P-Cert

„Progress and innovation redefined: The Next Generation Security mit Crypto Agility“

Our Full-Package features

  • Automatisierbarer

    und vollständiger Überblick über die interne IT-Vertrauens und Sicherheitsbasis, wie X.509 Zertifikatslandschaft, Schlüsselhandhabung und Schwächenidentifikation

  • Risiken

    werden frühzeitig und präventiv gelöst.

  • Unterstützt

    sowohl mittlere wie auch große Unternehmensnetzwerke

  • Identifiziert Zertifikate, Schlüssel und weitere Assets

    die in Ihrer Cryptolandschaft oft unentdeckt gespeichert oder genutzt werden.

  • Geeignet

    zur Nachweisführung, Lieferantenauditierung oder zur Vorbereitung eines Realignment der PKI oder Crypto Infrastruktur.

Trotz des Einsatzes von unterschiedlichen Sicherheitstechnologien wie Firewalls, Vulnerability-Scanner, SIEM, etc. werden Unternehmen zunehmend Opfer von erfolgreichen Cyber-Attacken. Analysiert man die Angriffs-Vektoren, zeigt sich, dass die meisten erfolgreichen über Identitäten und Zertifikate erfolgen. Hier existieren jedoch derzeit keine adäquaten Lösungen am Markt.

P-Cert ermöglicht erstmals einen automatisierbaren, vollständigen Überblick über die interne IT-Vertrauensbasis und X.509 Zertifikatslandschaft. Dadurch lassen sich Risiken herausfinden oder evtl. auftretende Probleme frühzeitig und präventiv lösen. Die Lösung unterstützt sowohl mittlere wie auch große Unternehmensnetzwerke und bietet zusätzlich wissensbasierte, servicegestützte Entscheidungshilfen an.

Zusätzlich identifiziert P-Cert Schlüssel und weitere Assets die in Ihrer Cryptolandschaft oft unentdeckt gespeichert oder genutzt werden. Damit wird unsere Platform unabdinglich zur Nachweisführung oder zur Vorbereitung eines Realignment Ihrer PKI oder Crypto Infrstruktur. Denn nur mit einem vollständigen Überblick können Sie adäquate Lösungen erarbeiten.

Hintergrundproblematik:

  • Zertifikate werden von vielen Stellen ausgegeben. Damit ein Zertifikat als gültig betrachtet wird, muss man der Zertifizierungsstelle vertrauen. In Web-Browsern sind deshalb viele Zertifizierungsstellen als vertrauenswürdig eingestuft, die den meisten Anwendern allerdings unbekannt sind.
  • Dem Zertifikat selbst ist nur schwer anzusehen, wie sicher die bei seiner Ausstellung und Veröffentlichung eingesetzten Verfahren sind und für welche Anwendungen das Zertifikat überhaupt geeignet oder vorgesehen ist. Der Anwender müsste dafür die entsprechenden Dokumentationen der Zertifizierungsstelle, die Certificate Policy (CP) und das Certification Practice Statement (CPS) lesen, deren Inhalte durch RFC 3647 allgemein vorgegeben sind.
  • Bei hohen Sicherheitsanforderungen können qualifizierte Zertifikate verwendet werden, deren Aussteller gesetzlich vorgegebenen Sicherheitsvorgaben und staatlicher Aufsicht unterliegen. Allerdings verfügen auch die staatlichen Organe über die Möglichkeit Zertifikate für eigene Zwecke bei den herausgebenden Stellen anzufordern. Damit wird auch Überwachungssoftware von den jeweiligen Staaten sozusagen „offiziell“ und unauffällig installierbar.

Diese Probleme wurden beispielsweise durch einen Vorfall deutlich, bei dem VeriSign® auf die Firma Microsoft® ausgestellte Zertifikate an Personen ausgab, die sich fälschlicherweise als Microsoft Mitarbeiter ausgegeben hatten. Mit diesen Zertifikaten hatten die Betrüger nun einen augenscheinlich vertrauenswürdigen Beleg dafür, dass sie zur Firma Microsoft gehörten. Es wäre möglich gewesen, einen Programmcode im Namen von Microsoft® zu signieren, so dass er von Windows-Betriebssystemen ohne Warnung installiert würde. Obwohl diese Zertifikate sofort widerrufen wurden, nachdem der Fehler bemerkt wurde, stellten sie doch weiterhin ein Sicherheitsrisiko dar, da die Zertifikate keinen Hinweis darauf enthielten, wo ein möglicher Widerruf zu finden ist.

Dieser Fall ist ein Zeichen dafür, dass man sich nicht immer auf die Vertrauenswürdigkeit von Zertifikaten und die Sorgfalt von Zertifizierungsstellen verlassen kann. Außerdem zeigen obige Pressemeldungen, dass auch führende Softwarehersteller und Experten das Thema bisher nicht vollständig beherrschen. Die Sperrung eines Zertifikats ist nur dann effektiv, wenn bei der Prüfung aktuelle Sperrinformationen vorliegen. Zu diesem Zweck können Zertifikatsperrlisten (CRL) oder Onlineprüfungen (z.B. OCSP) abgerufen werden.

Dieses Thema ist nicht mehr manuell zu lösen. Hier setzt P-Cert an.

Um den Überblick über die interne Struktur zu bekommen gibt es zwei Ansätze:

  1. Der Anwender erlaubt nur vertrauenswürdige Software zur Installation und bekommt von der Herstellerfirma eine  Zertifikatsübersicht.
  2. Der Anwender verifiziert die Zertifikatslandschaft mit einer automatisierten Softwarelösung und definiert seine Vertrauenslandschaft selbst.

Beide Ansätze erfordern Kenntnis der vollständigen Vertrauenslandschaft. Diesen Überblick erreicht man mit dem  Scanner. Dieses Modul erlaubt es die Geräte im Netzwerk lokal oder remote, manuell oder auto-matisiert, seriell oder parallel zu untersuchen und in einem zentralen Repository (Repository) zu verwalten.

Dieses Repository erlaubt eine wissensunterstützte Bewertung der Zertifikate (Manager) und der Überprüfung der Vertrauensketten (TrustChain), das Entfernen unerwünschter Vertrauensbeziehungen (manuell (Delete) oder servicebasiert (CaaS)), die Identifizierung von Risiken (manuell (Analyse und Security) oder servicebasiert (CaaS)) und der Durchsetzung von Unternehmensrichtlinien (Policy) bis hin zum automatisierten Austausch der Zertifikate (Exchange).

Um komplexe Netzwerke automatisiert zu managen  steht der  Zone Server bei Sammlung und automatisierten Verteilung der Richtlinien und Ergebnisse am Endgerät (Endpoint Server oder Certificate Handler) zur Verfügung.

Alternativ können Informationen über automatisierte Softwareverteilungsprozesse auf die Endgeräte verbracht und wieder abgeholt werden. Durch die verschlüsselte lokale Abspeicherung der Ergebnisse in der  Scan DB können jegliche Unternehmensprozesse bzgl.  dem Betrieb und der Softwareverteilung unterstützt werden.

Sollte ein Unternehmen einen anderen, bisher nicht abgebildeten Prozess benötigen, werden innerhalb der P-Cert Prozess-Engine (driven by EBUS-J) die entsprechenden Definitionen vorgenommen, so dass diese optimal in die Prozesslandschaft integriert werden kann. 

Unsere langjährigen Kenntnisse in der Erstellung von militärischen und luftfahrttechnischen Softwareprodukten, PKI’s, CA’s sind in die Entwicklung von P-Cert eingeflossen und dadurch wurde auf höchstmögliche Softwarequalität geachtet. Zusätzlich wurde ein weites Spektrum von Sicherheitsrichtlinien von Anfang an in die Produkte mit einbezogen, so dass bei Bedarf eine herausragende Sicherheit auch auf staatlichem Level mit minimalen Aufwendungen erreicht werden kann.

Module für P-Cert for crypto agility

  • Manager
  • Repository
  • Scanner
  • Zone Server
  • crypto agility endpoint
  • P-Cert as a Service (CaaS)

Managementsuite mit den folgenden Modulen:

-> Collect  (Konsolidierung der Scans)
-> TrustChain (Vertrauenskettentests)
-> Delete (Löschen und Wiederherstellung)
-> Black-/ Whitelisting (Erlauben / Zurücknehmen)
-> Security (Identifikation von Risiken)
-> Analyse (Analyse und forensische Funktionalität)
-> Policy (Unternehmensrichtlinien (Compliance))
-> Exchange (Automatisierter Austausch)

 

      • Zentrales Datenbankmodul

 

 

      • Identifikation aller Zertifikate

 

Übertragung von crypto asset Informationen durch Netzwerksegmente oder Schaffung von Segmenten

Endgeräte Management Komponente mit folgenden Funktionen:


-> Identifikation (Scanner)
-> Durchsetzen der Policies inkl. Löschung
-> Durchsetzen des Black-/ Whitelistings

 

-> Ständige Beobachtung der Zertifikate durch Experten
-> Online Datenbank für verdächtige Zertifikate mit
-> Update der Blacklisting DB
-> Erweiterung der internen Sicherheitsbewertungen mit Online-Klassifizierung nach vereinbarten Sicherheitslevel

Technical Features

  • Supported Operation Systems
  • Scan-Technologies
  • Certificate Exchange
  • Dashboard
  • Supported Modi
  • Forensic Features
  • Management-Features
  • Policies for automation of handling certificates
  • MS-Windows
  • Apple OS-X
  • Lunix, Oracle Linux, Unix,
  • Android
  • Any java-enabled device
  • Netzwerk-share  
  • HTTPS
  • FTPS  
  • SSH
  • LDAP
  • NMAP
  • LDIF
  • Keystores
    •  
    • Manually
    • Automatically via CSR with CA (e.g. SCEP)
    • Individual (according to customer rquirements)

