DE102023101050A1 - Fernbefehlsausführung über ein air-gap-gesichertes system - Google Patents

Fernbefehlsausführung über ein air-gap-gesichertes system Download PDF

Info

Publication number
DE102023101050A1
DE102023101050A1 DE102023101050.6A DE102023101050A DE102023101050A1 DE 102023101050 A1 DE102023101050 A1 DE 102023101050A1 DE 102023101050 A DE102023101050 A DE 102023101050A DE 102023101050 A1 DE102023101050 A1 DE 102023101050A1
Authority
DE
Germany
Prior art keywords
air
message
gap
code
gap system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102023101050.6A
Other languages
English (en)
Inventor
Jehuda Shemer
Stav Sapir
Naor Radami
Amihai Savir
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Dell Products LP
Original Assignee
Dell Products LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Dell Products LP filed Critical Dell Products LP
Publication of DE102023101050A1 publication Critical patent/DE102023101050A1/de
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/30Arrangements for executing machine instructions, e.g. instruction decode
    • G06F9/30003Arrangements for executing specific machine instructions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/54Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/107License processing; Key processing

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Ein beispielhaftes Verfahren umfasst das Lesen eines von einem Steuersystem bereitgestellten Codes an einem Air-Gap-System, wobei der Code eine Nachricht umfasst, die Anweisungen vom Steuersystem an das Air-Gap-System enthält, das Prüfen der Nachricht durch das Air-Gap-System, um zu bestimmen, ob die Nachricht einen Befehl enthält, der durch das Air-Gap-System ausführbar ist, und wenn die Nachricht einen durch das Air-Gap-System ausführbaren Befehl erkennt und der Befehl in einer Liste von autorisierten Befehlen enthalten ist, das Ausführen des Befehls durch das Air-Gap-System.

Description

  • GEBIET DER ERFINDUNG
  • Ausführungsformen der vorliegenden Erfindung beziehen sich im Allgemeinen auf das Beherrschen und Steuern von Systemen mit Air Gap. Speziell beziehen sich zumindest einige Ausführungsformen der Erfindung auf Systeme, Hardware, Software, computerlesbare Medien und Verfahren zur Fernbefehlsausführung bei einem Air-Gapgesicherten System.
  • HINTERGRUND
  • Maschinen mit Air Gap sind bei vielen Anwendungen gebräuchlich. Zur Veranschaulichung wird bei der Cyber-Recovery-Lösung von Dell Technologies eine Datendomäne (DD) mit Air Gap verwendet, um Backups in einem sicheren Tresor zu speichern. Der Air Gap wird durch eine physische Trennung der Maschine von jeglichem Netzwerk, jeglichem System oder jeder anderen Maschine verwirklicht, wodurch ein Fernangriff auf die Air-Gap-Maschine verhindert wird. Der Gap wird nur für einen kurzen Zeitraum zur Übertragung von Sicherungsdaten geschlossen und wird dann wieder unterbrochen. Eine weitere beliebte Anwendung für Air Gaps besteht bei elektronischen Wahlgeräten. Die Wähler verfügen über eine Anzeige zur Abgabe ihrer Stimme, die Geräte sind jedoch von Netzwerken getrennt, um eine Manipulation der Abstimmung zu verhindern. Obwohl Air Gaps den Zugriff auf ein Element mit Air Gap wirksam verhindern können, kommt es bei aktuellen Ausführungen zu Problemen.
  • Zum Beispiel kann das Ausführen irgendeines Befehls an der Air-Gap-Maschine problematisch sein. Um einen Befehl auszuführen, benötigt die Entität, die den Befehl ausführen möchte, insbesondere entweder physischen Zugriff auf die Maschine oder muss den Air Gap schließen und eine Fernverbindung herstellen, wobei beides den Zweck des Air Gaps zunichte machen würde. Jegliche Fernverbindung, wie beispielsweise Secure Shell (SSH) und E-Mail, erfordert einen Protokoll-Handshake, der als Angriffsmöglichkeit genutzt werden kann. Daher sollte der Air Gap nur, wenn es absolut erforderlich ist, und für möglichst kurze Zeit geschlossen werden.
  • Ein weiteres Problem bei sicheren Systemen wie Cyber Recovery oder Wahlgeräten besteht darin, dass böswillige Angreifer versuchen könnten, Outputs oder Status zu verfälschen, um falsche Ergebnisse zu liefern, oder den Administrator mit einem Trick dazu zu bringen, den Air Gap zur Maschine zu schließen. Bei Wahlgeräten wird der Gap geschlossen oder eine Vorrichtung an den Automaten angebracht, wenn die Wahllokale geschlossen werden, um die Stimmenauszählung zu erhalten, wodurch eine Gelegenheit für einen Angriff geschaffen wird.
  • Gegenwärtig erfordert das Ausführen von Befehlen an Air-Gap-Maschinen also eine Verbindung mit der Maschine, wodurch ein physischer Zugriff auf die Maschine erforderlich wird, oder erfordert das Schließen des Air Gaps zwischen der Maschine und einer anderen Maschine. Es ist auch notwendig sicherzustellen, dass der Status nicht verfälscht ist.
  • Figurenliste
  • Um die Art und Weise zu beschreiben, in der zumindest einige der Vorteile und Merkmale der Erfindung erlangt werden können, erfolgt eine genauere Beschreibung von Ausführungsformen der Erfindung unter Bezugnahme auf spezifische Ausführungsformen davon, die in den beigefügten Zeichnungen veranschaulicht sind. Im Verständnis, dass diese Zeichnungen nur typische Ausführungsformen der Erfindung darstellen und daher nicht als ihren Umfang einschränkend anzusehen sind, werden Ausführungsformen der Erfindung mit zusätzlicher Spezifität und Detailgenauigkeit unter Verwendung der beigefügten Zeichnungen beschrieben und erläutert.
    • 1 offenbart Aspekte einer beispielhaften Betriebsumgebung für einige Ausführungsformen der Erfindung.
    • 2 offenbart Aspekte eines beispielhaften Systems zur Fernbefehlsausführung in einem System mit Air Gap gemäß einigen Ausführungsformen.
