TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
TR 03126-4 - Bundesamt für Sicherheit in der Informationstechnik ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>TR</strong> <strong>03126</strong>-4: E<strong>in</strong>satzgebiet „Handelslogistik“<br />
MK1<br />
MK2<br />
Allgeme<strong>in</strong><br />
1<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
Sichere Erzeugung und E<strong>in</strong>br<strong>in</strong>gung von<br />
Schlüsseln<br />
114 <strong>Bundesamt</strong> <strong>für</strong> <strong>Sicherheit</strong> <strong>in</strong> <strong>der</strong> <strong>Informationstechnik</strong><br />
GK1<br />
Trägermedien und dort gespeicherten Informationen (Spezifikation, Implementierung,<br />
Prüfung und Bereitstellung <strong>der</strong> spezifischen Algorithmen)<br />
• E<strong>in</strong>br<strong>in</strong>gen <strong>der</strong> Schlüssel <strong>in</strong> spezifische SAM<br />
• SAM basieren auf sicherer Chip-HW nach CC EAL5+<br />
• SAM können nicht ausgelesen werden<br />
• Zur Aktivierung des SAM ist e<strong>in</strong>e Authentifizierung erfor<strong>der</strong>lich<br />
Sämtliche Anfor<strong>der</strong>ungen s<strong>in</strong>d zu evaluieren und nach CC, EAL4 Mechanismenstärke<br />
hoch o<strong>der</strong> e<strong>in</strong>em vergleichbaren Verfahren zu zertifizieren.<br />
Tabelle 8–50 Schutz durch sichere Erzeugung und E<strong>in</strong>br<strong>in</strong>gung von Schlüsseln<br />
Kurzbezeichnung <strong>der</strong> Maßnahmen Adressierte Gefährdungen<br />
E<strong>in</strong>führung e<strong>in</strong>es Schlüsselmanagement <strong>für</strong><br />
symmetrische und asymmetrische Schlüssel<br />
mit ausreichen<strong>der</strong> Schlüssellänge<br />
Alle GK<br />
E<strong>in</strong> Schlüsselmanagement ist bestimmt durch folgende Parameter:<br />
• Schlüssellänge<br />
• Verwendeter Algorithmus<br />
• Schlüsselspeicherung (siehe auch MK7)<br />
• Erzeugung von Schlüsseln (siehe MK1)<br />
• Schlüsselverteilung<br />
• Identifizierung von Schlüsseln<br />
• Technische und organisatorische Verzahnung <strong>der</strong> Maßnahmen<br />
Schlüsselmanagementkonzept und Umsetzung:<br />
• Schlüssel werden über IDs e<strong>in</strong>deutig identifiziert<br />
• Der Zweck des Schlüssels sowie dessen zugehörige Entität wird e<strong>in</strong>deutig<br />
identifiziert.<br />
• Algorithmen zur Erzeugung von Schlüsseln s<strong>in</strong>d entsprechend [ALGK_BSI]<br />
zu wählen.<br />
• Statische Schlüssel können generell nur <strong>in</strong> abgegrenzten, überschaubaren<br />
Bereichen verwendet werden, wo e<strong>in</strong> Schlüsseltausch <strong>der</strong> Hauptkomponenten<br />
e<strong>in</strong>fach möglich und die Anzahl an nach dem Tausch nicht mehr verwendbaren<br />
Transpon<strong>der</strong> ger<strong>in</strong>g ist.<br />
Die Empfehlung ist daher, <strong>der</strong> E<strong>in</strong>satz abgeleiteter Schlüssel unter Verwendung<br />
von e<strong>in</strong>deutigen Identifikationsnummern (z. B. UID und e<strong>in</strong>em Masterkey).<br />
Dies erzeugt komponenten<strong>in</strong>dividuelle Schlüssel.<br />
• Die e<strong>in</strong>gesetzte Schlüssellänge wird <strong>für</strong> die jeweiligen Funktionen <strong>in</strong>dividuell<br />
bestimmt und spezifiziert. Grundsätzlich soll [ALGK_BSI] angewendet werden.<br />
• Schlüssel sollten <strong>in</strong> Lesegeräten generell <strong>in</strong> gekapselten <strong>Sicherheit</strong>smodulen<br />
(SAM) gespeichert werden. Dies gilt <strong>in</strong>sbeson<strong>der</strong>e <strong>für</strong> offl<strong>in</strong>e-fähige<br />
Term<strong>in</strong>als. Auch <strong>für</strong> die H<strong>in</strong>tergrundsysteme empfiehlt sich e<strong>in</strong>e Speicherung<br />
<strong>in</strong> <strong>Sicherheit</strong>smodulen wie z.B SAMs.