Il WvdS Crypto Service soddisfa i requisiti dei seguenti standard e normative.
La Direttiva NIS2 (Network and Information Security 2) è in vigore da gennaio 2023 e deve essere recepita nel diritto nazionale entro ottobre 2024.
| Requisito | Implementazione WvdS |
| (a) Analisi del rischio | Analisi delle minacce documentata |
| (b) Gestione incidenti di sicurezza | Logging, audit trail |
| (d) Sicurezza della catena di fornitura | OpenSSL FIPS-validato |
| (h) Crittografia | Algoritmi Post-Quantum |
| (i) Controllo accessi | Sistema capability L4Re |
Gli operatori di infrastrutture critiche (energia, trasporti, sanità, acqua, infrastruttura digitale) devono conformarsi a NIS2.
Il WvdS Crypto Service è progettato per questi settori.
Linea guida tecnica dell'Ufficio Federale per la Sicurezza delle Informazioni tedesco per i requisiti crittografici nei sistemi eHealth.
| Categoria | Consentito | WvdS |
| Simmetrico | AES-256-GCM | ✓ |
| Firma | ECDSA, RSA-PSS | ML-DSA (PQC) |
| Scambio chiavi | ECDH | ML-KEM (PQC) |
| Hash | SHA-256, SHA-384 | ✓ (interno) |
BSI TR-03116-4 raccomanda la migrazione graduale agli algoritmi post-quantum dal 2025. Il WvdS Crypto Service è preparato per questo.
Il WvdS Crypto Service usa OpenSSL 3.6 con FIPS Provider.
| Modulo | Certificato |
| OpenSSL 3.0 FIPS Provider | #4282 (in elaborazione per 3.6) |
La modalità FIPS è abilitata per default. Verifica:
// Nel vostro codice #include <openssl/crypto.h> if (OSSL_PROVIDER_available(NULL, "fips")) { printf("FIPS Provider attivo\n"); }
I seguenti algoritmi non sono disponibili in modalità FIPS:
Standard Post-Quantum NIST per l'incapsulamento chiavi.
| Parametro | Valore |
| Algoritmo | ML-KEM-768 |
| Livello sicurezza | NIST Level 3 (~AES-192) |
| Chiave pubblica | 1184 byte |
| Testo cifrato | 1088 byte |
| Segreto condiviso | 32 byte |
ML-KEM sostituisce metodi classici come:
Standard Post-Quantum NIST per le firme digitali.
| Parametro | Valore |
| Algoritmo | ML-DSA-65 |
| Livello sicurezza | NIST Level 3 |
| Chiave pubblica | 1952 byte |
| Firma | 3293 byte |
ML-DSA sostituisce metodi classici come:
Per la vostra revisione:
| Requisito | Stato | Evidenza |
| Cifratura all'avanguardia | ✓ | AES-256-GCM, ML-KEM |
| Pronto Post-Quantum | ✓ | FIPS 203, 204 |
| Crypto FIPS-validata | ✓ | OpenSSL FIPS Provider |
| Gestione chiavi | ✓ | Archiviazione chiavi (File/TPM/HSM) |
| Controllo accessi | ✓ | Capability L4Re |
| Logging/Audit | ✓ | Configurabile |
| Distruzione sicura chiavi | ✓ | Zeroize al rilascio |
| Gestione nonce | ✓ | Tracking automatico |
| Protezione DoS | ✓ | Rate Limiting |
I seguenti documenti sono disponibili per la vostra revisione:
| Documento | Contenuto |
| README_OEM.md | Integrazione tecnica |
| WvdS_KB_OEM.md | Knowledge Base (dettagli) |
| SECURITY.md | Security Policy |
| CHANGELOG.md | Cronologia modifiche |
Richiesta documenti aggiuntivi:
Contattare: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH