Zum Inhalt

Webinar: Melden Sie sich jetzt für unser kommendes Webinar an!

Jetzt registrieren

  1. Blogs
    2. Fallstudie

Wie Encryption Consulting die SPDM-Anforderung eines Fortune 100-Unternehmens mit PKI-basierter Authentifizierung löste

Geschrieben vonAditi Goel 08 Minuten
PKI-Implementierung
Inhaltsverzeichnis

Unternehmen

Wir haben vor kurzem eine der umfassendsten und technisch aufwendigsten Public-Key-Infrastruktur (PKI) Implementierungen für eine globale Fortune-100 Hardware-IoT-Unternehmen. Das Unternehmen ist seit über 25 Jahren branchenführend und gilt als Pionier in den Bereichen Hardware-Innovation, Fertigung und sicheres Gerätemanagement. Das Produktportfolio umfasst eine breite Palette modernster Technologien, darunter ocSSD (On-Chip-Solid-State-Laufwerke), Hochleistungs RAM-Module, CoRIM (Concise Reference Integrity Manifest)-Lösungen und SBOM (Software Bill of Materials)-Integration für erweiterte Produktrückverfolgbarkeit und -konformität.

Im Laufe der Jahre hat sich das Unternehmen zu einem vertrauenswürdigen Namen im Hardwarebereich entwickelt und ist für seine Zuverlässigkeit, Innovation und Qualität bekannt. Und wie Sie sich vorstellen können, erfordert ein so guter Ruf auch ein leistungsstarkes, sicheres und zukunftsfähiges PKI-Setup.

Das Unternehmen wandte sich an uns, weil es eine maßgeschneiderte, lokale PKI-Implementierung suchte, die nicht einfach von der Stange war, sondern sorgfältig auf die individuellen technischen Anforderungen des Unternehmens zugeschnitten war. Dazu gehörte beispielsweise die Einhaltung der SPDM-Spezifikationen der DMTF (Distributed Management Task Force), die Protokolle und Datenmodelle für die sichere Kommunikation und Bestätigung zwischen Hardware- und Softwarekomponenten für die Geräteverwaltung definieren und die kurz- und langfristigen Ziele des Unternehmens unterstützen.

Voraussetzungen:

  1. Niemals ablaufende Zertifikate:
    Das von der Organisation benötigte Gerät Zertifikate ohne Ablaufdatum, da sie dauerhaft in Hardwarekomponenten eingebettet sind. Die Zertifikate wurden mit einer Gültigkeitsdauer bis zum 31.12.9999 konzipiert, um der langen Betriebslebensdauer der Geräte gerecht zu werden. Um die Konformität zu gewährleisten, haben wir die Implementierung an die Standards OCP, DICE X.509 und IEEE 802.1AR für Geräte mit unbegrenzter Lebensdauer angepasst.
  2. Post-Quanten-Bereitschaft:
    Mit der NIST Der Übergang zur Post-Quantum-Kryptographie (PQC) wird um 2030 erwartet. Die Organisation forderte ihre PKI-Infrastruktur zukunftssicher sein. Von Anfang an wollten sie ein System, das Post-Quantum-Algorithmen unterstützt und so langfristige kryptografische Stabilität gewährleistet. Da PQC noch ein aufstrebender Bereich ist, wollten sie zudem anbieterneutral bleiben und sich die Flexibilität bewahren, neue Standards und Algorithmen zu übernehmen, sobald diese sich weiterentwickeln.
  3. Notfallwiederherstellung und Resilienz:
    Angesichts der kritischen Natur von Gerätezertifikaten wurde die PKI von Anfang an mit integrierten Disaster-Recovery-Funktionen ausgestattet. Die Architektur umfasst sowohl Hot- als auch Cold-Standby-Umgebungen, um Kontinuität, Ausfallsicherheit und minimale Ausfallzeiten bei Systemausfällen zu gewährleisten.
  4. Richtlinien zur Zertifikatsausstellung:
    Die Organisation hatte sehr spezifische und einzigartige Anforderungen an die Ausstellung und Verwaltung von Zertifikaten. Dazu gehörten:
    • Begrenzung der Anzahl der Zertifikate, die ein einzelner Betreiber unterzeichnen kann.
    • Durchsetzen von Pfadlängenbeschränkungen, sodass Zertifizierungsstellen (CAs) keine anderen CAs signieren können und somit jegliche Möglichkeit einer Kreuzzertifizierung verhindert wird.
    • Verwenden Sie benutzerdefinierte SAN-Formate (Subject Alternative Name) und steuern Sie variable Felddaten.
    • Definieren von Zertifikatsprofilen, in denen genau angegeben ist, welche Arten von Zertifikaten für verschiedene Gerätetypen oder Anwendungsfälle ausgestellt werden können.
    • Zertifikatsrichtlinien müssen in den Dokumenten „Zertifikatsrichtlinie“ und „Zertifikatspraxiserklärung“ dokumentiert und rechtlich überprüft werden.
  5. Private Schlüsselsicherheit mit HSM-Integration:
    Die Organisation erkannte die Bedeutung der Sicherheit privater Schlüssel und beauftragte Hardware-Sicherheitsmodul (HSM) Integration auf allen Ebenen der PKI. Alle Stamm- und untergeordneten CAs sowie Signaturschlüssel mussten in HSMs gesichert werden. Die HSMs mussten FIPS 140-3-konform sein. Das Unternehmen benötigte eine HSM-Architektur, die gemeinsam genutzte, hochverfügbare Konfigurationen unterstützte, ohne für jede CA oder jeden Schlüssel ein separates HSM bereitstellen zu müssen.
  6. Skalierbarkeitsanforderungen:
    Skalierbarkeit war für das Unternehmen ein wichtiges Thema. Da Zertifikate bereits während der Geräteherstellung eingebettet werden, musste das PKI-System einen hohen Durchsatz bewältigen und in Spitzenproduktionszeiten mindestens 70 Geräte pro Minute unterstützen. Im Laufe eines Jahres musste das System rund 50,000 Geräte verarbeiten und dabei Leistung und Zuverlässigkeit aufrechterhalten.
  7. Aggressiver Zeitplan:
    Eine der größten Herausforderungen war der Zeitaufwand. Das Unternehmen wollte die anfängliche PKI-Einrichtung und Produktionsbereitschaft bis Ende des dritten Quartals abschließen, obwohl das Projekt erst Anfang des zweiten Quartals startete. Da nur wenig Zeit für Entwicklung, Tests und Validierung zur Verfügung stand, war der Zeitplan extrem eng, was eine sorgfältige Planung und Priorisierung unerlässlich machte.

Lösung

Bevor wir mit der PKI-Implementierung begannen, untersuchten wir das Ökosystem des Unternehmens, die Fertigungsprozesse, die Skalierbarkeitsziele und die Integration von Sicherheit in alle Phasen des Produktlebenszyklus. Anschließend entwickelten wir eine PKI, die mit dem Unternehmen wachsen, Millionen von Geräteauthentifizierungen unterstützen und alle Identitäten der gesamten Produktpalette schützen konnte.

Unser Engagement begann mit einer gründlichen Architekturanalyse der bestehenden Infrastruktur, der Produktionsabläufe und der langfristigen Skalierbarkeitsziele. In gemeinsamen Workshops mit den wichtigsten Stakeholdern des Kunden entwickelten wir ein umfassendes PKI-Design, das die Geräteauthentifizierung für alle Zertifikate verbessert, die Ausstellung von Zertifikaten in großem Maßstab während Produktionszyklen mit hohem Volumen unterstützt und Post-Quanten-Bereitschaft für zukünftige kryptografische Ausfallsicherheit.

  1. Um den Bedarf an Zertifikaten mit lebenslanger Gültigkeit zu decken, haben wir eine benutzerdefinierte PKI-Architektur entwickelt, die unbefristete Gerätezertifikate mit Gültigkeit bis 12/31/9999Wir haben sichergestellt, dass das Design weiterhin allen relevanten Industriestandards entspricht, einschließlich OCP, DICE und IEEE 802.1AR, indem spezielle Zertifikatvorlagen und Validierungsworkflows erstellt wurden. Dadurch konnte das Unternehmen Zertifikate sicher in seine Hardwaregeräte einbetten, da es wusste, dass diese über den gesamten Lebenszyklus des Geräts gültig blieben.
  2. Um sowohl moderne als auch ältere Systeme zu unterstützen, haben wir Zertifikate mit einem hybriden kryptografischen Ansatz ausgestellt, der ML-DSA 87, ein quantensicherer digitaler Signaturalgorithmus mit dem klassischen RSA Algorithmus. Dieses duale Setup stellt sicher, dass Geräte mit veralteter Infrastruktur weiterhin reibungslos funktionieren, während neuere Hardware von den Vorteilen der Post-Quanten-Sicherheit profitiert. Durch die parallele Implementierung beider Algorithmen kann das Unternehmen die Abwärtskompatibilität heute aufrechterhalten und sein Ökosystem für die nächste Generation kryptografischer Standards zukunftssicher machen.
  3. Um eine kontinuierliche Verfügbarkeit zu gewährleisten, haben wir ein redundantes PKI-Setup mit Hot- und Cold-Disaster-Recovery-Sites implementiert. Automatisierte Backups, Replikationen und Failover-Mechanismen sorgen dafür, dass der PKI-Dienst auch bei einem Site-Ausfall unterbrechungsfrei weiterläuft. Dieses Setup gibt dem Unternehmen die Gewissheit, dass der Geräteauthentifizierungsprozess unter allen Umständen reibungslos weiterläuft.
  4. Um die Governance-Anforderungen zu erfüllen, haben wir detaillierte Ausgaberichtlinien direkt in der PKI erstellt. Dazu gehörten die Durchsetzung von Kontrollen auf Betreiberebene, um die Anzahl der Zertifikate zu begrenzen, die jeder Betreiber ausstellen kann, und die Festlegung von Pfadlängenbeschränkungen, um keine um eine gegenseitige Zertifizierung zu verhindern und benutzerdefinierte SAN-Formate und Zertifikatsprofile die kontrollieren, was ausgestellt werden kann und unter welchen Bedingungen. Diese Maßnahmen brachten ein neues Maß an Präzision und Kontrolle in ihren Zertifikatsverwaltungsprozess.
  5. Wir haben eine herstellerneutrale HSM-Lösung entwickelt, die sich nahtlos in die PKI-Umgebung des Unternehmens integriert und so Flexibilität und langfristige Kompatibilität gewährleistet. Jedes eingesetzte HSM ist FIPS 140-3 zertifiziert und für hohe Verfügbarkeit konfiguriert, sodass es im gesamten System keine einzelnen Ausfallpunkte gibt. Um die Schlüsselsicherheit zu erhöhen, haben wir eine Quorum-basierte Zugriffskontrolle Modell, d. h., keine Einzelperson kann unabhängig auf die privaten Schlüssel zugreifen oder diese verwenden. Die Konfiguration folgt der Schlüsselverwahrerrichtlinie, die für jeden sensiblen kryptografischen Vorgang die Anwesenheit von mindestens drei autorisierten Verwahrern erfordert. Dies gewährleistet die Aufgabentrennung und die Einhaltung bewährter Branchenpraktiken.
  6. Um den hohen Produktionsdurchsatz des Unternehmens zu unterstützen, haben wir die PKI für die schnelle Zertifikatsausstellung optimiert. Das System kann nun Zertifikate ausstellen und einbetten für Über 70 Geräte pro Minute Bei gleichzeitiger Beibehaltung geringer Latenz und absoluter Zuverlässigkeit. Die integrierte Skalierbarkeit gewährleistet die problemlose Verarbeitung von Zehntausenden von Geräten pro Jahr und bietet Raum für Erweiterungen bei steigender Produktion.
  7. Trotz eines straffen Zeitplans gelang es uns, die gesamte PKI-Einrichtung, die Tests und die Produktionsbereitstellung bis Ende des dritten Quartals abzuschließen. Unser Ansatz umfasste parallele Arbeitsabläufe, eine enge Zusammenarbeit mit den wichtigsten Stakeholdern des Kunden und kontinuierliche Tests in jeder Phase, um den Zeitplan einzuhalten. Das Projekt ging pünktlich, vollständig validiert, dokumentiert und produktionsbereit in Betrieb.

Das Ergebnis war eine sichere, skalierbare und zukunftssichere PKI-Architektur, die speziell für die nahtlose Integration in die Hardware-Herstellungsprozesse des Kunden entwickelt wurde und eine vertrauenswürdige Geräteidentität, sichere Bereitstellung und kryptografische Absicherung in jeder Phase der Produktion und des Betriebs ermöglicht.

Enterprise-PKI-Dienste

Erhalten Sie umfassende End-to-End-Beratungsunterstützung für alle Ihre PKI-Anforderungen!

Mehr erfahren

Auswirkungen

Die neue PKI-Implementierung hatte einen transformativen Einfluss auf die gesamte Hardware-Produktion und das Sicherheits-Ökosystem des Unternehmens. Was als technisches Upgrade begann, entwickelte sich zu einem strategischen Wegbereiter, der nun sichere Geräteidentität, Authentifizierung und Vertrauen auf Millionen von Geräten weltweit ermöglicht.

Durch die Skalierbarkeit kann das Unternehmen seine Produktionskapazität erweitern, ohne seine Sicherheitsinfrastruktur neu zu strukturieren, wodurch sowohl Zeit als auch Ressourcen gespart werden.

Durch die Implementierung einer vollständig internen PKI erlangte das Unternehmen die vollständige Kontrolle und Kontrolle über den Lebenszyklus seiner Zertifikate – von der Erstellung und Ausstellung bis hin zur Verwaltung und Sperrung. Dadurch wurde die Abhängigkeit von externen Zertifizierungsstellen (CAs) und Drittanbieterdiensten effektiv eliminiert und sowohl das Betriebsrisiko als auch die langfristigen Kosten reduziert.

Da alles intern verwaltet wird, kann das Unternehmen nun sofort Zertifikate ausstellen, benutzerdefinierte Sicherheitsrichtlinien durchsetzen und Konfigurationsänderungen vornehmen, ohne auf Antworten externer Anbieter warten zu müssen. Dies verbessert auch die Einhaltung gesetzlicher Vorschriften und branchenüblicher Best Practices wie FIPS 140-3, da alle kryptografischen Vorgänge und privaten Schlüssel sicher innerhalb der Unternehmensinfrastruktur verbleiben.

Mit dem neuen PKI-Framework verfügt jedes Gerät nun über eine eindeutige, überprüfbare digitale Identität, die die Authentizität von der Produktion bis zur Bereitstellung gewährleistet. Dies eliminiert das Risiko, dass unbefugte Geräte in das Netzwerk gelangen, und stärkt die allgemeine Sicherheit der Lieferkette. Das Unternehmen kann nun jedes Gerät verfolgen, validieren und authentifizieren.

Fazit

Wir haben die PKI-Implementierung für dieses renommierte Hardware-IoT-Unternehmen erfolgreich geleitet und eine leistungsstarke, zukunftssichere Infrastruktur bereitgestellt, die auf die individuellen Anforderungen des Unternehmens zugeschnitten ist. Dieser Meilenstein bewältigte kritische Herausforderungen wie unbegrenzte Zertifikate, Post-Quantum-Bereitschaft, HSM-basierte Schlüsselsicherheit, strenge Ausgaberichtlinien und hohe Skalierbarkeit. Das Ergebnis ist eine sichere, widerstandsfähige PKI Das System schützt Millionen von Geräten, gewährleistet die Einhaltung von Vorschriften und unterstützt die langfristige Innovation und Betriebskontinuität des Unternehmens. Dies unterstreicht unsere Expertise bei der Bereitstellung erstklassiger Sicherheitslösungen auf Unternehmensniveau.

Entdecken

Weitere Themen