    • 3 offenbart ein beispielhaftes Verfahren gemäß einigen Ausführungsformen.
    • 4 offenbart eine beispielhafte Recheneinheit, die betriebsfähig ist, um beliebige der beanspruchten Verfahren, Prozesse und Operationen durchzuführen.
  • AUSFÜHRLICHE BESCHREIBUNG EINIGER AUSFÜHRUNGSBEISPIELE
  • Ausführungsformen der vorliegenden Erfindung beziehen sich im Allgemeinen auf das Beherrschen und Steuern von Systemen mit Air Gap. Speziell beziehen sich zumindest einige Ausführungsformen der Erfindung auf Systeme, Hardware, Software, computerlesbare Medien und Verfahren zur Fernbefehlsausführung bei einem Air-Gapgesicherten System.
  • Ausführungsbeispiele der Erfindung können im Allgemeinen einen Mechanismus zum sicheren Versorgen eines Air-Gap-Systems mit ausführbaren Befehlen bereitstellen, ohne dass die Integrität des Air Gaps beeinträchtigt wird. Wie hierin verwendet, ist ein „System“ oder eine „Maschine“ mit Air Gap breit auszulegen und umfasst, ohne darauf beschränkt zu sein, jegliche Kombination von Hardware-Elementen und/oder Software-Elementen, die betriebsfähig sind, um einen oder mehrere Befehle auszuführen.
  • Zumindest einige Ausführungsformen sind auf ein System ausgerichtet, das einen standardmäßigen Anzeigemonitor umfassen kann, der mit einem Netzwerk, wie z.B. dem Internet, verbunden ist und verwendet wird, um einen Nachrichtencode anzuzeigen, der signiert und gegebenenfalls verschlüsselt sein kann und als visueller Code formatiert sein kann, wobei ein QR (Quick Response)-Code ein Beispiel hierfür ist. Eine Kamera, die mit der Air-Gap-Maschine verbunden und zusammen mit der Air-Gap-Maschine als eine Einheit isoliert ist, liest den visuellen Code von der Anzeige ab, die sich außerhalb der Air-Gap-Maschine befindet, und sendet den visuellen Code als Eingabe zur Air-Gap-Maschine. Die Air-Gap-Maschine kann dann den Code lesen, die Authentizität des Codes mittels kryptografischer Werkzeuge bestätigen, den Code in einen von mehreren vordefinierten und vorab autorisierten Befehlen abbilden und den entsprechenden Befehl dann ausführen. Auf diese Art und Weise können verifizierte Befehle von einem Air-Gap-System ausgeführt werden, ohne dass eine physische Verbindung mit dem Air-Gap-System durch eine externe Entität, wie z.B. einen Menschen, oder ein anderes System jemals erforderlich wird.
  • Ausführungsformen der Erfindung, wie z.B. die hierin offenbarten Beispiele, können in vielerlei Hinsicht vorteilhaft sein. Wie anhand der vorliegenden Offenbarung ersichtlich, kann zum Beispiel eine oder können mehrere Ausführungsformen der Erfindung eine oder mehrere vorteilhafte und unerwartete Wirkungen in beliebiger Kombination bereitstellen, wobei einige Beispiele davon nachstehend dargelegt sind. Es sei darauf hingewiesen, dass solche Wirkungen weder beabsichtigt sind, noch als den Umfang der beanspruchten Erfindung in irgendeiner Weise einschränkend ausgelegt werden sollten. Es sollte ferner beachtet werden, dass nichts hierin als ein wesentliches oder unverzichtbares Element irgendeiner Erfindung oder Ausführungsform darstellend ausgelegt werden sollte. Vielmehr können verschiedene Aspekte der offenbarten Ausführungsformen auf vielfältige Weise kombiniert werden, um noch weitere Ausführungsformen zu definieren. Derartige weitere Ausführungsformen werden als innerhalb des Umfangs dieser Offenbarung liegend angesehen. Außerdem sollte keine der Ausführungsformen, die in den Umfang dieser Offenbarung aufgenommen sind, als irgendein bestimmtes Problem (bestimmte Probleme) lösend oder auf dessen (deren) Lösung beschränkt ausgelegt werden. Solche Ausführungsformen sollten auch nicht als irgendeine bestimmte technische Wirkung oder Lösung (bestimmte technische Wirkungen oder Lösungen) umsetzend oder auf deren Umsetzung beschränkt ausgelegt werden. Schließlich ist es nicht erforderlich, dass irgendeine Ausführungsform irgendeine der hierin offenbarten vorteilhaften und unerwarteten Wirkungen umsetzt.
  • Insbesondere kann eine Ausführungsform so konfiguriert sein, dass Anweisungen an ein Air-Gap-System übermittelt werden können, ohne dass eine physische Verbindung zwischen dem Air-Gap-System und der die Anweisungen übermittelnden Entität verwendet wird. Eine Ausführungsform kann böswillige Angriffe auf ein System verhindern, indem ein Air Gap zwischen diesem System und jeglichen externen Entitäten aufrechterhalten wird. Eine Ausführungsform kann die Ausführung eines Befehls durch ein Air-Gap-System ermöglichen, wobei der Befehl auf Anweisungen beruht, die über einen Air Gap von einer Entität empfangen werden, die nicht physisch mit dem Air-Gap-System verbunden ist. Andere Vorteile einiger Ausführungsbeispiele gehen aus dieser Offenbarung hervor.
  • Es sei darauf hingewiesen, dass Ausführungsformen der Erfindung, ob beansprucht oder nicht, weder praktisch noch anderweitig gedanklich ausgeführt werden können. Demnach sollte nichts hierin als lehrend oder nahelegend ausgelegt werden, dass ein beliebiger Aspekt irgendeiner Ausführungsform der Erfindung praktisch oder anderweitig gedanklich ausgeführt werden könnte oder würde. Sofern hierin nicht ausdrücklich anders angegeben, werden die offenbarten Verfahren, Prozesse und Operationen ferner als durch Computersysteme implementiert angesehen, die Hardware und/oder Software umfassen können. Das heißt, solche Verfahren, Prozesse und Operationen werden als computerimplementiert definiert.
  • A. Übersicht
  • Es könnte verlangt werden, dass sowohl Verwaltungspersonal als auch Nutzer Befehle an einem Air-Gap-System ausführen. Ähnlich wie bei Komponenten wie zum Beispiel Servern könnte es beispielsweise erforderlich sein, verschiedene Befehle an dem Air-Gap-System auszuführen, beispielsweise um Warnungen zu erhalten, Tests auszuführen oder eine Konfiguration zu ändern, wobei ein physischer Zugriff auf die Maschine erforderlich ist, d.h., das Schließen des Air Gaps zwischen dem System und externen Entitäten. Während Angreifer das System angreifen können, wenn der Air Gap geschlossen ist, besteht keine Möglichkeit, es anzugreifen, wenn es keine Möglichkeit gibt, zur Maschine zu gelangen. Somit könnten Angreifer dann versuchen, periphere Schnittstellen oder Administratoren anzugreifen, um Zugriff auf die Maschine zu erlangen. Ein besonderer Angriffsvektor, der eingesetzt werden kann, besteht in der Fälschung von Outputs von den peripheren Schnittstellen oder Administratoren. Wenn ein Angreifer beispielsweise Outputs fälschen kann, um anzuzeigen, dass die Air-Gap-Maschine ausgefallen ist, kann ein Administrator den Gap schließen und sich mit der Air-Gap-Maschine verbinden, um zu versuchen, das Problem zu erkennen, wodurch die Maschine einem Angriff ausgesetzt wird. Bei dem speziellen Beispiel von Wahlgeräten kann dieser Ansatz verwendet werden, um Abstimmungsergebnisse zu fälschen.
  • B. Aspekte einiger Ausführungsbeispiele
  • Zumindest einige Ausführungsbeispiele können darauf ausgerichtet sein, das Problem des Übertragens von Anweisungen an ein Air-Gap-System zur Ausführung von Befehlen durch dieses System anzusprechen. Zu diesem Zweck können einige Ausführungsformen einen kryptografisch signierten visuellen Code, wie z.B. einen verschlüsselten QR-Code, nutzen, um die Ausführung eines oder mehrerer vordefinierter Befehle zu veranlassen. Der visuelle Code kann nur für die einmalige Nutzung konfiguriert sein und ist möglicherweise nur für einen begrenzten Zeitraum gültig. Eine physische Verbindung mit dem Air-Gap-System ist nicht erforderlich. Eine Vorrichtung wie eine Kamera kann verwendet werden, um den Code visuell zu lesen.
  • Genauer gesagt, Ausführungsformen können kryptografisch signierte und möglicherweise asymmetrisch verschlüsselte Nachrichten nutzen, die als visueller Code dargestellt sein können. Der Code kann dem Air-Gap-System ausgesetzt werden, wobei ein beschränktes Eingabegerät, wie z.B. eine Kamera, verwendet wird. Die Kamera kann sich innerhalb des gesicherten Raums befinden, wie z.B. in einem Tresor mit nur einem kleinen Fenster für das Objektiv, wodurch eine vollständige Isolierung zwischen dem Nutzer und dem Air-Gap-System sichergestellt wird.
  • Es ist zu beachten, dass Ausführungsformen nicht auf die Verwendung irgendeiner bestimmten Medienart, wie z.B. zweidimensionaler visueller Codes, beschränkt sind, um die Übermittlung von Anweisungen von einer Entität zu einem Air-Gap-System zu ermöglichen. Verschiedene andere Medienarten können ebenfalls verwendet werden, wobei dreidimensionale Codes wie etwa Hologramme ein Beispiel hierfür sind. In noch weiteren Ausführungsformen können solche Medien Klänge mit verschlüsselten Informationen umfassen, die von einem Mikrofon oder einer ähnlichen Vorrichtung, die mit einem Air-Gap-System in Verbindung steht, wahrgenommen, d.h., gelesen, werden können.
  • Ausführungsbeispiele können im Allgemeinen Funktionalitäten implementieren, die sicherstellen können, dass: (1) Befehle in einem Air-Gap-System aus der Ferne ausgeführt werden können, ohne dass der Air Gap geschlossen ist; und (2) kein Mensch oder kein anderes System ohne Autorisierung Befehle am Air-Gap-System ausführen kann. Im Allgemeinen kann der Befehl, der zur Ausführung durch das Air-Gap-System freigegeben wird, einer aus einer vordefinierten Liste von Befehlen sein, die in einen Code abgebildet werden. Das heißt, in einigen Ausführungsformen wird kein Befehl, der nicht auf dieser Liste steht, von dem Air-Gap-System ausgeführt, selbst wenn Anweisungen zum Ausführen eines solchen Befehls von einer autorisierten Quelle empfangen werden. Außerdem können Ausführungsformen vorsehen, dass jeder Code, wie z.B. ein QR-Code, nur für eine begrenzte Zeit und/oder nur für eine einmalige Verwendung gültig ist. Obwohl sich Teile dieser Offenbarung auf einen QR-Code beziehen können, ist es zu beachten, dass verschiedene andere Arten von visuellen Codes verwendet werden können, wie zum Beispiel, ohne darauf beschränkt zu sein, visuelle Codes, die eine ausreichende Länge haben, wie z.B. Barcodes, JAB (Just Another Bar)-Code, mehrfarbige HCC2D (High Capacity Colored Two Dimensional)-Codes, PDF417 (gestapelter linearer Barcode), Aztec oder jedes andere visuelle 2D- oder 3D-Codierverfahren.
  • Nunmehr unter Bezugnahme auf 1 werden Einzelheiten betreffend eine beispielhafte Konfiguration 100 bereitgestellt, in Verbindung mit welcher Ausführungsformen der Erfindung eingesetzt werden können. Im Allgemeinen kann eine Air-Gap-Maschine 102 durch einen Air Gap 106 von jedem anderen System oder Gerät 104 physisch isoliert sein. Das heißt, die Air-Gap-Maschine 102 ist nicht physisch an irgendein anderes System oder Gerät 104 angeschlossen, wie z.B. durch ein Kabel oder ein anderes physisches Element (andere physische Elemente).
