KEYMILE: Sicherheitskarte speziell für die Mission-Critical-Kommunikation

logo keymile

KEYMILE hat unlängst die neue Verschlüsselungskarte SECU1 für seine Multi-Service-Zugangs- und Transportplattform XMC20 präsentiert. Die neue Karte zeichnet sich durch hochsichere Ende-zu-Ende-Verschlüsselung in Mission-Critical-Netzen bei gleichzeitiger Beibehaltung einer sehr hohen Datenverfügbarkeit aus, wie sie in solchen Infrastrukturen gefordert wird – so das Unternehmen. Die State-of-the-Art-Verschlüsselung basiert auf einem hardwarebasierten Quantum Random Number Generator, der für höchste Sicherheit der erzeugten Schlüssel sorgen soll.

Die neue KEYMILE-Lösung richtet sich an die Betreiber anwendungskritischer Netze bei Energieversorgern, Gas- und Ölpipelines und Bahnen sowie bei Behörden wie Polizei, Flugsicherung und der Verteidigung. Die dabei eingesetzte Verschlüsselungstechnologie spielt eine entscheidende Rolle zur Gewährleistung der Sicherheit. Die Schlüssel selbst werden von einem hardwarebasierten Quantenzufallszahlengenerator (QRNG, Quantum Random Number Generator) erzeugt, der sich die inhärent zufälligen Quantenzustände von Photonen zu Nutze macht. Damit lassen sich tatsächlich zufällige und eindeutige Schlüssel generieren.

Die QRNGs stammen vom dem Schweizer Unternehmen ID Quantique (IDQ) und wurden von einer Vielzahl unabhängiger Testlabors bezüglich der strengsten internationalen Standards getestet und verifiziert. Darüber hinaus lässt sich die Verschlüsselungskarte um einen Quantum Key Distribution (QKD) Server von ID Quantique ausbauen. Bei dieser erweiterten Lösung erfolgt der Schlüsselaustausch über den per Dark-Fiber verbundenen QKD-Server. Dadurch sind keine Man-in-the-Middle-Attacken mehr möglich. Der bloße Versuch den Schlüssel mitzulesen, verändert den Polarisationsstand der Photonen und der Lauschangriff ist enttarnt.

Mit der hybriden Multi-Service-Zugangs- und Transportplattform XMC20 von KEYMILE können Unternehmen und Behörden SDH/PDH-basierte und paketbasierte Netze sicher in einem Netzknoten betreiben. Die XMC20-Plattform zeichnet sich durch einen lüfterlosen Betrieb aus, lässt sich in rauen Umgebungsbedingungen einsetzen und gewährleistet in Kombination mit der neuen Lösung eine zuverlässige Verschlüsselung, die die hohe Verfügbarkeit in Mission-Critical-Netzen nicht gefährdet. Die zentrale und dezentrale Schlüsselerzeugung sorgt für eine vertrauenswürdige und geschützte Schlüsselverteilung. Es gibt keinen Single-Point-of-Failure und alle Knoten können sicher miteinander kommunizieren. Dieser KEYMILE-Permanent-Encryption-Ansatz verhindert, dass sogenannte Netzinseln entstehen.

Die KEYMILE-Lösung verschlüsselt Daten Ende-zu-Ende in paketbasierten MPLS-TP-Transportnetzen. Die Karte verschlüsselt nativ den gesamten Netzverkehr auf Layer-2. Damit weist sie wichtige Vorteile im Vergleich zur Layer-3-Verschlüsselung von IPsec auf: Bei der KEYMILE-Lösung kommt es zu keinem Bandbreitenverlust durch Overhead; die Latenzzeit beträgt weniger als eine Mikrosekunde, statt Millisekunden oder sogar Sekunden. Durch die geringe Auswirkung auf die Netzleistung erfüllt die Lösung eine der wichtigsten Anforderungen an anwendungskritische Systeme, die Verfügbarkeit der Daten.

Um eine optimale Sicherheit zu gewährleisten, erfolgt die Verschlüsselung der Daten mit dem State-of-the-Art AES-Algorithmus. Die Session Keys werden alle 60 Sekunden erneuert. Die Verschlüsselungskarte nutzt programmierbare FPGAs und erzielt so eine maximale Flexibilität im Betrieb. Sie ermöglicht eine bessere Anpassung an die Kundenbedürfnisse und ist für Hochgeschwindigkeitsverschlüsselung mit einem Datendurchsatz bis zu 10 Gbit/s optimiert. Die Lösung lässt sich so problemlos an zukünftige Änderungen anpassen und bietet eine langfristige Investitionssicherheit.

Die Betreiber von Mission-Critical-Netzen können die Karte mit sehr geringem Installationsaufwand und damit kosteneffizient in ihr Netz integrieren. Sie wird in den freien Slot eines Subracks eingesteckt und mit der Zentralbaugruppe verbunden. Es ist keine Reorganisation des Netzes oder eine Änderung an weiteren Endgeräten erforderlich. Die Karte ist als Baugruppe redundant ausgelegt. Pro Karte sind zwei eigenständige Verschlüsselungseinheiten vorhanden – einschließlich Stromzufuhr und hardwarebasiertem Quantenzufallszahlengenerator. Die Karte ist zudem gegen mechanische Manipulation geschützt.

KEYMILE hat für die Verschlüsselungskarte ein jederzeit überprüfbares Sicherheitskonzept implementiert, das höchste Anforderungen an die Integrität, Vertraulichkeit, und Authentifizierung der Daten sicherstellt. Die Karten werden von sicherheitsüberprüftem Personal in Deutschland und der Schweiz entwickelt und in Deutschland produziert. KEYMILE kann dadurch eine backdoor-freie Lösung garantieren, dass heißt es gibt keine verstecken Zugangsmöglichkeiten. KEYMILE bietet die Möglichkeit, den Quellcode auf Anfrage einzusehen. Darüber hinaus ist das Unternehmen selbst derzeit im Zertifizierungsprozess nach ISO 27001.

Die neue Verschlüsselungskarte von KEYMILE wird im dritten Quartal 2016 verfügbar sein.

Quelle: KEYMILE