Softwaresysteme für den Einsatz mit digitalen Messsystemen

Crypto-Head-End-System

Die Software es:Crypto Gateway präsentiert sich als ein schlankes, robustes und kostengünstiges kryptografisches Head-End-System zur einfachen Integration der Messsysteme 2020. Dieses extrem performante Produkt bietet Schnittstellenkonformität zur BSI TR-03109 und ermöglicht eine sehr flexible, rückseitige Anbindung unterschiedlichster ZFA-/EDM-/MDM- und ERP-Systeme. Optional können sichere Schlüsselspeicher und Krypto-Beschleuniger (Hardware-Sicherheitsmodul/HSM oder Smartcard) eingesetzt werden. Das Produkt lässt sich sowohl für den Einsatz als GWA (Gateway Administrator) als auch im Sinne eines EMTs (externer Marktteilnehmer) betreiben. Somit sind sämtliche Marktrollen wie Vertrieb, Verteilnetz- und Messstellenbetreiber sowie Messstellendienstleister abgedeckt.
settings

Die Software ist ein Windows-Dienst und basiert auf Microsoft.NET. Die kryptografischen Funktionen sind mit einem eigens an die BSI TR-03109 angepassten BouncyCastle/C# umgesetzt. Die optionale Schnittstelle zum HSM ist über den Industriestandard PKCS#11 und eine eigene PKCS#11-Engine realisiert, welche die relevanten kryptografischen Operationen von BouncyCastle/C# nach PKCS#11 routet. Das Zusammenspiel mit einem Hardware-Sicherheitsmodul wurde mit dem Utimaco CryptoServer Simulator getestet und nachgewiesen. In Pilotprojekten können alternativ passwortgeschützte PKCS#12- oder PEM-Dateien als Schlüsselspeicher verwendet werden. Die Konfiguration des es:Crypto Gateway erfolgt über eine XML-Datei. Die verschlüsselte Kommunikation mit einem Smart Meter Gateway (SMGW) ist strikt nach den Vorgaben der Technischen Richtlinie BSI TR-03109 des Bundesamtes für Sicherheit in der Informationstechnik implementiert (TLS 1.2, HTTP 1.1, CMS, COSEM/XML bzw. DNT HGP RESTful Webservices).

Sub-CA

Im Rahmen der Einführung intelligenter Messsysteme in Deutschland wird eine große Anzahl von Endnutzerzertifikaten innerhalb der „smart metering public key infrastructure“ (SM-PKI) benötigt. Die Zertifikate sind für die sichere Kommunikation zwischen den verschiedenen Instanzen und Teilnehmern unverzichtbar (GWH, GWA, EMT und SMGW). Alle Zertifikate müssen regelmäßig durch eine „certificate authority“ (CA) neu ausgestellt werden. Mit dem Produkt es:SubCA bietet exceeding solutions eine Software, die den selbstständigen Betrieb einer eigenen Sub-CA innerhalb der SM-Test-PKI durch den Kunden ermöglicht. Innerhalb dieser Pilot-Umgebung betreibt exceeding solutions bereits eine eigene Sub-CA mit dem Namen „ES.CA“. Sie ist in der Lage, vollautomatisch Zertifikate konform zur BSI TR-03109 an die Teilnehmer der Infrastruktur auszustellen. Interessierten Kunden bieten wir die Alternative, unsere Sub-CA für den Bezug von Zertifikaten zu nutzen. Zu diesem Zweck kann eine Lizenz mit einer Laufzeit von 12 Monaten erworben werden.
settings

Die Komponenten des Produktes es:SubCA erlauben sowohl den vollautomatischen Betrieb der Sub-CA als auch die manuelle (grafische Anwendung) oder automatisierte Beantragung (Kommandozeilentool–Batch) von Zertifikaten mittels „registration authority“ (RA). Die Bereitstellung einer .NET-API für die RA-Funktionalität ist möglich. Die Konformität mit den Vorgaben der BSI TR-03109 wurde durch Herstellertests nachgewiesen. Exceeding solutions hat sowohl bei der „SM-Test-Root.CA“ als auch bei der „SM-Test-BSI-Sub.CA“ den Nachweis angetreten, die Selbstbedienungsschnittstellen konform zu den BSI-Vorgaben zu verwenden (SOAP über TLS 1.2, LDAP über TLS 1.2). Die Integration eines Hardware-Sicherheitsmoduls (HSM) oder einer Smartcard ist optional über die PKCS#11-Schnittstelle möglich. Eine spätere Umstellung auf die SM-PKI und damit die Überführung in den Produktivbetrieb ist unter der Voraussetzung der Zertifizierung des Betriebs nach ISO27001 (nativ oder gemäß IT-Grundschutz) sowie nach BSI TR-03145-1 prinzipiell möglich. Exceeding solutions bereitet mit dem Partner MITNETZ STROM auf der Grundlage dieses Software-Produktes bereits den Betrieb der Sub-CA „MITNETZ.CA“ in einer nach ISO27001 zertifizierten Umgebung vor.