  • B.1. Systemkonfiguration
  • Als nächstes werden bezugnehmend auf 2 Einzelheiten in Bezug auf Aspekte eines Ausführungsbeispiels der Erfindung bereitgestellt. Wie in 2 dargestellt, kann die Konfiguration 200 eine Air-Gap-Maschine 202 umfassen, die durch einen Air Gap 206 physisch von jedem anderen System oder Gerät 204 isoliert sein kann. Das heißt, die Air-Gap-Maschine 202 ist nicht physisch an irgendein anderes System oder Gerät 204 angeschlossen, wie z.B. durch ein Kabel oder ein anderes physisches Element (andere physische Elemente).
  • Die Konfiguration 200 kann ferner eine Anzeige 208 umfassen, die mit einem System 204, wie z.B. einem Verwaltungssystem, verbunden sein und durch dieses steuerbar sein kann. Das Verwaltungssystem kann hierin allgemein als Steuersystem bezeichnet werden, da das Verwaltungssystem den Betrieb der Air-Gap-Maschine 202 steuern kann. Die Anzeige 208 kann ein beliebiges System oder Gerät umfassen, wie z.B. einen Monitor, der betriebsfähig ist, um grafische Informationen, wie z.B. einen Code, visuell darzustellen. Im Allgemeinen kann die Anzeige 208 als Reaktion auf einen Befehl von dem System 204 betreibbar sein, um einen Code 210 visuell oder auf irgendeine andere wahrnehmbare Art und Weise darzustellen. Der Code 210 kann in einer Form präsentiert werden, die für ein Lesegerät 212 wahrnehmbar ist, welches zusammen mit der Air-Gap-Maschine 202 durch den Air Gap 206 isoliert ist. Zum Beispiel kann das Lesegerät 212 mit der Air-Gap-Maschine 202 physisch verbunden sein und damit kommunizieren. Wenn der Code 210 eine visuell wahrnehmbare Form annimmt, kann das Lesegerät 212 eine Kamera umfassen, der Umfang der Erfindung ist jedoch weder auf visuell wahrnehmbare Codes, noch auf Lesegeräte in Form einer Kamera beschränkt.
  • Die Verwendung des Codes 210 ermöglicht somit, dass das System 204 mit der Air-Gap-Maschine 202 kommuniziert und deren Betrieb steuert, und zwar ohne irgendeine physische Verbindung zwischen dem System 204 und der Air-Gap-Maschine 202. Weiterhin unter Bezugnahme auf 2 kann das Lesegerät 212 insbesondere einen Code 210 erfassen, der von der Anzeige 208 präsentiert wird. Der Code 210 selbst und/oder Informationen in dem Code 210 können dann von dem Lesegerät 212 an die Air-Gap-Maschine 202 gesendet werden. Die Air-Gap-Maschine 202 oder ein Air-Gap-Handler 214, der den Air Gap 206 umsetzt, kann den Code 210 dann entschlüsseln.
  • Wenn die Air-Gap-Maschine 202 die Entschlüsselung durchführt, kann die Air-Gap-Maschine 202 die entschlüsselten Informationen dann mit einer Liste von Befehlen vergleichen, die sich in der Air-Gap-Maschine 202 befinden können, und wenn eine Übereinstimmung vorliegt, kann die Air-Gap-Maschine 202 den entsprechenden Befehl (die entsprechenden Befehle) ausführen. Wenn es keine Übereinstimmung zwischen den codierten Informationen und einem oder mehreren Befehlen in der Liste gibt, darf die Air-Gap-Maschine 202 dann keine Maßnahmen ergreifen. Wenn der Air-Gap-Handler 214 anstelle der Air-Gap-Maschine 202 die Entschlüsselung vornimmt, kann der Air-Gap-Handler 214 die entschlüsselten Informationen an die Air-Gap-Maschine 202 übermitteln, die dann arbeiten kann, wie soeben beschrieben, um etwaige übereinstimmende Befehle zu identifizieren und auszuführen.
  • B.2. Sicherheit
  • Weiterhin unter Bezugnahme auf das Beispiel von 2 können Ausführungsformen eine kryptografische Signierung des Codes 210 vorsehen, um eine Situation zu vermeiden, in der ein gefälschter Code 210 von dem Lesegerät 212 gelesen wird. Sollte ein System insbesondere dazu ausgelegt sein, einfach eine Anzeige und eine Kamera zu verwenden und als Code Befehle von einem Administrator zu präsentieren, dann könnte ein Angreifer die Anzeige angreifen, die möglicherweise mit einem Netzwerk verbunden ist, und den Code fälschen, um beispielsweise zu versuchen, die Air-Gap-Maschine zu veranlassen, einen unbefugten Vorgang auszuführen. Daher benötigt die Air-Gap-Maschine die Gewissheit, dass die Anweisungen zum Ausführen eines Befehls oder zum Durchführen einer Funktion ordnungsgemäß aus dem Verwaltungssystem stammen und dass der präsentierte Code nicht manipuliert wurde.
  • In Ausführungsbeispielen kann demgemäß ein asymmetrisches kryptografisches Schlüsselpaar verwendet werden, um die Integrität der dem Air-Gap-System präsentierten Codes sicherzustellen. Zum Signieren kann in einigen Ausführungsformen ein privater Schlüssel 216 des Schlüsselpaars sicher am System 204 gespeichert werden. Das Air-Gap-System 202 und/oder der Air-Gap-Handler 214 kann bzw. können den öffentlichen Schlüssel besitzen, der dem privaten Schlüssel 216 entspricht. Jeder Code 210 kann vom System 204 unter Verwendung des privaten Schlüssels 216 signiert werden. Die Nachricht, wie z.B. Anweisungen vom System 204 an das Air-Gap-System 202, einen oder mehrere Befehle auszuführen, und die Signatur können als codierter QR-Code bereitgestellt werden.
  • Auf diese Art und Weise kann bzw. können der Air-Gap-Handler 216 und/oder die Air-Gap-Maschine 202 den öffentlichen Schlüssel verwenden, um Folgendes sicherzustellen: (1) nur ein autorisiertes System, wie z.B. das System 204, kann der Erzeuger der Nachricht, d.h., des Codes 210, sein; (2) der Inhalt im Code 210 ist gültig und wurde nicht manipuliert; und (3) der Zeitpunkt der Nachricht, um Replay-Angriffe zu verhindern, die von einem Angreifer zu anderen Zeiten als der in der Nachricht angegebenen Zeit gestartet werden. Jedes beliebige asymmetrische Kryptografie-Signaturverfahren kann in Ausführungsbeispielen verwendet werden. Derartige kryptografische Signaturverfahren schließen RSA (Rivest-Shamir-Adleman) und ECDSA (Elliptic Curve Digital Signature Algorithm) ein, ohne darauf beschränkt zu sein.
  • Wenn eine Verschlüsselung verwendet werden soll, kann ein zweiter Schlüsselsatz für die Verschlüsselung bereitgestellt werden, da der öffentliche Schlüssel des ersten Schlüsselpaars beeinträchtigt werden könnte, wodurch die Verschlüsselung nutzlos wird. Wenn beide Teile des Schlüssels sicher sind, genügt möglicherweise ein Satz.
  • Unter besonderer Bezugnahme auf die mögliche Verwendung eines zweiten Schlüsselpaars in einigen Ausführungsformen ist es zu beachten, dass bei der asymmetrischen Kryptografie ein Schlüsselpaar verwendet wird: ein privater Schlüssel; und ein öffentlicher Schlüssel, von dem angenommen wird, dass er für jedermann zugänglich ist. Die Schlüssel in diesem Schlüsselpaar können zwei Anwendungsfälle zur Folge haben:
    1. 1. Digitale Signaturen. Verwendung des privaten Schlüssels zum Signieren - nur der Inhaber des privaten Schlüssels kann signieren, und jedermann kann die Echtheit der Signatur prüfen - Verwendung des öffentlichen Schlüssels für diese Prüfung; und
    2. 2. Verschlüsselung. Jedermann kann unter Verwendung des öffentlichen Schlüssels eine verschlüsselte Nachricht erstellen, aber nur eine Person kann die vertraulichen Informationen lesen, d.h., die Person, die den privaten Schlüssel besitzt.
  • Ein nützlicher Aspekt des öffentlichen Schlüssels im Anwendungsfall einer Verschlüsselung besteht darin, dass eine Partei das Schlüsselpaar generieren, den privaten Schlüssel für die Verwendung bei der Entschlüsselung privat halten und den öffentlichen Schlüssel frei an andere Parteien zur Verwendung bei der Verschlüsselung von Informationen senden kann. Der öffentliche Schlüssel kann über unsichere Medien frei gesendet oder beispielsweise sogar in einer Zeitung veröffentlicht werden. Die Integrität der verschlüsselten Daten wird durch die Kenntnis des öffentlichen Schlüssels nicht gefährdet, da nur der Inhaber des privaten Schlüssels die mit dem öffentlichen Schlüssel verschlüsselten Informationen entschlüsseln kann.
  • In einigen Ausführungsbeispielen kann die Nachricht in dem Code, der dem Lesegerät präsentiert wird, sowohl signiert als auch dann verschlüsselt werden. Eine Möglichkeit, diesen Ansatz umzusetzen, kann darin bestehen, sowohl den öffentlichen als auch den privaten Schlüssel verborgen zu halten. Es könnte jedoch nicht immer möglich sein, den öffentlichen Schlüssel geheim zu halten.
  • Alternativ können Ausführungsformen einen Ansatz umsetzen, der die Verwendung von zwei unterschiedlichen öffentlichen/privaten Schlüsselpaaren umfasst. Bei diesem alternativen Ansatz kann eines der Schlüsselpaare zum Signieren der Nachricht verwendet werden, und ein weiteres der Schlüsselpaare kann zum Verschlüsseln der signierten Nachricht verwendet werden. Beispielsweise kann das System einen privaten Schlüssel eines ersten Schlüsselpaars zum Signieren einer Nachricht verwenden, und das Air-Gap-System kann diese Signatur dann unter Verwendung des öffentlichen Schlüssels, der diesem privaten Schlüssel entspricht, authentifizieren. Zur Verschlüsselung kann das System den öffentlichen Schlüssel des zweiten Schlüsselpaars verwenden, um die digital signierte Nachricht zu verschlüsseln, und das Air-Gap-System kann den entsprechenden privaten Schlüssel des zweiten Schlüsselpaars verwenden, um die digital signierte Nachricht zu entschlüsseln.
  • C. Weitere Erörterung
  • Wie hierin offenbart, können Ausführungsbeispiele verschiedene nützliche Merkmale bereitstellen. Beispielsweise können einige Ausführungsformen die Fähigkeit haben, Befehle in einem Air-Gap-System aus der Ferne auszuführen. Bei Ausführungsformen kann eine optische Trennung verwendet werden und Nachrichten können kryptografisch gesichert werden, um Administratoren und Nutzern des Systems die Fähigkeit zu verleihen, mit der Air-Gap-Maschine zu kommunizieren, wobei die Integrität des Air Gaps aufrechterhalten wird.
  • D. Beispielhafte Verfahren
  • Es ist bezüglich des beispielhaften Verfahrens von 3 anzumerken, dass jeder bzw. jede oder jedes der offenbarten Prozesse, Operationen, Verfahren und/oder ein beliebiger Teil von beliebigen davon als Reaktion auf, als Ergebnis von und/oder auf Grundlage der Durchführung eines beliebigen vorhergehenden Prozesses (beliebiger vorhergehender Prozesse), beliebiger vorhergehender Verfahren und/oder beliebiger vorhergehender Operationen durchgeführt werden kann. Demgemäß kann beispielsweise die Durchführung eines oder mehrerer Prozesse ein Prädikat oder Auslöser für die nachfolgende Durchführung eines oder mehrerer zusätzlicher Prozesse, Operationen und/oder Verfahren sein. So können beispielsweise die verschiedenen Prozesse, die ein Verfahren bilden können, über Beziehungen wie die soeben angemerkten Beispiele miteinander verknüpft oder anderweitig miteinander verbunden werden. Obwohl es nicht erforderlich ist, werden die einzelnen Prozesse, welche die verschiedenen hierin offenbarten beispielhaften Verfahren bilden, in einigen Ausführungsformen schließlich in der spezifischen Reihenfolge durchgeführt, die in diesen Beispielen angegeben ist. In anderen Ausführungsformen können die einzelnen Prozesse, die ein offenbartes Verfahren bilden, in einer Reihenfolge durchgeführt werden, die anders als die angegebene spezifische Reihenfolge ist.
