Sicherheitskonzept des Betriebssystems OpenBSD

 

Das SEPPmail Secure E-Mail Gateway hat das, an sich als gut gesichert bekannte Betriebssystem, zusätzlich im «Bottom-up» Verfahren gehärtet. Dabei wurden alle nicht notwendigen Libraries entfernt und nur unbedingt notwendigen Funktionen behalten.

Bei der Lösung handelt es sich um »echte” Firmware: Bei einem Update wird das Gesamtsystem aktualisiert. Damit ist dieses auch test- und reproduzierbar.

(siehe auch www.openbsd.org/papers/asiabsdcon2015-pie-slides.pdf)

 

 

Sicherheitskonzept Core Application

 

Bei der Appliance handelt sich um eine gekapselte Applikation. Alle Schnittstellen nach aussen sind möglichst einfach gehalten. Nur die absolut notwendigen Schnittstellen wurden implementiert. Die Firmware ist gepackt mit allen zugehörigen Applikationen unter 200 MB gross.

 

 

Sicherheitskonzept GINA-Webinterface

 

Das Webinterface wurde absichtlich sehr einfach gehalten und nur mit den absolut notwendigen, aber ausreichenden Funktionen versehen. Dabei wurden alle Board-Mittel für das Absichern des Web-Servers - etwa zur Abwehr von «Denial of Service» (DoS) Attacken - ausgeschöpft. Weiterhin werden zur Eingabe nur genau vordefinierte Datenfelder akzeptiert. Jedes Datenfeld wird beim Einliefern auf Gültigkeit geprüft. Somit ist ein Einschleusen schädlichen Codes unmöglich. Der gehärtete, gekapselte Web-Server läuft als unprivilegierter User.

 

 

Schutz der Daten

 

•CA-Schlüssel, Private Schlüssel, Session Schlüssel, GINA-Benutzer Schlüssel
 

oDie Hauptmaschinen sind so gekapselt in der DMZ platziert, dass keinerlei direkter Zugriff von aussen möglich ist.
 

oSollte der Wunsch/Forderung bestehen, dass die PKI-Daten ausschliesslich im Intranet abgelegt werden, kann die Lösung aufgetrennt werden. Dabei werden für den Web-Zugriff (GINA) eigene Maschinen (Satelliten) ohne eigene Datenhaltung in der Internet DMZ verwendet.
 

oIn der Regel macht das Sicherheitskonzept der Appliance in Kombination mit den vorhandenen Überwachungsmöglichkeiten (Samhain, Audit Log, SNMP etcetera) ein HSM unnötig. Sollte dennoch ein zusätzliches Sichern von privaten Schlüsseln gewünscht sein, ist das Anbinden einer HSM (zum Beispiel Safenet oder Thales) möglich.
 

oAuf Wunsch kann das System gemäss PCI-DSS (Payment Card Industry Data Security Standard) gehärtet werden. Dabei wird das gesamte System - Platten und Kernel - nochmals mittels AES XTS 256 verschlüsselt.
(siehe auch www.openbsd.org/papers/eurobsdcon2015-softraid-boot.pdf)
 

•Pin/Passwörter
 

oPasswörter dienen dem Zugriff eines externen Empfängers auf seine GINA-E-Mail beziehungsweise nachgelagert dem AES256 Schlüssel auf der Appliance zum Entschlüsseln seiner E-Mail. Letzterer verlässt das gut geschützte SEPPmail Secure E-Mail Gateway niemals.

 

 

Zertifizierungen

 
Die Appliance kann auch für den Betrieb in PCI-DSS (Payment Card Industry Data Security Standard) - konformen Umgebungen konfiguriert werden. Entsprechende Installationen sind bei einigen Kunden bereits erfolgreich im Einsatz. Im Oktober 2014 wurde das System zum ersten Mal mit positivem Abschluss geprüft.

 

Aus Herstellersicht ist derzeit aus unterschiedlichen Gründen fraglich, ob und welche «standardisierten» Zertifizierungen sinnvoll sind. Der Markt der «Sicherheitszertifizierer» wächst schnell und ist unübersichtlich. Einige ausländische Unternehmen verlangen zudem Einblicke in den Sourcecode. Dies können wir aus sicherheitsrelevanten Gründen nicht zulassen.

 

 

Aktuelle Sicherheitslücken oder Exploits

 

SEPPmail reagiert - falls betroffen - auf bekanntwerdende Sicherheitslücken oder Exploits innerhalb kürzester Zeit mit einem Sicherheitsupdate. Dieses wird allen Kunden über den normalen Update-Mechanismus bereit gestellt.

Aufgrund der eingesetzten Komponenten und deren Härtung, ist das SEPPmail Secure E-Mail Gateway jedoch von vielen Sicherheitslücken erst gar nicht betroffen. So stellten beispielsweise «Heartbleed» oder «Poodle» keine Gefahr für die Lösung dar.