de:int:l4resvc:compliance

Compliance & Zertifizierungen

Der WvdS Crypto Service erfuellt die Anforderungen folgender Standards und Regularien.

NIS2 (EU-Richtlinie)

Die NIS2-Richtlinie (Network and Information Security 2) ist seit Januar 2023 in Kraft und muss bis Oktober 2024 in nationales Recht umgesetzt werden.

Artikel 21: Risikomanagementmassnahmen

Anforderung	WvdS Umsetzung
(a) Risikoanalyse	Dokumentierte Bedrohungsanalyse
(b) Bewältigung von Sicherheitsvorfällen	Logging, Audit Trail
(d) Sicherheit der Lieferkette	OpenSSL FIPS-validiert
(h) Kryptografie	Post-Quantum Algorithmen
(i) Zugriffskontrolle	L4Re Capability-System

Betroffene Sektoren

KRITIS-Betreiber (Energie, Transport, Gesundheit, Wasser, Digitale Infrastruktur) muessen NIS2 erfuellen.

Der WvdS Crypto Service ist fuer diese Sektoren konzipiert.

BSI TR-03116-4

Technische Richtlinie des Bundesamtes fuer Sicherheit in der Informationstechnik fuer kryptografische Vorgaben in eHealth-Systemen.

Zugelassene Algorithmen

Kategorie	Erlaubt	WvdS
Symmetrisch	AES-256-GCM	✓
Signatur	ECDSA, RSA-PSS	ML-DSA (PQC)
Key Exchange	ECDH	ML-KEM (PQC)
Hash	SHA-256, SHA-384	✓ (intern)

Post-Quantum Hinweis

Die BSI TR-03116-4 empfiehlt ab 2025 die schrittweise Migration zu Post-Quantum-Algorithmen. Der WvdS Crypto Service ist dafuer vorbereitet.

FIPS 140-3

Der WvdS Crypto Service nutzt OpenSSL 3.6 mit FIPS Provider.

Validierte Module

Modul	Zertifikat
OpenSSL 3.0 FIPS Provider	#4282 (in Bearbeitung fuer 3.6)

FIPS-Modus Aktivierung

Der FIPS-Modus ist standardmaessig aktiviert. Pruefung:

// In Ihrem Code
#include <openssl/crypto.h>
 
if (OSSL_PROVIDER_available(NULL, "fips")) {
    printf("FIPS Provider aktiv\n");
}

Nicht-FIPS Algorithmen

Folgende Algorithmen sind im FIPS-Modus nicht verfuegbar:

MD5, SHA-1 (veraltet)
DES, 3DES (veraltet)
RC4 (unsicher)

FIPS 203 (ML-KEM)

NIST Post-Quantum Standard fuer Key Encapsulation.

Parameter	Wert
Algorithmus	ML-KEM-768
Sicherheitslevel	NIST Level 3 (~AES-192)
Public Key	1184 Bytes
Ciphertext	1088 Bytes
Shared Secret	32 Bytes

Migrationshinweis

ML-KEM ersetzt klassische Verfahren wie:

RSA Key Exchange
ECDH (P-256, P-384)
X25519

FIPS 204 (ML-DSA)

NIST Post-Quantum Standard fuer digitale Signaturen.

Parameter	Wert
Algorithmus	ML-DSA-65
Sicherheitslevel	NIST Level 3
Public Key	1952 Bytes
Signatur	3293 Bytes

Migrationshinweis

ML-DSA ersetzt klassische Verfahren wie:

RSA-PSS
ECDSA (P-256, P-384)
Ed25519

Compliance-Checkliste

Fuer Ihr Audit:

Anforderung	Status	Nachweis
Verschluesselung state-of-the-art	✓	AES-256-GCM, ML-KEM
Post-Quantum Ready	✓	FIPS 203, 204
FIPS-validierte Krypto	✓	OpenSSL FIPS Provider
Schluesselmanagement	✓	Key Storage (File/TPM/HSM)
Zugriffskontrolle	✓	L4Re Capabilities
Logging/Audit	✓	Konfigurierbar
Sichere Schluesselvernichtung	✓	Zeroize on Drop
Nonce-Management	✓	Automatisches Tracking
DoS-Schutz	✓	Rate Limiting

Dokumentation fuer Auditor

Folgende Dokumente stehen fuer Ihr Audit zur Verfuegung:

Dokument	Inhalt
README_OEM.md	Technische Integration
WvdS_KB_OEM.md	Knowledge Base (Details)
SECURITY.md	Security Policy
CHANGELOG.md	Aenderungshistorie

Anforderung weiterer Dokumente:

Kontaktieren Sie: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH

Referenzen

< Sicherheit | Zurueck zur Uebersicht