  • Nunmehr unter Bezugnahme auf 3 kann ein beispielhaftes Verfahren 300 von einem System, wie z.B. einem Verwaltungssystem, und einem Air-Gap-System, das nicht physisch mit dem Verwaltungssystem verbunden ist, gemeinsam durchgeführt werden. Außerdem ist das Air-Gap-System möglicherweise nicht physisch mit irgendeinem anderen System verbunden und kann ein Lesegerät umfassen, über welches das Air-Gap-System Mitteilungen vom Verwaltungssystem empfangen kann.
  • Das Verfahren 300 kann beginnen, wenn das Verwaltungssystem eine für das Air-Gap-System bestimmte Nachricht erstellt und signiert 302. Die Nachricht muss keinen bestimmten Inhalt haben. In einigen Ausführungsformen kann die Nachricht Anweisungen an das Air-Gap-System umfassen, einen oder mehrere bestimmte Befehle oder Operationen auszuführen. Eine Liste von autorisierten Befehlen kann sich in dem Air-Gap-System befinden oder anderweitig durch dieses zugänglich sein.
  • Nachdem die Nachricht signiert wurde 302, kann der Administrator die signierte Nachricht auch verschlüsseln 304. Der Administrator kann dann einen Code, der die signierte, verschlüsselte Nachricht enthält, generieren 306 und dem Air-Gap-System präsentieren. In einigen Ausführungsformen kann die Präsentation 306 des Codes das visuelle Anzeigen des Codes umfassen.
  • Unabhängig von den Medien oder der Methode, die eingesetzt wird, um den Code zu präsentieren 306, kann das Air-Gap-System den Code, der präsentiert wurde, dann lesen 307. In einigen Ausführungsformen kann das Lesen 307 mit einer Kamera erfolgen.
  • Nachdem der Code gelesen wurde 307, kann das Air-Gap-System dann die im Code enthaltene Nachricht entschlüsseln 309. Die entschlüsselte Nachricht kann eine vom Administrator hinzugefügte Signatur enthalten. Somit kann die Signatur durch das Air-Gap-System authentifiziert werden 311. Wenn die Authentifizierung erfolgreich ist, kann das Air-Gap-System dann alle Befehle ausführen 313, die (1) in der Nachricht enthalten waren und (2) in einer Liste von autorisierten Befehlen für das Air-Gap-System aufscheinen.
  • E. Weitere Ausführungsbeispiele
  • Es folgen einige weitere Ausführungsbeispiele der Erfindung. Diese werden rein beispielhaft dargestellt und sollen den Umfang der Erfindung keineswegs einschränken.
  • Ausführungsform 1. Verfahren, umfassend: Lesen eines von einem Steuersystem bereitgestellten Codes an einem Air-Gap-System, wobei der Code eine Nachricht umfasst, die Anweisungen vom Steuersystem an das Air-Gap-System enthält; Prüfen der Nachricht durch das Air-Gap-System, um zu bestimmen, ob die Nachricht einen Befehl enthält, der durch das Air-Gap-System ausführbar ist; und wenn die Nachricht einen durch das Air-Gap-System ausführbaren Befehl erkennt und der Befehl in einer Liste von autorisierten Befehlen enthalten ist, Ausführen des Befehls durch das Air-Gap-System.
  • Ausführungsform 2. Verfahren, wie in Ausführungsform 1 angegeben, wobei die Nachricht verschlüsselt wird und das Air-Gap-System die Nachricht entschlüsselt, um auf die Anweisungen zuzugreifen.
  • Ausführungsform 3. Verfahren, wie in einer der Ausführungsformen 1-2 angegeben, wobei die Nachricht durch das Steuersystem digital signiert wird und das Air-Gap-System eine digitale Signatur des Steuersystems authentifiziert, bevor irgendwelche Befehle ausgeführt werden, und keine Befehle vom Air-Gap-System ausgeführt werden, wenn die Authentifizierung fehlschlägt.
  • Ausführungsform 4. Verfahren, wie in einer der Ausführungsformen 1-3 angegeben, wobei zu keinem Zeitpunkt während der Durchführung des Verfahrens eine physische Verbindung zwischen dem Steuersystem und dem Air-Gap-System besteht.
  • Ausführungsform 5. Verfahren, wie in einer der Ausführungsformen 1-4 angegeben, wobei der Code ein visuell wahrnehmbarer Code ist, der von einer dem Air-Gap-System zugeordneten Kamera gelesen wird.
  • Ausführungsform 6. Verfahren, wie in einer der Ausführungsformen 1-5 angegeben, wobei das Verfahren sowohl vom Steuersystem digital signiert als auch vom Steuersystem verschlüsselt wird.
  • Ausführungsform 7. Verfahren, wie in einer der Ausführungsformen 1-6 angegeben, wobei der Code ein Code zur einmaligen Verwendung ist.
  • Ausführungsform 8. Verfahren, wie in einer der Ausführungsformen 1-7 angegeben, wobei der Code nur gültig ist, um das Air-Gap-System während eines bestimmten Zeitraums anzuweisen.
  • Ausführungsform 9. Verfahren, wie in einer der Ausführungsformen 1-8 angegeben, wobei die Nachricht digital signiert und verschlüsselt wird, wobei entsprechende Sätze öffentlicher/privater Schlüssel verwendet werden.
