher abgebildet werden
  • Die Zugriffsmethode auf einzelne Datenelemente (Sätze) in den verschlüsselten Dateien bleibt hierbei voll erhalten
  • Für die verschiedenen Lösungen gibt es Referenzimplementierungen in Software zum Test und für den schnellen Einstieg in Projekte
 

Unser Mehrwert

  • Nachweisbare Sicherheit, Kryptographie, Hardware-Sicherheits-Module (HSM) und Key-Management sind eine Kernkompetenz in unserem Unternehmen.
  • Die Umsetzung von Sicherheitsvorschriften (wie z.B. PCIDSS), das sichere Clouding und Outsourcing sowie eine professionelle Schlüsselverwaltung standen bei der Entwicklung im Mittelpunkt.
  • Die Suche in verschlüsselten und komprimierten Datenbeständen mit dem Zugriff auf einzelne Datenelemente  (ohne die ganze Datei klarrechnen zu müssen) wird mit einem strengen Zugriffsschutz auf die Datenelemente (Need to Know) kombiniert.
 

Implementierungen

Der FKME als SPI kann für die Anbindung von verschiedenen kryptographischen Infrastrukturen genutzt werden. Die folgenden Lösungen stehen derzeit im Rahmen von FLAM4 zur Verfügung:

  • FIN/PIN für PCIDSS: hier wurde für die sichere Bestellung von Debit- und Kreditkarten eine Spezifikation entwickelt, welche auf die bestehende kryptographische Infrastruktur für den Financial-Pin-Support aufsetzt. Ihr stehen mittlerweile sowohl eine Spezifikation für Tripple-DES als auch eine für AES zur Verfügung, welche in zwei Ausprägungen (Übertragung und Speicherung) existiert. Wir bieten hierbei neben einer Referenzimplementierung in Software eine Implementierung für PKCS#11 und IBM-CCA basierte HSM auf allen Plattformen an.
  • AES-basierte Lösung für die sichere Ablage von Datenbank-Unload, das IMS-Log, Dumps und weitere kritische Daten über unser Subsystem auf der Host, welche analog zum DB2/IMS-Datenbankverschlüsselungtool der IBM funktioniert und mit dem gleichen protected Key über das ICSF benutzt werden kann.

Im Rahmen von FLAM5 haben wir folgende FKME in der Produktplanung:

  • Anbindung der x509-PKI, so dass man für FLAM die gleiche Infrastruktur nutzen kann, wie sie für SSL/TLS-Server in vielen Unternehmen bereits aufgebaut ist.
  • KMIP (Key-Management-Interoperability-Protokoll) Support, so dass ein zentraler EKMs (Encryption-Key-Manager) für den Zugriffsschutz auf flambierte Daten genutzt werden kann.

In verschiedenen anderen Projekten haben Kunden eigene Spezifikationen verfasst und Lösungen implementiert.