Navigation und Service


SINA-Systembeschreibung

SINA-Systemkomponenten

SINA besteht momentan aus den wesentlichen Komponenten SINA-Client., SINA-Box und SINA-Management. Basis aller Komponenten ist das minimalisierte und gehärtete Betriebssystem SINA-LINUX. Alle Komponenten sind auf handelsüblicher PC-Hardware lauffähig, wobei SINA->Client und SINA-Box ohne[F1] Festplatten betrieben werden.

SINA-Box

In Abbildung 1 ist der Aufbau einer SINA-Box dargestellt.
Die SINA-Box stellt prinzipiell ein konventionelles, auf dem IPSec-Standard[1] basierendes IP-Krypto-Gateway dar.
Das speziell minimalisierte und bezüglich der Sicherheit analysierte und "gehärtete" Betriebssystem SINA-LINUX wird von einem nicht beschreibbaren Speichermedium (z. B CD-ROM oder spezieller Flashspeicher) gebootet. Die Integrität dieses Speichermediums wird im Zusammenwirken mit einer Smartcard durch ein spezielles Verfahren im Rahmen des Bootprozesses gesichert. Die Smartcard ist gleichzeitig u. a. Authentisierungstoken, physikalischer Rauschgenerator und wesentlicher Bestandteil für das Konfigurationsmanagement. Sie dient dem lokalen Zugangsschutz zu den SINA-Komponenten und der asymmetrischen Kryptoverarbeitung. Die SINA-Box unterstützt bis zu jeweils vier Netzwerkkarten auf der schwarzen (unsicheres Netz) bzw. roten (Sicherheitsbereich) Seite. Die in Abbildung 1 markierte logische SINA-Box, bestehend aus dem IPSec/IKE-Modul, einem generischen Kryptointerface, einem oder mehreren Kryptomodulen, sowie dem Management- und Intrusion-Detection- and- Response Agenten, ist Hauptbestandteil jeder SINA-Komponente.

Abbildung 1: Aufbau der SINA-BoxAbbildung 1: Aufbau SINA-Box

Das generische Kryptointerface erlaubt die einfache Integration verschiedenster (auch proprietärer) Kryptoalgorithmen in die SINA-Box. Dabei werden sowohl softwarebasierte (3DES, Chiasmus, AES) als auch hardwarebasierte (Libelle auf Kryptochip PLUTO) Algorithmen unterstützt.

Abhängig vom verwendeten Kryptoalgorithmus sind die verschiedenen Varianten der SINA-Box für unterschiedliche Verschlussgrade zugelassen:

  • SINA-Box S
    Das Kryptosystem SINA-Box S (Software-Version mit BSI-Kryptoalghorithmus Chiasmus) hat nach Abschluss der Evaluierung im August 2002 die BSI Zulassung für die Übertragung von VS bis zum Geheimhaltungsgrad VS-VERTRAULICH erhalten.
  • SINA-Box H
    Die Hardware-Variante der SINA-Box, die zur Verschlüsselung den auf einem PCI-Board integrierten Kryptochip PLUTO verwendet, ist für die Verarbeitung von Verschlusssachen bis STRENG GEHEIM zugelassen. Kontakt und weitere Informationen über zulassung@bsi.bund.de.

SINA-Client.

Der SINA-Client. wird als sogenannter Thin-Client betrieben und ermöglicht hoch sichere Remote-Access-Anwendungen in Verbindung mit Applikationsservern. Abbildung 2 zeigt den prinzipiellen Aufbau eines SINA-Client.

Abbildung 2: Aufbau SINA-ClientAbbildung 2: Aufbau SINA-Client

Der SINA-Client. verfügt in Ergänzung zur SINA-Box über eine Grafik-Karte und einen X-Server zur Darstellung von Terminal-Server-Sessions. Auch der Thin-Client besitzt keine Festplatte. Bei der Verarbeitung der Daten verlassen diese den Serverbereich nicht. Es werden lediglich Bildschirminhalte durch den IPSec Tunnel zum Client. übertragen (Abb. 3). Nach Abschalten des Geräts befinden sich keine Daten mehr auf dem Client.. Der SINA-Thin-Client ist für die Verarbeitung von Verschlusssachen bis STRENG GEHEIM zugelassen. Kontakt und weitere Informationen über zulassung@bsi.bund.de.

