3 Die Schnittstelle: der Schlüssel zur Anwendung In Amerika hat die NSA 2005 einen Katalog – Suite B – von kryptografischen Algorithmen veröffentlicht. Diese Sammlung ist als Empfehlung der NSA zu verstehen, wenn es um den Einsatz von kryptografischen Verfahren sowie deren Schlüsselstärken geht. Parallel dazu hat die NSA ebenfalls noch den Suite A-Katalog verfasst. Hierbei handelt es sich um Algorithmen für den Einsatz im hochsensiblen Bereich. Dieser Katalog wurde nicht veröffentlicht. Aber was wäre die IT ohne ihre Ausnahmen? Auch im Bereich von Microsoft haben wir noch eine weitere Schnittstelle für HSM im Bereich Datenbankserver. Hierbei handelt es sich um die SQL-Serverdatenverschlüsselungsfunktion EKM (Extensible Key Management). Diese Funktionsschnittstelle bietet die Möglichkeit, die in vielen Anwendungsbereichen geforderte Datenbankverschlüsselung mittels eines HSM zu realisieren. Grundsätzlich handelt es sich bei der EKMSchnittstelle um eine weitere Standardschnittstelle im Bereich Microsoft. Weitere Standardschnittstellen Die in diesem Buch vorgestellten Schnittstellen sind zum Zeitpunkt der Drucklegung des Buches die aktuellen APIs für HSM, die am weitesten Verbreitung finden. Hinzu kommen weitere Schnittstellen, die entweder herstellerspezifisch sind, aber einen »Industrie«-Standard darstellen, oder auch weitere definierte Schnittstellen wie zum Beispiel die Integration von HSM in die OpenSSL-Bibliothek. Bei OpenSSL handelt es sich um die Bibliothek für SSL (Secure Socket Layer) und TLS (Transport Layer Security). Sie wird von vielen anderen Produkten, wie auch der OpenCA, im Backend genutzt. Mit dem Engine-Konzept von OpenSSL lassen sich für alle kryptografischen Prozesse ebenfalls Smartcards und Hardware-Sicherheitsmodule einbinden. Somit stellt OpenSSL ebenfalls eine gute Alternative zu den oben genannten Schnittstellen dar. Einsatzzwecke von Schnittstellen Leider ist die Schnittstelle zur Kommunikation mit kryptografischen Geräten eine Achillesferse beim Einsatz von HSM. Gerade bei einem Hardware-Sicherheitsmodul handelt es sich um ein System, das die Möglichkeit bietet, eine sehr hohe Komplexität abzubilden. Aus dieser Eigenschaft heraus wächst leider auch die Möglichkeit, wesentliche Implementierungsfehler zu begehen und durch eine Kombination aus unterschiedlichen Befehls- und Kommandostrukturen einen erfolgreichen Angriff durchzuführen. 25
HSM_fuer_Dummies
To see the actual publication please follow the link above