Overview of:

  • Issuer
  • Validities
  • Key length / algorithms
  • Applicants
  • Publishers
  • self-signed certificates

GUI-Versions (for comfortable operation)

  • PCert-Scanner
  • PCert-Manager
  • PCert-Zone-Server
  • PCert-Endpointserver
  • Archiving and restoring of certification-databases
  • Comparing of certification-databases

(single or groups of certifications)

  • Blacklisting
  • Whitelisting
  • Analysis
  • OCSP-Check
  • CRL-Check
  • Trustchain-Check
  • Status-overview   
  • Delete
  • Send  
  • Archive
  • Exchange  
  • Print
  • Export to CSV  
  • Export Certificate

Assignment of policies by

  • Identification of certificates by   properties, source, purpose, location, validities
  • Exchange of certificates
  • Shell-procedures after the certificate exchange (e.g. copy into directories, reboot computer
  • Remote tasks Scanning, Blacklist-/W hitelist-application, Delete, Exchange

Enterprise Discovery

Scan orientierte Abrechnung
20 per Scan
  • Identifikation aller Zertifikate, Schlüssel und Schlüsselspeicher auf einem Gerät (lokale Scans mit javafähigem (>=1.7) Gerät)
  • Nutzungsorientierte Abrechnung
  • beliebige Anzahl von Geräten (1 Gerät = 1 Scan) und Zertifikaten
  • inklusive policygesteuerter Scanautomatisierung
  • inklusive aller Scanengines wie agentenbasierter und-/ oder agentenloser Scans, lokale und Netzwerkscans
  • inklusive P-Cert Enterprise License Manager mit Mandanten Steuerung
  • inklusive Remote Agent zur optionalen Minimierung von Netzwerkverkehr
  • inklusive P-Cert Repository zur zentralen Datenspeicherung und P-Cert zum zentralen Management und zur gesamtheitlichen Analyse für 1 Jahr
  • Installationsunterstützung, exklusiver Zugang zum Kundenportal, Updates und Help Desk Support für 1 Jahr enthalten
  • Mindestabnahme 5000 Scans, Laufzeit max. 2 Jahre
  • optional buchbare Crypto Item Analysis Support und Cybersecurity Analysis Support

Enterprise Management

Server License
450 per IP pro Jahr
  • Geräteorientierte Abrechnung je IP Adresse
  • beliebige Anzahl von Scans und Zertifikatstauschen
  • inklusive policygesteuerter Automatisierung von Scans, Austausch, Löschung, Erlaubnis, Verbotslisten usw.

  • inklusive aller Scanengines wie agentenbasierter und-/ oder agentenloser Scans, lokale und Netzwerkscans
  • inklusive aller P-Cert Komponenten (Zonen Server (Netzwerksegmentierung), Certificate Handler (Repository, Agentensteuerung und Zertifikatstausch), License Manager (Mandantenfähig) und kommandozeilen Versionen), online Licensing (offline optional)und frei konfigurierbarer CA Anbindung
  • inklusive Installationsunterstützung, Updates, exklusiver Zugang zum Kundenportal und Helpdesk während der gesamten Laufzeit
  • Anbindung an P-Cert as a Service
  • zusätzlich buchbare Enterprise Funktionen
  • inkl. Certificate Cybersecurity Report
  • optional buchbare Crypto Item Analysis Support und Cybersecurity Analysis Support
  • Mindestabnahme 250 IP's
bestseller

Enterprise Management

Client License
45 per IP pro Jahr
  • Geräteorientierte Abrechnung je IP Adresse
  • beliebige Anzahl von Scans und Zertifikatstauschen
  • inklusive policygesteuerter Automatisierung von Scans, Austausch, Löschung, Erlaubnis, Verbotslisten usw.
  • inklusive aller Scanengines wie agentenbasierter und-/ oder agentenloser Scans, lokale und Netzwerkscans
  • inklusive aller P-Cert Komponenten (Zonen Server (Netzwerksegmentierung), Certificate Handler (Repository, Agentensteuerung und Zertifikatstausch), License Manager (Mandantenfähig) und kommandozeilen Versionen), online Licensing (Offline optional) und frei konfigurierbarer CA Anbindung
  • inklusive Installationsunterstützung, Updates, exklusiver Zugang zum Kundenportal, und Helpdesk während der gesamten Laufzeit
  • optional Anbindung an P-Cert as a Service
  • optional Certificate Cybersecurity Report
  • optional buchbare Crypto Item Analysis Support und Cybersecurity Analysis Support
  • Mindestabnahme 2500 IP's

Volle Zertifikatstransparenz - maximaler Bedienungskomfort - Automatisierung: