Sicherheitskonzept des Betriebssystems OpenBSD
Das SEPPmail Secure E-Mail Gateway hat das, an sich als gut gesichert bekannte Betriebssystem, zusätzlich im «Bottom-up» Verfahren gehärtet. Dabei wurden alle nicht notwendigen Libraries entfernt und nur unbedingt notwendigen Funktionen behalten.
Bei der Lösung handelt es sich um »echte” Firmware: Bei einem Update wird das Gesamtsystem aktualisiert. Damit ist dieses auch test- und reproduzierbar.
(siehe auch www.openbsd.org/papers/asiabsdcon2015-pie-slides.pdf)
Sicherheitskonzept Core Application
Bei der Appliance handelt sich um eine gekapselte Applikation. Alle Schnittstellen nach aussen sind möglichst einfach gehalten. Nur die absolut notwendigen Schnittstellen wurden implementiert. Die Firmware ist gepackt mit allen zugehörigen Applikationen unter 200 MB gross.
Sicherheitskonzept GINA-Webinterface
Das Webinterface wurde absichtlich sehr einfach gehalten und nur mit den absolut notwendigen, aber ausreichenden Funktionen versehen. Dabei wurden alle Board-Mittel für das Absichern des Web-Servers - etwa zur Abwehr von «Denial of Service» (DoS) Attacken - ausgeschöpft. Weiterhin werden zur Eingabe nur genau vordefinierte Datenfelder akzeptiert. Jedes Datenfeld wird beim Einliefern auf Gültigkeit geprüft. Somit ist ein Einschleusen schädlichen Codes unmöglich. Der gehärtete, gekapselte Web-Server läuft als unprivilegierter User.
Schutz der Daten
•CA-Schlüssel, Private Schlüssel, Session Schlüssel, GINA-Benutzer Schlüssel
oDie Hauptmaschinen sind so gekapselt in der DMZ platziert, dass keinerlei direkter Zugriff von aussen möglich ist.
oSollte der Wunsch/Forderung bestehen, dass die PKI-Daten ausschliesslich im Intranet abgelegt werden, kann die Lösung aufgetrennt werden. Dabei werden für den Web-Zugriff (GINA) eigene Maschinen (Satelliten) ohne eigene Datenhaltung in der Internet DMZ verwendet.
oIn der Regel macht das Sicherheitskonzept der Appliance in Kombination mit den vorhandenen Überwachungsmöglichkeiten (Samhain, Audit Log, SNMP etcetera) ein HSM unnötig. Sollte dennoch ein zusätzliches Sichern von privaten Schlüsseln gewünscht sein, ist das Anbinden einer HSM (zum Beispiel Safenet oder Thales) möglich.
oAuf Wunsch kann das System gemäss PCI-DSS (Payment Card Industry Data Security Standard) gehärtet werden. Dabei wird das gesamte System - Platten und Kernel - nochmals mittels AES XTS 256 verschlüsselt.
(siehe auch www.openbsd.org/papers/eurobsdcon2015-softraid-boot.pdf)
•Pin/Passwörter
oPasswörter dienen dem Zugriff eines externen Empfängers auf seine GINA-E-Mail beziehungsweise nachgelagert dem AES256 Schlüssel auf der Appliance zum Entschlüsseln seiner E-Mail. Letzterer verlässt das gut geschützte SEPPmail Secure E-Mail Gateway niemals.
Zertifizierungen
Die Appliance kann auch für den Betrieb in PCI-DSS (Payment Card Industry Data Security Standard) - konformen Umgebungen konfiguriert werden. Zum Beispiel hat die Lufthansa Systems ein PCI-DSS – konformes Gesamtsystem mit einem SEPPmail Secure E-Mail Gateway als Kernsystem aufgebaut. Im Oktober 2014 wurde das System zum ersten Mal und seither jährlich mit positivem Abschluss geprüft.
Aus Herstellersicht ist derzeit aus unterschiedlichen Gründen fraglich, ob und welche «standardisierten» Zertifizierungen sinnvoll sind. Der Markt der «Sicherheitszertifizierer» wächst schnell und ist unübersichtlich. Einige ausländische Unternehmen verlangen zudem Einblicke in den Sourcecode. Dies können wir aus sicherheitsrelevanten Gründen nicht zulassen.
Die von der Lufthansa Systems durchgeführte Prüfung auf PCI-DSS-Compliancy ist unseres Erachtens deutlich strenger und daher höher zu bewerten, da diese neben einem normalen PenTest sehr harte Vorgaben bezüglich Zugangsrechte und Protokoll der Administrationstätigkeit verlangt und prüft.
Aktuelle Sicherheitslücken oder Exploits
SEPPmail reagiert - falls betroffen - auf bekanntwerdende Sicherheitslücken oder Exploits innerhalb kürzester Zeit mit einem Sicherheitsupdate. Dieses wird allen Kunden über den normalen Update-Mechanismus bereit gestellt.
Aufgrund der eingesetzten Komponenten und deren Härtung, ist das SEPPmail Secure E-Mail Gateway jedoch von vielen Sicherheitslücken erst gar nicht betroffen. So stellten beispielsweise «Heartbleed» oder «Poodle» keine Gefahr für die Lösung dar.
