Storys und Papers

Use casesSolution BriefsPapers Whitepapers

Storys

Datenbankverschlüsselung für die Datenschutzgrundverordnung

Wer seine Datenbank verschlüsselt und die Schlüssel in einem HSM speichert, schützt die Daten auf bestmögliche Weise. Denn selbst wenn Diebe die Datenbank stehlen sollten, können sie nicht auf die Daten zugreifen. Der Grund dafür ist, dass die Verschlüsselungsschlüssel nicht dem HSM entnommen werden können. Es gibt drei Möglichkeiten, die Datenbank zu verschlüsseln: Transparent Database Encryption (TDE), Datenbankverschlüsselungsproxy oder Vorverschlüsselung der Datensätze auf der Verarbeitungsanwendung. Wir erklären, welche Methode der Datenbankverschlüsselung zwecks Einhaltung der Datenschutz-Grundverordnung für welchen Fall geeignet ist

Hardware ist der Schlüssel zur Informationssicherheit

Netzwerke sind zu Trägern von Informationen unterschiedlichen Sensibilitätsgrades geworden. Sie müssen auf mehreren Stufen geschützt werden. Auf der technischen Stufe reichen reine Softwarelösungen nicht. Es braucht zusätzlich eine vertrauenswürdige Hardwarekomponente.

Weshalb es HSM braucht

Wie aus einem VPN ein wirklich geschütztes Netzwerk wird

VPN und Glasfasernetze sind nicht a priori sicher. Das bedeutet: Eine Firma, die über mindestens zwei Standorte verfügt, muss ihr internes Netzwerk zusätzlich schützen. Dazu und zum Schutz von sensiblen Daten braucht es Geräte, die über bestimmte Sicherheitsfeatures verfügen müssen. Es handelt sich hierbei um Layer-2-Verschlüssler sowie – für grosse Netzwerke – Hardware Security Module.

Netzwerkverschlüssler für VPN

Sicherheit im Zahlungsverkehr dank HSM von Securosys

Dieser Tage wird das bisherige System für den Zahlungsverkehr in der Schweiz SIC3 abgeschaltet: Ab Juli 2017 übernimmt die Nachfolgeversion SIC4 den Betrieb. Dieses ist mit den Primus HSM S500 von Securosys abgesichert. Transaktionen in der Höhe bis zu 480 Millarden Franken pro Tag werden darüber abgewickelt. Welches waren die Anforderungen ans System, welche Faktoren trugen zum Gelingen bei und wie es nun bei Securosys weiter?

Die Erfolgsstory des Primus HSM S500

Der Quantencomputer - eine Bedrohung für die PKI?

Welches sind heute die Voraussetzungen für eine sichere PKI? Und wird sie der Quantencomputer in Zukunft obsolet machen? Könnte Blockchain eine Lösung bieten? Solchen Fragen gingen die Referenten an einer SIGS-Veranstaltung nach. Dabei stellte sich auch die Frage, wann Quantencomputer überhaupt produktionsreif sein werden.

Der Quantencomputer - eine Bedrohung für die PKI?



Use cases

Netzwerkverschlüssler: unabdingbar für sensible Kundendaten

FLYNT Bank verwendet für ihre IT-Security einen Netzwerkverschlüssler sowie einen Cluster aus Securosys Primus HSM. Das Technologieunternehmen hat notabene hochsensible Daten ihrer Kunden zu schützen. Stefan Thiel erklärte in einem Vortrag, welche Sicherheitsanforderungen die IT-Architektur von FLYNT erfüllen muss und wie er bei der Evaluation des Netzwerkverschlüsslers vorgegangen ist.

Netzwerkverschlüssler für die IT-Security der FLYNT Bank



Solution briefs

So wird die Microsoft PKI wirklich sicher

Im Serverpaket von Microsoft (MS) ist bereits eine PKI enthalten. Damit kann eine Certificate Authority (CA) eingerichtet werden. Die Vertrauenswürdigkeit des gesamten Systems hängt davon ab, wie gut der Schlüssel geschützt ist, mit dem die Zertifikate ausgestellt werden. Microsoft empfiehlt in ihren "Best Practices", private Schlüssel in einem Hardware Security Modul (HSM) zu speichern. Primus HSM kann mühelos ins System integriert werden.


Microsoft PKI mit Primus HSM – Solution Brief (pdf)



Papers

Wie ein hoch sicherer Algorithmus geknackt und dann gehärtet wird

Wo gibt es Schwachstellen bei Verschlüsselungsalgorithmen, die bisher als höchst sicher galten? Wie muss man Informationen verschlüsseln bzw. Algorithmen gestalten, wenn Angreifer zwecks Entschlüsselung über empfindliche Messgeräte für Seitenkanalattacken verfügen? Damit hat sich Securosys in einem KTI-Projekt zusammen mit der Hochschule Rapperswil (HSR) befasst. Nun liegen erste Erkenntnisse vor: Forscher vom Institut für Mikroelektronik und Embedded Systems (IMES) und von Securosys zeigen, wie ein auf elliptischen Kurven basierter Algorithmus (ECC) zuerst geknackt, dann aber dank kleinen Modifikationen erfolgreich gegen Seitenkanalattacken gehärtet werden kann.

On Power-Analysis Resistant Hardware Implementations of ECC-based Cryptosystems
("Über Implementationen, die resistent gegen Stromflussanalysen sind und auf ECC-basierten Verschlüsselungssystemen beruhen")
Roman Willi und Paul Zbinden, IMES HSR; Andreas Curiger, Securosys.
Von der Kommission für Technologie und Innovation (KTI) des Bundes unterstütztes Projekt.


Die vermutlich leistungsstärkste Architektur für ECC-Verschlüsselung

Die digitale Signatur ist eine effektive Methode, um Information vor Veränderung durch Betrüger zu schützen. Je stärker jedoch die Computer der Cyberkriminellen werden, desto komplexere Authentisieralgorithmen müssen eingesetzt werden. Damit steigt die Ausführungszeit und entsprechend die benötigte Computerkapazität. In einem Projekt hat Securosys in Zusammenarbeit mit der Hochschule Rapperswil Wege erforscht, wie Informationen auch künftig gut geschützt werden können. Die Forscher vom Institut für Mikroelektronik und Ebedded Systesms (IMES) haben zusammen mit Securosys unter anderem eine Computerarchitektur entwickelt, die ihres Wissens die leistungsfähigste zur Berechnung des häufig im Zusammenhang mit der digitalen Signatur benutzten ECC-Algorithmus ist.

Flexible FPGA-Based Architectures for Curve Point Multiplication over GF(p)
(Flexible FPGA-basierte Architekturen für Kurvenpunkt-Multiplikation via GF(p) )
Dorian Amiet, Paul Zbinden IMES HSR; Andreas Curiger, Securosys AG.
Von der Kommission für Technologie und Innovation (KTI) des Bundes unterstütztes Projekt.



Whitepapers

Securing Oracle with Primus HSM

Zum Schutz einer Oracle-Umgebung braucht es ein Securosys Primus HSM sowie eine unterstützende Bibliothek, welche die Standardschnittstellen beinhaltet wie Microsoft Cryptographic Service Provider (MS CNG), Java JCE und PKCS#11. Die Ver- und Entschlüsselung der Daten wird mit Transparent Data Encryption (TDE) gemacht. Die Installationschritte und welche Vorteile diese Lösung mit sich bringt, beschreibt Marcel Suter von unserer Partnerfirma libC Technologies SA in einem Solution Brief (nur in Englisch).