In diesem Projekt haben wir ein konfigurierbares Software-Verschlüsselungsmodul entwickelt. Dieses Modul wurde zur Verschlüsselung von Daten auf einem mobilen Gerät über ein bandbreitenbeschränktes Medium verwendet, sodass Effizienz in Bezug auf das Datenformat und den Stromverbrauch entscheidende Anforderungen waren. Wir haben eine Softwarekomponente implementiert, die die Segmentierung in gesicherte und öffentliche Bereiche sowie den Schutz von Daten im öffentlichen Bereich ermöglichte.

Die Lösung verwendete eine zertifizierte kryptografische Bibliothek für die Implementierung der Verschlüsselungsalgorithmen auf niedriger Ebene sowie eine Smartcard mit PIN zur Schlüsselgenerierung und -verwaltung. Zudem erstellten wir die erforderliche Dokumentation für eine erfolgreiche Zertifizierung, die mit Common Criteria EAL4 vergleichbar war.

Dieses Projekt befasste sich mit der Definition von Kommunikationsprotokollen für Fahrzeugdienste im Kontext der Car-to-Infrastructure-Kommunikation.

Um das Vertrauen der Kunden in diese vernetzten Dienste zu gewinnen und regulatorische Anforderungen zu erfüllen, spielen vertrauliche und authentifizierte Dienstnutzung sowie Datenschutz eine essenzielle Rolle. Die Authentifizierung und Autorisierung wurden mithilfe der OAuth2- und OIDC-Protokolle entworfen.

Gemeinsam mit dem Kunden entwickelten wir ein sicheres, mehrbenutzerfähiges vernetztes System, das aus Serverkomponenten und Client-Knoten besteht. Ein öffentlich verfügbares Betriebssystem wurde gehärtet und weiter modifiziert, um Smartcards für die Sicherheit einzusetzen.

Kryptografie wurde sowohl für den Schutz von ruhenden Daten als auch für Kommunikationssicherheit verwendet. Firewalls dienten der Netzwerksegmentierung. Die Vertrauensbasis wurde durch eine PKI geschaffen, wobei Schlüssel durch ein Hardware Security Module (HSM) gesichert wurden. Zusätzlich konnten dynamische Sicherheitsrichtlinien für die Client-Knoten konfiguriert werden.

Für ein eingebettetes Gerät in einer KRITIS-Umgebung sicherten wir eine bestehende Linux-Sicherheitsarchitektur ab.

Nur wenige Teile wurden geändert und eine SELinux-Richtlinie wurde erstellt, um verschiedene Bereiche des Betriebssystems zu isolieren. 

Ein Mitarbeiter des Kunden wurde geschult, um die Instandhaltung und Anpassung der SELinux-Richtlinie intern durchführen zu können. 

Wir unterstützten zudem die Dokumentation für eine Zertifizierung gemäß Common Criteria EAL4.

Für ein staatliches Unternehmen berieten wir zu organisatorischen Prozessen für den Einsatz von PKI-Diensten zur vertrauenswürdigen Authentifizierung und Verschlüsselung.

Darüber hinaus wurden die Infrastruktur und ihre Prozesse auf ein Sicherheitsniveau aktualisiert, das den Sicherheitsstandards nach 2022 entspricht, um für behördliche Kommunikation nutzbar zu sein.

Wir evaluierten die Anforderungen an Verschlüsselungs- und Signaturalgorithmen, die Fähigkeiten von HSMs sowie Richtlinien und Prozesse der Zertifizierungsstelle (Certificate Authority).

Wir entwickelten eine Software zur vollständigen Festplatten-verschlüsselung zum Schutz ruhender Daten.

Ursprünglich für Windows und Linux entwickelt, ist diese Software heute der führende Standard in ihrer Kategorie. Die Entsperrung der verschlüsselten Festplatte erfolgt über eine Smartcard. Regelmäßige Updates wurden durchgeführt, um den steigenden Sicherheitsanforderungen gerecht zu werden.

Eine PKI ermöglichte die Nutzung durch mehrere Benutzer. Die Software wurde für das deutsche Sicherheitsniveau „VS – Nur für den Dienstgebrauch“ (vergleichbar mit NATO RESTRICTED) zertifiziert.