Abbildung 3: Zugriff über WAN mittels SINA-Thin-ClientAbbildung 3: Zugriff über WAN mittels SINA-Thin-Client

SINA-Management

Die Konfiguration und Parametrisierung der SINA-Komponenten erfolgt, je nach Ausbaustufe des Systems, über ein skalierbares Managementsystem, das sowohl online als auch offline betrieben werden kann.

Abbildung 4: Komponenten des SINA-ManagementsAbbildung 4: Komponenten des SINA-Managements

Das SINA Sicherheitsmanagement besteht aus den wesentlichen Komponenten Registration Authority (RA), Certification Authority (CA), Konfigurations/Access-Control-List Manager (Konfig./ACL-Manager), Log-Server und Verzeichnisdienst. Nach einer "Antragstellung" bei der RA gibt die CA Smartcards für die jeweiligen SINA-Komponenten aus, die zunächst im Wesentlichen kryptographische Identitätsinformationen zum Nutzer oder der SINA-Box enthalten. Diese Smartcards erhalten (später und ggf. an einem anderen Ort) mit Hilfe eines Konfigurationswerkzeuges erstellte initiale Konfigurationsdaten, mit denen die SINA-Komponenten nach dem Hochfahren in das vorgesehene Netz und die Managementumgebung integriert werden. Erst nach dem Hochfahren erhält die SINA-Komponente weitere Konfigurationsdaten durch Zugriff auf das LDAP-Verzeichnis. Dieses Verzeichnis wird durch das Konfigurationswerkzeug (Konfig./ACL-Manager), das auf einer PostgreSQL-Datenbank über ein JAVA-Frontend operiert, mit den notwendigen Einträgen versorgt. Die Verteilung der Konfigurationsdaten erfolgt durch gesicherten Abruf der Daten vom LDAP-Verzeichnis durch die SINA-Komponenten (Online-Management) oder über Verteilung geräteabhängig konfigurierter Smartcards (Offline-Management). Zur Minimierung von Restrisiken wird vollständig auf ein interaktives Management der SINA-Komponenten verzichtet. Alle sicherheitsrelevanten Einstellungen an diesen Komponenten erfolgen durch entsprechende Einträge im LDAP-Verzeichnis bzw. über die Einträge auf der Smart Card. Die SINA-Komponenten greifen eigenständig auf das LDAP- Verzeichnis zu, um sich aktuelle Konfigurations-daten abzuholen ("pull"-Prinzip). Bei bestimmten Ereignissen können die SINA-Komponenten zum Abholen der aktuellen Konfigurationsdaten veranlasst werden ( "push"-Prinzip).

Da die SINA-Komponenten – abgesehen von der Smartcard – über keinen eigenen wiederbeschreibbaren Festspeicher verfügen, werden Logging-Einträge an einen Server im geschützten Bereich übertragen. Die Logging-Einträge können dann durch ein geeignetes Audit-Werkzeug zentral ausgewertet bzw. in weitere SNMP-basierte Managementarchitekturen, die Syslog-Daten auswerten können (z. B. Tivoli), überführt werden. Die Rückkopplung zu den SINA-Komponenten erfolgt über das verzeichnisbasierte Konfigurationsmanagement.

Das SINA-Sicherheitsmanagement wird durch eine SINA-Box kryptographisch geschützt und stellt somit einen eigenen Sicherheitsbereich dar. Über den Verzeichnisdienst kann auch ein verteiltes und hierarchisch strukturiertes Sicherheitsmanagement aufgebaut werden, womit sehr flexible und skalierbare Systemlösungen möglich sind.

Kryptographische Aspekte

Die kryptotechnische Realisierung der Komponenten erfolgt in zwei Grundvarianten mit Software- und Hardware-basierter Kryptographie. Diese Varianten, nachfolgend mit Software- bzw. Hardware-Variante bezeichnet, tragen unterschiedlichen Sicherheitsanforderungen bezüglich des Einsatzumfeldes und der Einsatzmöglichkeiten im Bereich des Geheimschutzes Rechnung. Es werden verschiedene symmetrische (AES[2], 3DES[3], Chiasmus[F2] ) und asymmetrische (RSA[4] und ECDSA[5]) Kryptoalgorithmen unterstützt[F3] . Die SINA-Variante mit Hardware-basierter Kryptographie verwendet den BSI-Kryptoalgorithmus "Libelle", der in einem Kryptochip mit Namen "PLUTO" integriert ist. Der PLUTO-Chip wird auf einer PCI-Einschubkarte implementiert, die in den SINA-Komponenten zum Einsatz kommt (Projekt PEPP1). Die Schlüsselversorgung erfolgt automatisch mit Hilfe einer eigenen Public Key Infrastructure (PKI) und dem IKE[6] (Internet Key Exchange) Protokoll. Die IP-Paketverschlüsselung ist sowohl bei der Software- als auch bei der Hardware-Variante konform dem Internetstandard IPSec. Die Interoperabilität zu anderen IPSec basierten Geräten ist zunächst nur durch die verwendeten kryptographischen Mechanismen eingeschränkt. Zusätzlich können durch spezielle Erweiterungen geschlossene Benutzergruppen gebildet werden. Diese Erweiterungen sorgen gleichzeitig für eine weitere Erhöhung des Sicherheitsniveaus, indem potentielle Schwachstellen des IKE-Protokolls abgesichert werden. Der Zugangsschutz zu den SINA-Komponenten und die asymmetrische Kryptoverarbeitung erfolgen bei Software- und Hardwarevariante auf der Basis von Smartcards[F4] mit integriertem kryptographischen Co-Prozessor und physikalischem Rauschgenerator.

Bei SINA wurde eine streng modulare kryptographische Architektur gewählt. Durch eine generische kryptographische Kommandoschnittstelle (als Basis hierfür wurde der Internetstandard RFC2628 [7] gewählt und entsprechend erweitert) wird erreicht, dass kryptographische Kommandos und kryptographische Funktionen in getrennten Modulen abgewickelt werden. Hierdurch ist es einfach möglich, unterschiedliche Kryptomodule, in das System "einzuhängen". Dabei ist es einerlei, ob diese Funktionen auf einer separaten Kryptohardware oder durch ein Softwaremodul realisiert werden. Die Anpassung eines neuen Hardware-Kryptomoduls hat jeweils durch einen Treiber zu erfolgen, der die Umsetzung der Kommandos übernimmt. Es ist auch möglich, unterschiedliche oder mehrere Hardware- und Software-basierte Kryptomodule, abhängig von der jeweils ausgehandelten Sicherheitsbeziehung, einzusetzen (sog. "Multimodul-Support"). Letztere Eigenschaft ist besonders bei interoperablen Szenarien im Rahmen multinationaler Kooperationen wichtig. Als Hardware-basiertes Kryptomodul ist bisher für SINA das Kryptomodul PEPP1 in unterschiedlichen Varianten vorgesehen.

Performance und Skalierbarkeit

Die Softwarevariante erreicht z. B. mit dem AES-Kryptoalgorithmus (192 Bit Schlüssellänge) einen Daten-Durchsatz von ca. 50 MBit/s auf einem Pentium-III Prozessor mit 866 MHz. Mit 3DES und dem BSI Algorithmus Chiasmus werden ca. 30 MBit/s auf der gleichen Plattform erreicht. Der Durchsatz skaliert u. a. mit Leistung und Anzahl der Prozessoren. Mit einem Dual-Xeon System wurden z. B. inzwischen Durchsatzraten von über 150 MBit/s (AES) erreicht. Die Hardwarevariante mit dem BSI-Kryptochip "PLUTO" erreicht ca. 80 MBit/s. Durch Parallelschaltung von mehreren SINA-Boxen zu einem skalierbaren "Loadbalancing-SINA-Cluster" kann der Datendurchsatz durch Verteilung von Sicherheitsbeziehungen auf verschiedene Boxen in der Summe quasi beliebig gesteigert werden. Mit der Software-Variante kann auf diese Art auch eine dynamisch skalierbare sogenannte "virtuelle High-Speed-SINA-Box" realisiert werden, die zusätzlich umfangreiche Hochverfügbarkeitfunktionen bietet. Hierdurch wird es möglich, während des Betriebes SINA-Boxen hinzuzufügen bzw. auszutauschen (hot plugin). Mit dieser Lösung ist voraussichtlich ein Datendurchsatz von bis zu 400 MBit/s und darüber erreichbar, abhängig von der Verfügbarkeit hochleistungsfähiger PC-Plattformen. Abbildung 2 links zeigt den internen Aufbau eines Loadbalancing-SINA-Clusters mit der Software-Variante. Abbildung 2 rechts zeigt einen SINA-Cluster mit der Hardware-Variante. Hierbei entfällt jedoch das bei der Software-Variante vorhandene Cluster-interne Kommunikationsnetz (IKE-Broadcast-Netz) und damit die Fähigkeit zum hot plugin. In diesem Fall ist nur ein Loadbalancing-Cluster mit statisch konfigurierten und auf die SINA-Boxen verteilten Sicherheitsbeziehungen möglich. Die Hochverfügbarkeitseigenschaften entfallen jedoch.

Abbildung 5, Loadbalancing-SINA-Cluster, links in der Software, rechts in der Hardware-VarianteAbbildung 5, Loadbalancing-SINA-Cluster, links in der Software, rechts in der Hardware-Variante

SINA VPN-Struktur

Die SINA-Architektur ermöglicht eine durchgehende IPSec-basierte VPN-Struktur. Dabei können Subnetze (z. B LANs oder LAN Segmente) aber auch einzelne Hostrechner bzw. Workstations über vorgeschaltete SINA-Boxen durch IPSec kryptographisch geschützt miteinander kommunizieren. Durch das SINA-Sicherheitsmanagement lassen sich flexibel Sicherheitsdomänen innerhalb einer solchen VPN-Struktur gestalten. SINA sieht grundsätzlich keine Ende-zu-Ende-IP-Verschlüsselung zwischen SINA-(Thin)-Clients vor, sondern ausschließlich die Verschlüsselung zwischen SINA-Client. und SINA-Box oder zwischen SINA-Boxen untereinander. Sollen in speziellen Fällen Ende-zu-Ende Kommunikationsszenarien geschaffen werden, so müssen SINA-Boxen vor die betrachteten Workstations geschaltet werden. In diesem Fall muss der Schutz der lokal auf der Workstation gespeicherten Daten durch weitere Sicherheitskomponenten oder zusätzliche Maßnahmen im Einsatzumfeld erreicht werden. Diese zusätzlichen Maßnahmen werden erst mit der Realisierung der weiter unten beschriebenen SINA-Virtual-Workstation obsolet, da in diesem Fall die Funktionalität der SINA-Box direkt in die Workstation integriert wird und die lokalen Daten verschlüsselt gespeichert werden. Die SINA-VPN-Struktur ist in Abbildung 6 veranschaulicht.

Abbildung 6: SINA-VPN-StrukturAbbildung 6: SINA-VPN-Struktur

Thin-Client/Server Verarbeitung mit SINA

Die in der SINA-Architektur realisierte Thin-Client/Server Verarbeitung ist vor allem dann von Bedeutung, wenn nicht nur die Datenübertragung zu schützen ist, sondern auch die Datenspeicherung in gesicherter Weise erfolgen muss. Dabei wird unterschieden zwischen Bereichen mit moderaten Schutzanforderungen, in denen sich die Benutzerarbeitsplätze auf Basis von SINA-Thin-Clients befinden und Bereichen mit hohen Schutzanforderungen, in denen sich die Applikationsserver mit den unverschlüsselten ("roten") Daten befinden. Zwischen diesen Bereichen fungiert die SINA-Box als Sicherheitsgateway. Die für die Informationsverarbeitung und -speicherung erforderlichen hohen Schutzanforderungen können somit auf einen kleinen überschaubaren Bereich beschränkt werden[5]. Die Kommunikation zwischen SINA-Client und SINA-Box erfolgt über einen kryptographischen Tunnel (IPSec). Die Kommunikation zwischen der Thin-Client.-Komponente auf dem SINA-Client. und der zugehörigen Server-Komponente auf dem Applikationsserver erfolgt – abhängig von der zu Grunde liegenden Betriebssystemplattform des Applikationsservers – über die Protokolle ICA (Independent Computing Architecture), RDP (Remote Desktop Protocol) oder X-Windows(X11-Server Protokoll)[8]. Das genutzte Übertragungsnetz (LAN oder WAN) ist offen und kann von anderen (nicht oder wenig schutzbedürftigen und daher "offenen") Systemen ebenfalls verwendet werden.

An die IT-Sicherheitseigenschaften des Applikationsservers werden lediglich Grundschutzanforderungen gestellt. Das Prinzip der SINA-Thin-Client/Server-Verarbeitung ist in Abbildung 7 dargestellt.

Abbildung 7, Thin-Client-Server Verarbeitung mit SINAAbbildung 7, Thin-Client-Server Verarbeitung mit SINA

Durch die Thin-Client/Server Verarbeitung eröffnen sich im Applikationsserverbereich interessante Anwendungsmöglichkeiten. Spezielle sicherheitskritische Anwendungen (z. B. Komponenten für Signatur, Darstellung, Registratur etc.) können im hochsicheren Serverbereich auf eigenständigen, nur mit dieser Aufgabe betrauten, vertrauenswürdigen Rechnern abgewickelt werden. Benutzer an ihren SINA-Clients können bei Bedarf und besonderer Berechtigung auf diese Rechner zugreifen. Diese Berechtigung kann in einem speziellen Profil auf der SINA-Benutzer-Smartcard abgelegt und verwaltet werden. Die Zuteilung der Ressourcen, für die eine Berechtigung besteht, kann durch einen Profile- oder Login-Server abgewickelt werden. Auch ein Client.-Zugriff auf nicht vertrauenswürdige Rechner (z. B. im Internet) kann über eine abgesicherte Verbindung ermöglicht werden, während gleichzeitig eine Sicherheitsbeziehung in den geschützten Bereich besteht. Dieses Szenario ist in Abbildung 8 schematisch dargestellt.

Abbildung 8, "gleichzeitiger" Zugriff auf das InternetAbbildung 8, "gleichzeitiger" Zugriff auf das Internet

Durch eine geeignete Kombination der Rechner und eine durch einen "Secure Workflow" geregelte Zugriffsstruktur können z. B. sogenannte "Rot/Schwarz-Gateways", Registraturserver und Einwegfunktionen realisiert werden, die u. a. einen geregelten und überwachten Transfer von Daten aus einem Sicherheitsbereich heraus in einen ungeschützten Bereich und umgekehrt ermöglichen.

SINA-Virtual-Workstation

Die SINA-Virtual-Workstation nutzt die "Virtual Machine"-Technologie, um komplexe nicht evaluierbare Gastbetriebssysteme in einer oder mehreren virtuellen Umgebungen zu kapseln.

Hierdurch können schützenswerte Datenobjekte auch lokal verarbeitet werden, wenn keine oder keine ausreichende online Netzverbindung zum Applikationsserver besteht (z. B. bei geringen Bandbreiten und zeitweise nicht verfügbarem Netzanschluss bzw. Offline-Betrieb). Der bzw. die virtuellen Rechner mit den darauf befindlichen Anwendungen und den Benutzerdaten arbeiten unter dem analysierten und gehärteten SINA-LINUX. Die gesamten virtuellen Rechnersysteme befinden sich in jeweils einer verschlüsselten Datei innerhalb separater kryptographischer Dateisysteme auf einer Festplatte. Auf diese Weise können mehrere voneinander kryptographisch getrennte Bereiche auf dem System koexistieren, die über separate IPSec-Tunnel in Beziehung mit unterschiedlichen geschützten oder ungeschützten Bereichen stehen können. Die Ausgabe der Datenobjekte erfolgt z. B durch Synchronisation mit einem Dateiserver im geschützten Bereich über den jeweiligengesicherten IPSec-Tunnel. Hierdurch kann sichergestellt werden, dass relevante, zentral gesicherte und registrierte Datenobjekte nur im geschützten Bereich vorliegen. Eine andere Ausgabe der Datenobjekte kann bei Bedarf zuverlässig unterbunden werden. Das Prinzip der SINA-Virtual-Workstation ist in Abbildung 9 dargestellt.

Abbildung 9, SINA-Virtual-Workstation mit z. B. zwei virtuellen MaschinenAbbildung 9, SINA-Virtual-Workstation mit z. B. zwei virtuellen Maschinen

SINA One-Way-Gateway

SINA setzt einen abgeschotteten Sicherheitsbereich voraus, in dem die Daten gespeichert werden. In der Praxis ist es häufig notwendig, Daten aus unsicheren Bereichen (z. B. Internet) in einen Sicherheitsbereich zu transferieren, ohne dass vertrauliche Daten den Sicherheitsbereich verlassen dürfen. Hierzu wurde ein Gateway geschaffen, das einen unidirektionalen Datenfluss garantiert. Das Gateway besteht aus zwei SINA-Boxen und zwei Transfer-Proxies (siehe Abbildung 11).

Abbildung 11, prinzipieller Aufbau des SINA-One-Way-GatewaysAbbildung 11, prinzipieller Aufbau des SINA-One-Way-Gateways

Auf den SINA-Boxen befinden sich modifizierte Netzwerkkartentreiber, die jeweils nur den Datenfluss in Richtung des VS-Bereichs zulassen. Die beiden Boxen kommunizieren untereinander bidirektional. Die Proxy-Server erlauben einen verbindungslosen File-Transfer per FTP-Protokoll.

Quellenhinweise

[1] http://www.ietf.org/rfc/rfc2400.txt (rtf2400-rtf2410)
[2] http://csrc.nist.gov/encryption/aes/round2/aesfact.html
[3] http://csrc.nist.gov/cryptval/
[4] http://www.rsasecurity.com/
[5] http://csrc.nist.gov/cryptval/
[6] http://www.ietf.org/rfc/rfc2628.txt
[7] http://www.citrix.com/products/clients/ica/technology.asp
[8] http://www.microsoft.com/ntserver/ProductInfo/terminal/tsarchitecture.asp
[9] http://www.vmware.com/
[10] BSI Schutzklassenkonzept

Weitere relevante Quellen

http://www.opensource.org/
http://www.linux.org/
http://www.openssh.com/
http://www.openldap.org/
http://www.postgresql.com/
http://www.secunet.com/

Fußnoten im Dokument [F]

  1. Dies trifft für die weiter unten beschriebene SINA-Virtual-Workstation nicht zu.
  2. Vom BSI entwickelter symmetrischer Kryptoalgorithmus
  3. Die SINA-Versionen mit AES, 3DES und RSA werden eigenverantwortlich von der Firma secunet Security Networks AG weiterentwickelt und gepflegt und sind für den Einsatz außerhalb des Geheimschutzes vorgesehen. Im vorliegenden Artikel wird ausschließlich auf die Eigenschaften der SINA-Variante für den Einsatz im Bereich des Geheimschutzes eingegangen.
  4. Zum Einsatz kommen Siemens-Smartcards mit den Betriebssystemen CardOS und TCOS
  5. Die für die VS-Datenverarbeitung geltenden Vorschriften sind entsprechend zu beachten


© Bundesamt für Sicherheit in der Informationstechnik. All rights reserved