Bundesamt für Sicherheit in der Informationstechnik

M 4.87 Physikalische Sicherheit von Kryptomodulen

Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter

Wie in M 2.165 Auswahl eines geeigneten kryptographischen Produktes beschrieben, können Kryptomodule in Software, Firmware oder Hardware realisiert sein. Firmware- bzw. Hardware-Produkte werden insbesondere dann gewählt, wenn das Kryptomodul besonders manipulationsresistent sein soll.

Unter diesem Gesichtspunkt sollte das Kryptomodul unter Verwendung von physikalischen Sicherheitsmaßnahmen oder unter Ausnutzung entsprechender Materialeigenschaften so konstruiert sein, dass ein unautorisierter physikalischer Zugriff auf Modulinhalte erfolgreich verhindert werden kann. Dies soll möglichen technischen Manipulationen oder sonstigen Beeinträchtigungen im laufenden Betrieb vorbeugen. In Abhängigkeit von der Sicherheitsstufe des Kryptomoduls sind hierzu beispielsweise die Verwendung von Passivierungsmaterialien, geeignete Tamperschutzmaßnahmen oder mechanische Schlösser in Betracht zu ziehen. Eine automatische Notlöschung, die eine aktive Löschung oder die Vernichtung aller im Klartext enthaltenen sensitiven Schlüsseldaten und -parameter bewerkstelligen kann, innerhalb des Kryptomoduls nach identifizierten Angriffsversuchen, zählt ebenfalls in diese Maßnahmenkategorie.

Mit dem Einsatz von diversen Sensoren und Überwachungseinrichtungen lässt sich sicherstellen, dass das Kryptomodul - was Spannungsversorgung, Taktung, Temperatur, mechanische Beanspruchung, elektromagnetische Beeinträchtigung etc. anbelangt - in seinem vorgesehenen Arbeitsbereich betrieben wird.

Zur Aufrechterhaltung seiner beabsichtigten Funktionalität sollte das Kryptomodul Selbsttests initiieren und durchführen können. Diese Tests können sich auf folgende Bereiche erstrecken: Algorithmentests, Software und Firmwaretests, Funktionstests, statistische Zufallstests, Konsistenztests, Bedingungstests sowie Schlüsselgenerierungs- und -ladetests. Im Anschluss an ein negatives Testergebnis sollte dem Benutzer des Kryptomoduls eine entsprechende Fehlermeldung signalisiert und ein entsprechender Fehlerzustand eingenommen werden. Erst nach Behebung der Fehlerursache(n) darf eine Freischaltung aus diesem Fehlerzustand möglich sein.

Beim Einsatz von Softwareprodukten muss die physikalische Sicherheit des Kryptomoduls durch das jeweilige IT-System bzw. dessen Einsatzumgebung geleistet werden. Sicherheitstechnische Anforderungen an solche IT-Systeme können den systemspezifischen Bausteinen entnommen werden.

Eine Softwarelösung sollte Selbsttests durchführen können, um Modifikationen durch Trojanische Pferde oder Coputer-Viren erkennen zu können.

Prüffragen:

  • Ist sichergestellt, dass ein unautorisierter physikalischer Zugriff auf Modulinhalte des Kryptomoduls verhindert wird?

  • Können Hard- und Softwareprodukte als Kryptomodule Selbsttests durchführen?

Stand: 13. EL Stand 2013

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK