Bundesamt für Sicherheit in der Informationstechnik

Systembeschreibung ElcroDat 6-2

ElcroDat 6-2 besteht aus den Komponenten

  • ElcroDat 6-2 S Verschlüsselungsgerät für den sicheren Euro-ISDN Basisanschluss,
  • ElcroDat 6-2 M Verschlüsselungsgerät für den sicheren Euro-ISDN Primärmultiplexanschluss,
  • Management-Station für das kryptografische Management der Verschlüsselungsgeräte,
  • Service-Station für die Fernadministierung der Verschlüsselungsgeräte,
  • Logging-Station für die Fernüberwachung der Verschlüsselungsgeräte und
  • Service-PC für Administration und Überwachung des Verschlüsselungsgerätes vor Ort.

Übersicht Verschlüsselungssystem ElcroDat 6-2

Übersicht Verschlüsselungssystem ElcroDat 6-2

Verschlüsselungsgerät ElcroDat 6-2 S

Das ElcroDat 6-2 S ist vorgesehen für den Anschluss am Euro-ISDN Basisanschluss mit S0 - Schnittstelle zur Netzseite hin und stellt auf der Endgeräteseite ebenfalls einen Euro-ISDN Basisanschluss mit S0 - Schnittstelle bereit. Das ElcroDat 6-2 S stellt neben der Management-Station die Grundkomponente im Verschlüsselungssystem ElcroDat 6-2 dar. Als Konfigurationsvariante findet es Verwendung als Frontend-Gerät für Management-, Service- und Logging-Station.

Folgende Leistungsmerkmale stellt das ElcroDat 6-2 S darüber hinaus zur Verfügung:

  • Freigabe der Kryptofunktionen durch Chipkarte und PIN,
  • wahlweise Unterstützung von Bus- (Punkt zu Mehrpunkt) oder
    Portkonfiguration (Punkt zu Punkt),
  • Anschluss von bis zu acht Euro-ISDN Endgeräten bei Busbetrieb,
  • Einsatz in ISDN-Festverbindungen möglich (Standleitungsbetrieb),
  • wahlweiser Aufbau von kryptierten oder unkryptierten Verbindungen,
  • unabhängige und gleichzeitige Ver- und Entschlüsselung der beiden B-Kanäle,
  • D-Kanal-Filter zur Überwachung des Signalisierungskanals im ISDN sowie das mögliche Sperren von ISDN Leistungsmerkmalen,
  • Protokollierung sicherheitsrelevanter Ereignisse.

Verschlüsselungsgerät ElcroDat 6-2 M

Das ElcroDat 6-2 M ist vorgesehen für den Anschluss am Euro-ISDN Primärmultiplexsanschluss mit S2M - Schnittstelle zur Netzseite hin und stellt auf der Endgeräteseite ebenfalls einen Euro-ISDN Primärmultiplexanschluss mit S2M - Schnittstelle bereit.

Folgende Leistungsmerkmale stellt das ElcroDat 6-2 M darüber hinaus zur Verfügung:

  • Freigabe der Kryptofunktionen durch Chipkarte und PIN,
  • Einsatz in ISDN-Festverbindungen möglich (Standleitungsbetrieb),
  • wahlweiser Aufbau von kryptierten oder unkryptierten Verbindungen,
  • unabhängige und gleichzeitige Ver- und Entschlüsselung der 30 B-Kanäle,
  • D-Kanal-Filter zur Überwachung des Signalisierungskanals im ISDN sowie das mögliche Sperren von ISDN Leistungsmerkmalen,
  • Protokollierung sicherheitsrelevanter Ereignisse.

Management-Station

Die Management-Station verwaltet die Verschlüsselungsgeräte ElcroDat 6-2 S und ElcroDat 6-2 M in unterschiedlichen Schlüsselgerätekreisen - Management-Bereiche – und erteilt die Berechtigungen zur Teilnahme am verschlüsselten Betrieb durch Ausgabe der Zertifikate an die Verschlüsselungsgeräte. Die Gültigkeitsdauer der Zertifikate ist begrenzt, kann jedoch auf Anforderung beliebig oft durch die Management-Station verlängert werden. In der Regel erfolgt dieser Vorgang über das ISDN kryptiert und automatisch und wird als Online Management bezeichnet.

Die Management-Station besteht aus einer Workstation mit Backup-System, bis zu drei Signaturgeräten und den Frontend-Geräten ElcroDat 6-2 S.

Service-Station

Betriebs- und D-Kanal-Filter-Parameter der ElcroDat 6-2 können durch die Service-Station gesichert abgerufen, editiert und an die Schlüsselgeräte zurück übertragen werden. Eine Administrierung der Geräte von zentraler Stelle aus, wird durch die Service-Station ermöglicht.

Die Service-Station besteht aus einer Workstation mit Backup-System und einem Front-End-Gerät ElcroDat 6-2 S.

Logging-Station

Die von den Verschlüsselungsgeräten aufgezeichneten sicherheitsrelevanten Ereignisse können durch die Logging-Station abgerufen und ausgewertet werden. Eine Überwachung der Geräte von zentraler Stelle aus, wird durch die Logging-Station ermöglicht.

Die Logging-Station besteht aus einer Workstation mit Backup-System und einem Front-End-Gerät ElcroDat 6-2 S.

Service- und Logging-PC

Die Funktionen von Service- und Logging-Station können alternativ mit dem Serivce-PC vor Ort am Gerät durch einen Standard-PC oder einen Notebook durchgeführt werden.

Krypto-Technologie

Die Krypto-Technologie der ElcroDat 6-2 S basiert auf einer Kombination aus symmetrischer und asymmetrischer Verschlüsselungsmethode.

Für die Signatur der Zertifikate und die Schlüsseleinigung zwischen den Verschlüsselungsgeräten wird ein asymmetrisches Kryptoverfahren verwendet. Dieses Verfahren bedient sich der mathematischen Struktur einer Elliptischen Kurve. Basis des Elliptic Curve Cryptosystems (ECC) ist ein diskrets Logarithmusverfahren. Dieses setzt wiederum auf Punktegruppen Elliptischer Kurven auf.

Für die symmetrische Nutzdatenverschlüsselung wird ein vom Bundesamt für Sicherheit in der Informationstechnik entwickeltes propritäres Verfahren verwendet.