Relevante Produkte

Standalone-Lösung für hardwarebasierte, vertrauenswürdige Ausführungsumgebung

TEE ist in vielen Formen erhältlich, integrierte Enklaven in handelsübliche Server, als reine Softwarelösungen, z.B. Sandboxen als Add-ons, die in bestehende Hardware-Sicherheitsmodule integriert werden.

Jede dieser Lösungen bietet einzigartige Vor- und Nachteile.

Die beste Sicherheitsstufe kann unserer Meinung nach nur mit einer speziell entwickelten Hardwarelösung erreicht werden.

Anforderungen

Software-only-Lösungen haben klare Mängel.

Software-only-Lösungen haben die offensichtlichen Mängel, dass sie weder physischen Schutz noch Schutz vor Modifikationen der Laufzeitumgebung bieten. Prozessor-Erweiterungen wie Intels SGX oder AMDs SEE fehlen die sichere physikalische Umgebung, wie z.B. eine manipulationssichere Box und haben zudem die Herausforderung, dass sie gleichzeitig universell einsetzbar sein müssen und mit einem standardmässigen, ungesicherten Prozessorkern koexistieren.

Ein dediziertes HSM ist die sicherste Wahl.

Ein HSM mit seinem manipulationssicheren Gehäuse ist eine sehr gute Wahl, um die TEE-Funktionalität zu erweitern. Allerdings beeinträchtigt die speziell für die Speicherung der digitalen Schlüssel zum Schutz der wertvollsten digitalen Assets entwickelte Ausführung von beliebigem, potenziell schädlichem Code den Zweck des HSM. Daher ist ein dediziertes Gerät die sicherste Wahl.

Was Sie von einem TEE erwarten können

Was Sie von einem TEE erwarten können

Das Grundkonzept eines TEE besteht darin, Code sicher auszuführen. Dies beinhaltet einen Mechanismus zum sicheren Laden von Code, zum Schutz vor Manipulationen und zum Schutz der verarbeiteten Daten und ihrer Ausgabe. Ein TEE muss nachweisen können, dass bei der Ausführung dieses bestimmten Codes eine bestimmte Ausgabe aus einer bestimmten Eingabe erzeugt wurde. Daher verhält sich ein TEE ähnlich wie ein Notar, der reale Prozesse oder Fakten beglaubigt. In der digitalen Welt kann die Beglaubigung mit digitalen Signaturen durchgeführt werden. Daher benötigt ein TEE auch die Möglichkeit, Attest-Schlüssel sicher zu speichern und zu verwenden.
Der Zusatznutzen einer Kombination des TEE mit einem HSM.

Ein HSM ist agnostisch gegenüber den Daten, die es verarbeitet, so dass es sich nicht mit den zu signierenden Daten beschäftigt. Es gibt jedoch Fälle, in denen es von Vorteil ist, inputbasierte Compliance-Regeln vor dem Anbringen einer Signatur durchzusetzen. 

Stellen Sie sich den Fall vor, dass mehrere Parteien einen entscheidenden Vertrag unterschreiben müssen. Solche Mehrparteienregeln können innerhalb des Primus HSM von Securosys durchgesetzt werden, indem die Mehrsignaturlösung von Securosys verwendet wird. In einigen Fällen müssen solche Regeln jedoch automatisiert werden, z.B. bei Transaktionen mit geringem Wert, wenn die Kosten für eine Mehrfachabnahme nicht realisierbar sind oder ein Übermass im Hinblick auf das damit verbundene Risiko. Der Code, der die Entscheidung trifft, welche Regel anzuwenden ist, wird zu einer compliance-relevanten Software, da er die Regel auf eine als geringwertige Transaktion erzwingt. Der Compliance-Filter läuft als künstliche Intelligenz in einem TEE im Rahmen der Abzeichnungsregeln. So kann die Kombination von HSM und TEE das IT-Risiko weiter reduzieren und gleichzeitig die Geschäftsprozesse weiter automatisieren.

Wann benötigen Sie TEE?

Mehrere Anwendungsfälle können das Securosys Trusted Execution Environment zu ihrem bestehenden HSM-Portfolio hinzufügen.

Hier sind einige Beispiele.


  • Mobile Finanzdienstleistungen
    Mobile Wallets, Peer-to-Peer-Zahlungsapplikationen oder kontaktlose Zahlungen mit einem mobilen Gerät sind mit dem Securosys TEE verbunden und Funktionalitäten wie NFC oder vertrauenswürdige Backend-Systeme bieten die notwendige Sicherheit, um Finanztransaktionen zu ermöglichen. Das Securosys TEE kann eine vertrauenswürdige Benutzeroberfläche anbieten, die für die Benutzerauthentifizierung verwendet werden kann.
  • Authentifizierung
    Viele Dienste, die auf mobilen Geräten laufen, beinhalten die biometrische Identifikation (Gesichtserkennung oder Fingerabdruck oder Sprache), die schwerer zu stehlen ist. Es ist ein sensibler Bereich, in dem man die Metriken der persönlichen Identifikation schützen will, insbesondere wenn diese als persönliche Signatur-ID implementiert sind.
  • TEE für die Cloud mit Securosys CloudsHSM
    Um den Umgang mit vertraulichen Informationen auf einer Serverinfrastruktur sicher zu halten, kann der Securosys Server-basierte TEE vor internen und externen Angriffen auf eine gesicherte Infrastruktur schützen, indem er vertrauenswürdige Anwendungen unterbringt und sie von bösartiger Malware isoliert.
Warum ein Securosys TEE?

Es gibt bereits Trusted Execution Environment Produkte und Lösungen, von denen viele mit schwerwiegenden Fehlern konfrontiert sind. 

Einige langjährige Mikrochip-Produkte oder Enklave-Lösungen, die der vertrauenswürdigen Ausführungsumgebung ähneln, wurden kürzlich missbraucht. Diese Chips, die innerhalb von Server-Infrastrukturen laufen, wurden nicht von anderen Anwendungen isoliert. Durch die Trennung der Attestierung eines Codes oder Compliance-Filters von der eigentlichen Transaktionssignierung wird jeder Hackerversuch exponentiell schwieriger und die Signierung von Transaktionen, die von kompromittierten Anwendungen genehmigt wurden, wird vermieden.

Kontaktieren Sie uns

Kontaktieren Sie uns, wenn Sie mehr über unsere Produkte und Angebote erfahren möchten.

Schreiben Sie uns eine Nachricht.