Compliance & Zertifizierungen
Der WvdS Crypto Service erfuellt die Anforderungen folgender Standards und Regularien.
NIS2 (EU-Richtlinie)
Die NIS2-Richtlinie (Network and Information Security 2) ist seit Januar 2023 in Kraft und muss bis Oktober 2024 in nationales Recht umgesetzt werden.
Artikel 21: Risikomanagementmassnahmen
| Anforderung | WvdS Umsetzung |
| (a) Risikoanalyse | Dokumentierte Bedrohungsanalyse |
| (b) Bewältigung von Sicherheitsvorfällen | Logging, Audit Trail |
| (d) Sicherheit der Lieferkette | OpenSSL FIPS-validiert |
| (h) Kryptografie | Post-Quantum Algorithmen |
| (i) Zugriffskontrolle | L4Re Capability-System |
Betroffene Sektoren
KRITIS-Betreiber (Energie, Transport, Gesundheit, Wasser, Digitale Infrastruktur) muessen NIS2 erfuellen.
Der WvdS Crypto Service ist fuer diese Sektoren konzipiert.
BSI TR-03116-4
Technische Richtlinie des Bundesamtes fuer Sicherheit in der Informationstechnik fuer kryptografische Vorgaben in eHealth-Systemen.
Zugelassene Algorithmen
| Kategorie | Erlaubt | WvdS |
| Symmetrisch | AES-256-GCM | ✓ |
| Signatur | ECDSA, RSA-PSS | ML-DSA (PQC) |
| Key Exchange | ECDH | ML-KEM (PQC) |
| Hash | SHA-256, SHA-384 | ✓ (intern) |
Post-Quantum Hinweis
Die BSI TR-03116-4 empfiehlt ab 2025 die schrittweise Migration zu Post-Quantum-Algorithmen. Der WvdS Crypto Service ist dafuer vorbereitet.
FIPS 140-3
Der WvdS Crypto Service nutzt OpenSSL 3.6 mit FIPS Provider.
Validierte Module
| Modul | Zertifikat |
| OpenSSL 3.0 FIPS Provider | #4282 (in Bearbeitung fuer 3.6) |
FIPS-Modus Aktivierung
Der FIPS-Modus ist standardmaessig aktiviert. Pruefung:
// In Ihrem Code #include <openssl/crypto.h> if (OSSL_PROVIDER_available(NULL, "fips")) { printf("FIPS Provider aktiv\n"); }
Nicht-FIPS Algorithmen
Folgende Algorithmen sind im FIPS-Modus nicht verfuegbar:
- MD5, SHA-1 (veraltet)
- DES, 3DES (veraltet)
- RC4 (unsicher)
FIPS 203 (ML-KEM)
NIST Post-Quantum Standard fuer Key Encapsulation.
| Parameter | Wert |
| Algorithmus | ML-KEM-768 |
| Sicherheitslevel | NIST Level 3 (~AES-192) |
| Public Key | 1184 Bytes |
| Ciphertext | 1088 Bytes |
| Shared Secret | 32 Bytes |
Migrationshinweis
ML-KEM ersetzt klassische Verfahren wie:
- RSA Key Exchange
- ECDH (P-256, P-384)
- X25519
FIPS 204 (ML-DSA)
NIST Post-Quantum Standard fuer digitale Signaturen.
| Parameter | Wert |
| Algorithmus | ML-DSA-65 |
| Sicherheitslevel | NIST Level 3 |
| Public Key | 1952 Bytes |
| Signatur | 3293 Bytes |
Migrationshinweis
ML-DSA ersetzt klassische Verfahren wie:
- RSA-PSS
- ECDSA (P-256, P-384)
- Ed25519
Compliance-Checkliste
Fuer Ihr Audit:
| Anforderung | Status | Nachweis |
| Verschluesselung state-of-the-art | ✓ | AES-256-GCM, ML-KEM |
| Post-Quantum Ready | ✓ | FIPS 203, 204 |
| FIPS-validierte Krypto | ✓ | OpenSSL FIPS Provider |
| Schluesselmanagement | ✓ | Key Storage (File/TPM/HSM) |
| Zugriffskontrolle | ✓ | L4Re Capabilities |
| Logging/Audit | ✓ | Konfigurierbar |
| Sichere Schluesselvernichtung | ✓ | Zeroize on Drop |
| Nonce-Management | ✓ | Automatisches Tracking |
| DoS-Schutz | ✓ | Rate Limiting |
Dokumentation fuer Auditor
Folgende Dokumente stehen fuer Ihr Audit zur Verfuegung:
| Dokument | Inhalt |
| README_OEM.md | Technische Integration |
| WvdS_KB_OEM.md | Knowledge Base (Details) |
| SECURITY.md | Security Policy |
| CHANGELOG.md | Aenderungshistorie |
Anforderung weiterer Dokumente:
Kontaktieren Sie: Wolfgang van der Stille / EMSR DATA d.o.o. / DATECpro GmbH
