Architektur
Kryptografische Schlüssel sind der Grundstein für fast alle Sicherheitsanwendungen und Schutzmechanismen. Sie müssen unbedingt vor unbefugten Zugriffen bewahrt und mit äußerster Sorgfalt eingesetzt werden. Damit bleiben alle Infrastrukturen, Dienste und geschäftskritischen Anwendungen sicher. Das MTG KMS ermöglicht es verschiedenen Anwendungen in einem Unternehmen, auf ein zentrales System zuzugreifen, mit dem alle erforderlichen Krypto-Operationen durchgeführt werden können.
Die MTG KMS-Architektur ist Teil des Gesamtsystems MTG ERS ®.
Das bedeutet, dass das System bei Bedarf um weitere wichtige Sicherheitskomponenten erweitert werden kann. Dazu gehören der MTG Certificate Lifecycle Manager, MTG Certificate Authority und die entsprechenden Hardware Security Modules.
Die angestrebten Lösungen, die auf KMS basieren (z.B. BYOK, Code & Document Signing, Time Stamping, etc.), können über Standard-APIs (KMIP, PKCS#11, REST) optimal angesprochen und verwaltet werden. Das MTG KMS enthält ein spezielles Java SDK, das eine benutzerfreundliche Java-Schnittstelle für die einfache Client-Integration bietet. MTG-spezifische Dienste und Adapter sind für bestimmte Anwendungsfälle verfügbar, wie z. B. IoT, Secure Boot oder Smart Metering.
Features
MTG KMS verwaltet den kompletten Key Management Lifecycle
Sichere Schlüsselspeicherung
Eine zentrale Schlüsselspeicherung ist unerlässlich, um die Kontrolle über alle Schlüssel an einem gut geschützten Ort zu behalten. Das verhindert, dass diese unkontrollierten über das gesamte Unternehmen verteilt abgelegt werden.
- Support für mehrere Hardware-Sicherheitsmodule (HSM) On-Premise und in der Cloud:
- Utimaco
- Entrust (nShield)
- Thales (Luna)
- Unterstützung für den Import und Export von Schlüsseln in verschiedenen Formaten
- Sichere Schlüsselgenerierung für alle modernen kryptografischen Algorithmen
- Unterstützung für HSM-verschlüsselte Schlüssel, die für verbesserte Performance in Datenbanken gespeichert werden
- Unterstützung für Post-Quantum-Kryptographie
Sichere Schlüssel-Operationen
- Support für alle KMIP 2.x und PKCS11 Operationen
- Generische kryptografische REST-API, die sowohl einfache als auch erweiterte kryptografische Operationen ermöglicht
- Symmetrische und asymmetrische Verschlüsselung
- Digitale Signaturen
- Hashing
- Zufallszahlengenerierung
Key Lifecycle Management
- Support für Verfallsdaten der Schlüssel
- Unterscheidung nach mehreren Geschäftsbereichen möglich
- Sichere Archivierung und Vernichtung von Schlüsseln (Keys)
- Dezidierte kryptographische Policies für zugelassene Algorithmen und Parameter in den jeweiligen Anwendungsfällen
- Feingranulares Rollen- und Rechtesystem
Key Management
Interoperability Protocol
Das OASIS Standard Key Management Interoperability Protocol (KMIP) wurde als interoperables Protokoll entwickelt, das die Standardkommunikation zwischen Key Management Servern und Clients definiert.
KMIP legt alle Verwaltungsvorgänge für (z.B. digitale Zertifikate, private Schlüssel) fest, die von einem kryptografischen Key Management System gespeichert und verwaltet werden. Der KMIP-Standard beinhaltet Operationen für symmetrische und asymmetrische kryptografische Schlüssel, digitale Zertifikate und Vorlagen, die die Erstellung von Objekten vereinfachen und deren Verwendung steuern.
KMIP wurde bereits von führenden Unternehmen (z.B. Dell, HP, IBM, Oracle, SafeNet) implementiert und wird im Internet der Dinge (IoT) gezielt unterstützt. Die oberhalb der KMIP Schnittstelle angebundenen KMS-Services (Microservices) und Adapter von MTG vereinfachen die Anbindung der Anwendungen noch einmal erheblich.