Was sind Geheimnisse (Secrets), Vaults (Tresore) und Schlüsselzeremonien ( Key ceremonies) in der Cybersicherheit?

10 Apr. 2024
Ewon
Dieser Artikel befasst sich mit fortschrittlichen Cybersicherheitskonzepten wie Geheimnissen, Tresoren und Schlüsselzeremonien, die ein hohes Maß an Sicherheit garantieren und mit dem Ewon Cosy+ in die Praxis umgesetzt werden.

In der heutigen Geschäftswelt ist Cybersicherheit für Unternehmen von entscheidender Bedeutung, um erfolgreich zu sein und sich anzupassen, insbesondere bei Remote-Konnektivitätslösungen wie der von Ewon. In diesem Artikel werden erweiterte Cybersicherheitskonzepte wie Geheimnisse, Tresore und Schlüsselzeremonien untersucht. Seien Sie dabei, wenn wir diese Grundlagen für eine starke Cybersicherheit aufschlüsseln. 


Herausforderungen bei der Cybersicherheit rund um "Geheimnisse"

Hardwarebasierte Sicherheit hebt die Messlatte für Vertraulichkeit, Authentizität und Integrität auf ein neues Niveau an, indem Schlüssel, die im Hardware-Vertrauensanker, beim sicheren Start und bei der Codesignatur verwendet werden, unveränderlich gespeichert werden.

Drei neue Herausforderungen müssen für starke Cyber-Security-Maßnahmen bewältigt werden:

  • Sichere Erstellung von Geheimnissen,
  • Sichere Speicherung, Zugriff und Nutzung von Geheimnissen,
  • Sichere Bereitstellung auf den Geräten.

In der Tat, wenn diese Geheimnisse durchsickern, fällt die gesamte Lösung zusammen.

Geheime Erstellung & elektronischer Tresor

Zunächst müssen die benötigten Schlüssel, mit denen das Gerät betrieben wird, während der Entwicklungsphase erstellt werden. Der beste Kryptografietyp und die beste Schlüsselgröße werden entsprechend der Verwendung der einzelnen Schlüssel ausgewählt. In einer Zero-Trust-Sicherheitsumgebung kann die Erstellung dieser Geheimnisse nicht einem Menschen anvertraut werden, sondern wird zentral erstellt und gemäß der gewählten Spezifikation in einem elektronischen Tresor gespeichert.

Wenn dieser Tresor und die darin enthaltenen Geheimnisse so sensibel sind, wie können wir dann sicher sein, dass seine Konfiguration und sein Zugriff nicht geändert werden können und dass die Geheimnisse in Übereinstimmung mit den gewählten Spezifikationen erstellt wurden? Wie können wir sicher sein, dass die Geheimnisse nicht eine einzige Sekunde lang sichtbar gemacht wurden, bevor sie in den Tresor eingesperrt wurden? Das ist der Zweck einer Schlüsselzeremonie.

Was ist eine "Schlüsselzeremonie" in der Kryptographie?

In der Kryptographie ist die Schlüsselzeremonie eine Sitzung, in der die Modalitäten der Generierung und Wahrung der Geheimhaltung kryptographischer Objekte überwacht werden.

In einer Schlüsselzeremonie hat ein Quorum ausgewählter Akteure, nennen wir sie "Schlüsselmeister", gemeinsam die Möglichkeit, den Tresor zu öffnen, seine Konfiguration oder seinen Inhalt zu ändern. Kein einzelner Akteur kann diese Vorgänge ohne die Hilfe der Mindestschwelle von Schlüsselmastern ausführen. In der Tat, du würdest den "Schlüssel zum Reich" nicht an eine einzige Person verschenken.

Eine Schlüsselzeremonie folgt einem kugelsicheren Szenario, hat Zeugen und wird dokumentiert. Geheimnisse werden im Inneren des Tresors erstellt und niemals öffentlich enthüllt, nicht einmal den Schlüsselmeistern. Der kleinste Zwischenfall während einer Schlüsselzeremonie (etwas, das im Szenario nicht vorgesehen ist) würde zu Zweifeln an der Vertraulichkeit oder Integrität von Geheimnissen führen. Es macht also die ganze Zeremonie ungültig, die neu gestartet werden muss.

Die Geheimnisse von Ewon Cosy+ werden ausschließlich durch Schlüsselzeremonien gelüftet

Der Tresor kontrolliert den Zugriff auf Geheimnisse streng, und nur identifizierte Prozesse oder Anwendungen können Token, Kennwörter, Zertifikate und Verschlüsselungsschlüssel anfordern. Es kann auch kryptografische Operationen durchführen.

Als Beispiel für gehütete Geheimnisse im Tresor haben wir in einem früheren Beitrag erwähnt, dass auf dem Cosy+ jedes Firmware-Update vor der Veröffentlichung signiert wurde. Es ist von größter Bedeutung sicherzustellen, dass Firmware-Updates vor der Veröffentlichung bei Ewon signiert und vor der Installation vom Gerät authentifiziert werden.

Wir wissen, dass ein Signaturprozess die Verwendung eines privaten Schlüssels beinhaltet. Dieser private Schlüssel ist in der Regel eines der Geheimnisse, die in unseren Tresoren aufbewahrt werden und niemandem bekannt sind, auf die aber der Firmware-Signaturprozess zugreifen kann. Das Gerät selbst enthält den öffentlichen Schlüssel, der zur Bestätigung der Signatur verwendet wird.

Implementierung von Geheimnissen während der Fertigung

Geheimnisse, die während der Entwicklungsphase generiert werden, müssen während der Herstellung in die Geräte implementiert werden, wobei sichergestellt werden muss, dass die Vertrauenskette nicht unterbrochen wird.

Dies geschieht in der Regel durch dedizierte Partner mit hoher Sicherheitsreife und Qualitätsversicherung, deren Aufgabe es ist, Geheimnisse an den gesicherten Speicherorten des Geräts vorab bereitzustellen. Auch hier erfolgt die Übertragung von Geheimnissen von einem sicheren Tresor zu einem anderen, ohne dass sie zu irgendeinem Zeitpunkt preisgegeben werden, durch eine Schlüsselzeremonie.

Alle oben beschriebenen kryptographischen Sicherheitsmaßnahmen werden für Ewon Cosy+, das Remote Access Gateway von HMS Networks, akribisch umgesetzt. Es ist eindeutig eine der robustesten Cybersicherheitslösungen auf dem Markt.