Kryptografische Verfahren bei Frankiermaschinen

bei

 / 30. January. 2018

Kryptografie spielt in der Cyber-Security eine wichtige Rolle. Spätestens seit den Enthüllungen durch Edward Snowden im Zuge der NSA-Affäre ist die Verschlüsselung sensibler Daten auch weiten Teilen der Bevölkerung ein Begriff. Ein anderer Einsatzbereich für kryptografische Verfahren ist kaum bekannt: der Fälschungsschutz von Frankiermaschinen.

Beim Thema verschlüsselte Nachrichten denken die meisten an WhatsApp, E-Mails und Co. Aber auch bei der Frankierung herkömmlicher Postsendungen wie Briefen spielt Verschlüsselung eine wichtige Rolle. Mithilfe von Frankiermaschinen wie denen von Francotyp-Postalia (FP) können Unternehmen eigenständig Porto auf ihre Briefpost drucken. Um sicherzustellen, dass die Frankiermaschinen nicht manipuliert werden, sichern kryptografische Verfahren diverse Prozesse ab. FP, der Spezialist für sicheres Mail-Business und digitale Kommunikationsprozesse, präsentiert inzwischen ein IoT Secure Edge Gateway auf der Basis firmeneigener Komponenten. Mit diesem Gateway können auch Industrieanlagen genauso wie Frankiermaschinen ihre sensiblen Daten sicher übertragen. Weltweit sind 200.000 Frankiermaschinen von FP im Einsatz, die jährlich Porto im Wert von über 1,2 Milliarden Euro drucken.

Funktionsweise der Frankiermaschine

Um eigenständig Briefsendungen zu frankieren, verwalten in Deutschland die DPAG und FP die Bonität des Kunden und stellen einen bestimmten Geldbetrag auf seinem Kunden-Account im FP-Datenzentrum ein. Von diesem Account wird ein Portokontingent auf die Frankiermaschine des Kunden geladen, das in einem speziell geschützten Sicherheitsmodul im Gerät gespeichert wird. Die DPAG zieht dieses Porto per Lastschrift vom Kunden wieder ein. Damit der Geldtransfer zwischen Kunden-Account und Frankiermaschine gegen Angriffe von außen geschützt ist, ist die Sicherung kryptografisch verschlüsselt. Der Kunde druckt mithilfe der Frankiermaschine den gewünschten Briefmarkenwert auf die Postsendung und das entsprechende Porto wird vom Betrag, der auf dem Sicherheitsmodul gespeichert ist, abgezogen.

Von symmetrischen zu asymmetrischen Verschlüsselungsalgorithmen

Schon seit den 1980er Jahren setzt FP Kryptografie ein. Diese hat in den vergangenen Jahrzehnten einen steten Wandel erlebt. Im Behördenumfeld wie auch in der Industrie setzte sich zunächst der Data Encryption Standard (DES) durch. Bei diesem symmetrischen Verfahren wird nur ein einziger Schlüssel genutzt, der Informationen sowohl ver- als auch entschlüsseln kann. Der Anwendungsbereich des DES-Algorithmus beschränkte sich damals bei den Frankiermaschinen auf den Geldtransfer vom Kunden-Account im FP-Datenzentrum in die Frankiermaschine sowie den Integritätsschutz von in der Maschine gespeicherten Daten. In den späten 1990er Jahren führte FP ihre erste Public-Key-Infrastruktur ein, ein asymmetrisches Verfahren der Kryptografie. Bei diesem System besteht ein Schlüssel aus einem Schlüsselpaar, einem öffentlichen und einem privaten Teil. Je nach Algorithmus können Daten verschlüsselt oder signiert werden.

Schutz der Daten im Hardware-Sicherheitsmodul

Im Zuge der Einführung der Public-Key-Infrastruktur wurde in die Frankiermaschinen in Form des Hardware-Sicherheitsmoduls (HSM) eine neue Komponente verbaut. Das HSM bietet Speicherplatz für Software, Schlüssel und Informationen wie den aktuellen Stand der Zähl-Variable und des Portokontingents. Diese Daten sind durch asymmetrische kryptografische Maßnahmen gesichert und zusätzlich vor sogenannten physikalischen Angriffen geschützt. Mit dem HMS erhält jedes Gerät zudem eine weltweit eindeutige kryptografische Identität, sein eigenes Schlüsselpaar und wird aufgrund kryptografischer Protokolle als autorisiertes FP-Produkt in den Datenzentralen erkannt. Diese Grundeigenschaft wird heute von jedem IoT Device erwartet, welches sensible Daten erfasst und bereitstellt.

Kryptografie in Barcodes

In vielen Ländern setzen die Postbehörden inzwischen einen zweidimensionalen Barcode ein. In diesem Barcode werden Informationen in zwei Richtungen kodiert und so eine höhere Informationsdichte pro Fläche im Vergleich zu einem linearen Strichcode erzielt. So enthält der Portoaufdruck neben dem lesbaren Teil, wie beispielsweise dem Portowert, auch einen digital kodierten Teil. Dieser umfasst unter anderem Informationen zur Identifikation der Frankiermaschine, eine Zähl-Variable des bereits gedruckten Portos sowie eine digitale Signatur. Diese garantiert die Einzigartigkeit und Fälschungssicherheit des Portoabdrucks. Die Postbehörden können durch Nutzung des öffentlichen Schlüssels verifizieren, ob der abgerechnete Portobetrag korrekt ist und von einer zugelassenen Maschine gedruckt wurde. Ein solches Verfahren ist in Deutschland seit 2004 mit dem Frankit-Abdruck im Einsatz.

Regelmäßige Überprüfung der Frankiermaschine

Um die Integrität der Software und damit die korrekte Ausführung des Gerätes sicherzustellen, wird nach dem Einschalten ein Secure-Boot-Prozess durchgeführt. Jede Softwarekomponente ist mit einer Signatur versehen. Beim Starten des Systems werden alle zur Ausführung benötigten Softwarekomponenten mit Hilfe von Signaturverifikationen auf Manipulation geprüft. Nur bei korrekter Signatur wird das Gerät gestartet und kann benutzt werden. Auf diese Weise stellt FP sicher, dass nur von FP und den Zulassungsstellen autorisierte Software zum Einsatz kommt.

Eine weitere Methode, bei der die Kryptografie zur Prüfung genutzt wird, ist das regelmäßige Auditieren. Hierbei meldet sich die Maschine beim Hersteller und weist ihre korrekte Funktionsfähigkeit nach, indem sie Informationen wie den Portoverbrauch oder den Betriebszustand der Maschine zur automatischen Verifikation an FP schickt. Meldet sich das Gerät in einem festgelegten Zeitraum nicht, stellt es automatisch den Betrieb ein. Diese regelmäßig durchgeführten Audits verhindern Fälschungen und Manipulationen am Gerät.

Die Einsatzbereiche auf einen Blick

Mithilfe von Kryptografie sichert Francotyp-Postalia inzwischen sämtliche Dienste ab. Im Geschäftsfeld Frankieren setzt FP die Verschlüsselung in folgenden Bereichen ein:

• Beim Geldtransfer zwischen Kunden-Account und Frankiermaschine. So stellt FP sicher, dass die Kommunikation zwischen Datenzentrum und Gerät nicht manipuliert werden kann.
• Innerhalb des Hardware-Sicherheitsmoduls. Hier sind sämtliche Informationen integritätsgeschützt abgespeichert und sicherheitskritische Daten zusätzlich verschlüsselt.
• Bei der Erstellung des zweidimensionalen Barcodes des Portoaufdrucks. Dieser enthält neben dem lesbaren Teil auch einen digital kodierten und maschinenlesbaren Teil, der weitere Informationen wie z.B. eine digitale Signatur oder andere integritätssichernde Daten umfasst.
• Bei dem Secure-Boot-Prozess, um die Ausführung von zugelassener Software zu garantieren.
• Beim regelmäßigen Audit. Die Frankiermaschine weist durch verschlüsselte Datenübermittlung die korrekte Funktionsfähigkeit beim Hersteller nach.

Der Autor: Dirk Rosenau gehört seit 1997 zum FP-Konzern und leitet die Bereiche Release-Management, Postal Relations und Kryptomodule von FP. Der Diplom-Ingenieur verantwortet formale Anforderungen, Tests und postalische Zulassungen von Produkten und Kryptomodulen der FP und ist zudem als Projektleiter für Embedded Software-Lösungen tätig. Damit bündelt sich eine umfassende Expertise für sicheres Mail-Business und sichere digitale Kommunikationsprozesse bei ihm und in seinem Team.

Vorheriger ArtikelUmzug auf offene Systeme – so werden Legacy Anwendungen fit für die digitale Geschäftswelt
Nächster ArtikelKnow-how-Lücken frühzeitig kennen und dem Fachkräftemangel entgegenwirken