IT-Sicherheit für kritische InfrastrukturenSecurity Made in Germany
Technologien

MTG-Key-Management-System (MTG-KMS)

ZENTRALES SCHLÜSSELLMANAGEMENT MITTELS KMIP STANDARDSCHNITTSTELLE

Hintergrund

Um den wachsenden Sicherheits- und Datenschutzanforderungen gerecht werden zu können, muss in Zukunft jedes intelligente „Messgerät“ einen oder sogar mehrere individuelle Schlüssel bekommen. Statt wenige Schlüssel für viele Geräte zu verwalten, muss jetzt eine große Anzahl individueller Schlüssel generiert, den einzelnen Geräten zugeordnet und verwaltet werden. Das stellt Zählerhersteller und deren Kunden vor neue Herausforderungen.

MTG KMS Lösung

MTG-KMS stellt bereits alle kryptografischen Funktionen aus dem KMIP Standard zur Verfügung MTG-KMS stellt bereits alle kryptografischen Funktionen aus dem KMIP Standard zur Verfügung © MTG

Der MTG KMS-Server ermöglicht unterschiedlichen Anwendungen in Produktion und Betrieb auf einen abgesetzten, zentralen Security-Baustein zuzugreifen, der alle erforderlichen Krypto-Operationen durchführen kann. Die MTG KMS-Plattform unterstützt mehrere unabhängige Mandanten. Das Rechtemanagement gewährleistet die korrekte Verteilung der Zugriffsrechte auf die jeweiligen Schlüssel.

Bereits heute wird der gesamte Lebenszyklus von Schlüsseln im MTG-KMS unterstützt und über die standardisierte KMIP-Schnittstelle nutzbar. Als KMS Nutzer ist man darüber hinaus auf zukünftige Entwicklungen vorbereitet.

Beispielsweise können, je nach veränderten Anforderungen an Performance und Ausfallsicherheit, flexibel HSMs unterschiedlicher Hersteller integriert werden. Eingesetzte Verschlüsselungs- und Kryptografie-Verfahren werden ständig weiterentwickelt und aktualisiert.  Selbst wenn z.B. Post-Quanten-Kryptographie  eines Tages erforderlich ist, muss lediglich ein einziges, zentrales System aktualisiert werden ohne dass sich auf der Anwendungsseite wesentliche Prozesse ändern.

MTG-KMS mit optionaler Kommunikation, PKI und HSM MTG-KMS mit optionaler Kommunikation, PKI und HSM (© MTG AG)

An das MTG-KMS können außerdem noch Hardware Security Module (HSM) zur sicheren Aufbewahrung der Verschlüsselungsschlüssel und/oder eine Public Key Infrastructure (PKI) zum Zertifikatsmanagement angeschlossen werden.
Optional kann auch die Kommunikation (TLS/DLMS) als weiterer Baustein angeboten werden.

KMIP – OASIS Key Management Interoperability Protocol

 

Mit dem Standard Key Management Interoperability Protokoll von OASIS (KMIP) wurde ein interoperables Protokoll geschaffen, das die Standardkommunikation zwischen Schlüsselmanagement-Servern und Clients festlegt. Das KMIP spezifiziert hierbei alle Verwaltungsoperationen für Objekte (z. B. digitale Zertifikate, private Schlüssel), die von einem Schlüsselmanagementsystem gespeichert und verwaltet werden. Der KMIP Standard umfasst hierbei Operationen für symmetrische und asymmetrische kryptografische Schlüssel, digitale Zertifikate und Vorlagen, die die Erstellung von Objekten vereinfachen und deren Verwendung steuern.

KMIP wird bereits von vielen großen Unternehmen (u.a. Dell, HP, IBM, Oracle, SafeNet) im Internet der Dinge angewendet und gezielt gefördert.  (OASIS KMIP Imlementation).

Elektronischer Lieferschein (FNN eLS 2.1 / OMS-XKE)

Für den elektronischen Lieferschein (eLS) bieten wir alle erforderlichen „Krypto-Funktionalitäten“ an. Die Anwendung für den elektronischen Lieferschein kann schnell und einfach angebunden werden, um alle Verschlüsselungsaufgaben zu erfüllen. Dabei setzen wir beim eLS auf gängige Standards wie OMS-XKE (OMS XML Key-Exchange der Open Metering System Group) und FNN eLS 2.1. Dank der Schlüsselübergabe über standardisierte Schnittstellen, ist es immer möglich, mit einem MTG-fremden KMS auf Seiten der Hersteller bzw. Energieversorger zusammen zu arbeiten.

HSM Anbindung

Kostengünstiges Mini-HSM: MTG smartHSM Kostengünstiges Mini-HSM: MTG smartHSM

Das smartHSM sorgt dafür, dass bei der Schlüsselgenerierung qualitativ hochwertiges Schlüsselmaterial erzeugt wird. Das KMS nutzt darüber hinaus das HSM, um das sensible Schlüsselmaterial von Zugriffen von außen zu schützen. Das hier eingesetzte HSM ist besonders sicher, weil es nach Common Criteria EAL 4+ zertifiziert wurde. Darüber hinaus werden die gesetzlichen Anforderungen BSI-CC-PP-0095-2017 (Schutzprofil Mini-HSM) , BSI TR-03109 und CP Smart Metering PKI erfüllt.

Performantes Utimaco Deutschland HSM CSe Serie.

MTG-KMS ist kompatibel mit HSM von UTIMACO und SafeNet Luna. Weitere HSM Hersteller können auf Anfrage angebunden werden.

Weiterer KMS-Branchen

Das MTG-KMS steht auch für weitere Branchen und Anwendungsfälle auf Anfrage zur Verfügung. Darunter fallen beispielsweise der Bank- und Finanzsektor, Automotive-, Healthcare- und Industrie 4.0 Anwendungen.

Downloads & Links