  • Ausführungsform 10. Verfahren, wie in Ausführungsform 9 angegeben, wobei das Air-Gap-System Folgendes enthält: einen öffentlichen Schlüssel des öffentlich-privaten Schlüsselpaars, der zum digitalen Signieren der Nachricht verwendet wird; und einen privaten Schlüssel des öffentlich-privaten Schlüsselpaars, der zum Verschlüsseln der Nachricht verwendet wird.
  • Ausführungsform 11. System, umfassend Hardware und/oder Software zum Ausführen beliebiger der hierin offenbarten Operationen, Verfahren oder Prozesse oder eines beliebigen Teils davon.
  • Ausführungsform 12. Nicht-transitorisches Speichermedium mit darin gespeicherten Anweisungen, die durch einen oder mehrere Hardwareprozessoren ausführbar sind, um Operationen durchzuführen, welche die Operationen einer oder mehrerer der Ausführungsformen 1-10 umfassen.
  • F. Beispielhafte Rechenvorrichtungen und zugehörige Medien
  • Die hierin offenbarten Ausführungsformen können die Verwendung eines Spezial- oder Allzweckcomputers umfassen, der verschiedene Computer-Hardware- oder Softwaremodule enthält, wie es nachstehend ausführlicher erörtert wird. Ein Computer kann einen Prozessor und Computerspeichermedien umfassen, die Anweisungen tragen, welche, wenn sie von dem Prozessor ausgeführt werden und/oder ihre Ausführung durch den Prozessor bewirkt wird, eines oder mehrere der hierin offenbarten Verfahren oder einen beliebigen Teil (beliebige Teile) jedes offenbarten Verfahrens ausführen.
  • Wie obenstehend angegeben, umfassen Ausführungsformen innerhalb des Umfangs der vorliegenden Erfindung auch Computerspeichermedien, wobei es sich um physische Medien zum Tragen oder Speichern von computerausführbaren Anweisungen oder Datenstrukturen handelt. Solche Computerspeichermedien können beliebige verfügbare physische Medien sein, auf die ein Allzweck- oder Spezialcomputer zugreifen kann.
  • Als Beispiel und nicht einschränkend können solche Computerspeichermedien Hardwarespeicher umfassen, wie z.B. Solid State Disk/Device (SSD), RAM, ROM, EEPROM, CD-ROM, Flash-Speicher, Phasenwechselspeicher („PCM“) oder andere optische Plattenspeicher, Magnetplattenspeicher oder andere magnetische Speichervorrichtungen oder beliebige andere Hardware-Speichervorrichtungen, die zum Speichern von Programmcode in Form von computerausführbaren Anweisungen oder Datenstrukturen verwendet werden können, auf die ein Allzweck- oder Spezialcomputersystem zugreifen kann und die von einem solchen ausgeführt werden können, um die offenbarte Funktionalität der Erfindung umzusetzen. Kombinationen des Obengenannten sollten ebenfalls im Umfang von Computerspeichermedien enthalten sein. Solche Medien sind auch Beispiele für nicht-transitorische Speichermedien, und nicht-transitorische Speichermedien umfassen auch Cloud-basierte Speichersysteme und -strukturen, obwohl der Umfang der Erfindung nicht auf diese Beispiele von nicht-transitorischen Speichermedien beschränkt ist.
  • Computerausführbare Anweisungen umfassen zum Beispiel Anweisungen und Daten, die bei ihrer Ausführung einen Allzweckcomputer, einen Spezialcomputer oder eine Spezialverarbeitungsvorrichtung veranlassen, eine bestimmte Funktion oder Gruppe von Funktionen auszuführen. An sich können einige Ausführungsformen der Erfindung auf ein oder mehrere Systeme oder Geräte herunterladbar sein, beispielsweise von einer Website, Mesh-Topologie oder anderen Quelle. Außerdem umfasst der Umfang der Erfindung jedes Hardwaresystem oder -gerät, das eine Instanz einer Anwendung umfasst, welche die offenbarten ausführbaren Anweisungen umfasst.
  • Obwohl der Gegenstand in einer Sprache beschrieben wurde, die für strukturelle Merkmale und/oder methodische Handlungen spezifisch ist, versteht es sich, dass der in den beigefügten Ansprüchen definierte Gegenstand nicht zwangsläufig auf die obenstehend beschriebenen spezifischen Merkmale oder Handlungen beschränkt ist. Vielmehr werden die hierin offenbarten spezifischen Merkmale und Handlungen als beispielhafte Formen der Umsetzung der Ansprüche offenbart.
  • Wie hierin verwendet, kann sich der Begriff „Modul“ oder „Komponente“ auf Softwareobjekte oder -routinen beziehen, die auf dem Computersystem ablaufen. Die verschiedenen hierin beschriebenen Komponenten, Module, Maschinen und Dienste können als Objekte oder Prozesse implementiert werden, die auf dem Computersystem beispielsweise als separate Threads ablaufen. Während das hierin beschriebene System und die hierin beschriebenen Verfahren in Software implementiert werden können, sind Implementierungen in Hardware oder einer Kombination aus Software und Hardware ebenfalls möglich und werden in Erwägung gezogen. In der vorliegenden Offenbarung kann eine „Computereinheit“ ein beliebiges Computersystem, wie zuvor hierin definiert, oder ein beliebiges Modul oder eine beliebige Kombination von Modulen sein, die auf einem Computersystem ablaufen.
  • Zumindest in manchen Fällen wird ein Hardwareprozessor bereitgestellt, der betriebsfähig ist, um ausführbare Anweisungen zum Durchführen eines Verfahrens oder Prozesses, wie z.B. der hierin offenbarten Verfahren und Prozesse, auszuführen. Der Hardwareprozessor kann ein Element einer anderen Hardware umfassen oder auch nicht, wie z.B. die hierin offenbarten Rechenvorrichtungen und -systeme.
  • In Bezug auf Computerumgebungen können Ausführungsformen der Erfindung in Client-Server-Umgebungen, egal ob Netzwerk- oder lokale Umgebungen, oder in jeder anderen geeigneten Umgebung ausgeführt werden. Geeignete Betriebsumgebungen für zumindest einige Ausführungsformen der Erfindung umfassen Cloud-Computerumgebungen, in denen eines oder mehrere von einem Client, Server oder einer anderen Maschine in einer Cloud-Umgebung liegen und arbeiten kann bzw. können.
  • Nunmehr kurz auf 4 bezugnehmend kann jede oder können mehrere der Entitäten, die durch die 1-3 und/oder an anderer Stelle hierin offenbart oder angedeutet sind, die Form einer physischen Rechenvorrichtung annehmen oder eine solche einschließen oder auf einer solchen implementiert werden oder durch eine solche gehostet werden, wobei ein Beispiel hierfür mit 400 bezeichnet ist. Wenn eines der obengenannten Elemente eine virtuelle Maschine (VM) umfasst oder daraus besteht, kann diese VM ebenso eine Virtualisierung einer beliebigen Kombination der in 4 offenbarten physischen Komponenten darstellen.
  • Im Beispiel von 4 umfasst die physische Rechenvorrichtung 400 einen Speicher 402, der einen, einige oder alle von einem Direktzugriffsspeicher (RAM), einem nichtflüchtigen Speicher (NVM) 404, wie z.B. NVRAM, einem Nur-Lese-Speicher (ROM) und einem Dauerspeicher, einen oder mehrere Hardwareprozessoren 406, nicht-transitorische Speichermedien 408, eine Benutzerschnittstellenvorrichtung 410 und einen Datenspeicher 412 umfassen kann. Eine oder mehrere der Speicherkomponenten 402 der physischen Rechenvorrichtung 400 kann bzw. können die Form eines Solid-State-Device-Speichers (SSD-Speichers) annehmen. Außerdem kann eine oder können mehrere Anwendungen 414 bereitgestellt werden, die Anweisungen umfassen, welche durch einen oder mehrere Hardwareprozessoren 406 ausführbar sind, um beliebige der hierin offenbarten Operationen oder Teile davon auszuführen.
  • Derartige ausführbare Anweisungen können verschiedene Formen annehmen, einschließlich beispielsweise Anweisungen, die ausführbar sind, um ein beliebiges hierin offenbartes Verfahren oder einen Teil davon auszuführen, und/oder die von/an einem beliebigen von einem Speicherort, sei es vor Ort bei einem Unternehmen, oder einem Cloud-Rechenstandort, einem Client, einem Datenzentrum, einem Datenschutzstandort, einschließlich eines Cloud-Speicherorts, oder einem Sicherungsserver ausführbar sind, um eine der hierin offenbarten Funktionen auszuführen. Ebenso können solche Anweisungen ausführbar sein, um beliebige der anderen hierin offenbarten Operationen und Verfahren sowie beliebige Teile davon auszuführen.
  • Die vorliegende Erfindung kann in anderen spezifischen Formen ausgeführt werden, ohne von ihrem Geist oder ihren wesentlichen Eigenschaften abzuweichen. Die beschriebenen Ausführungsformen sind in jeder Hinsicht nur als veranschaulichend und nicht als einschränkend zu betrachten. Der Umfang der Erfindung wird daher eher durch die beigefügten Ansprüche als durch die vorstehende Beschreibung angegeben. Alle Änderungen, die im Sinne und im Bereich der Äquivalenz der Ansprüche liegen, sollen in deren Umfang aufgenommen werden.

Claims (20)

  1. Verfahren, umfassend: Lesen eines von einem Steuersystem bereitgestellten Codes an einem Air-Gap-System, wobei der Code eine Nachricht umfasst, die Anweisungen vom Steuersystem an das Air-Gap-System enthält; Prüfen der Nachricht durch das Air-Gap-System, um zu bestimmen, ob die Nachricht einen Befehl enthält, der durch das Air-Gap-System ausführbar ist; und wenn die Nachricht einen durch das Air-Gap-System ausführbaren Befehl erkennt und der Befehl in einer Liste von autorisierten Befehlen enthalten ist, Ausführen des Befehls durch das Air-Gap-System.
  2. Verfahren, wie in Anspruch 1 angegeben, wobei die Nachricht verschlüsselt wird und das Air-Gap-System die Nachricht entschlüsselt, um auf die Anweisungen zuzugreifen.
  3. Verfahren, wie in Anspruch 1 angegeben, wobei die Nachricht durch das Steuersystem digital signiert wird und das Air-Gap-System eine digitale Signatur des Steuersystems authentifiziert, bevor irgendwelche Befehle ausgeführt werden, und keine Befehle vom Air-Gap-System ausgeführt werden, wenn die Authentifizierung fehlschlägt.
  4. Verfahren, wie in Anspruch 1 angegeben, wobei zu keinem Zeitpunkt während der Durchführung des Verfahrens eine physische Verbindung zwischen dem Steuersystem und dem Air-Gap-System besteht.
  5. Verfahren, wie in Anspruch 1 angegeben, wobei der Code ein visuell wahrnehmbarer Code ist, der von einer dem Air-Gap-System zugeordneten Kamera gelesen wird.
  6. Verfahren, wie in Anspruch 1 angegeben, wobei das Verfahren sowohl vom Steuersystem digital signiert als auch vom Steuersystem verschlüsselt wird.
  7. Verfahren, wie in Anspruch 1 angegeben, wobei der Code ein Code zur einmaligen Verwendung ist.
  8. Verfahren, wie in Anspruch 1 angegeben, wobei der Code nur gültig ist, um das Air-Gap-System während eines bestimmten Zeitraums anzuweisen.
  9. Verfahren, wie in Anspruch 1 angegeben, wobei die Nachricht digital signiert und verschlüsselt wird, wobei entsprechende Sätze öffentlicher/privater Schlüssel verwendet werden.
  10. Verfahren, wie in Anspruch 9 angegeben, wobei das Air-Gap-System Folgendes enthält: einen öffentlichen Schlüssel des öffentlich-privaten Schlüsselpaars, der zum digitalen Signieren der Nachricht verwendet wird; und einen privaten Schlüssel des öffentlich-privaten Schlüsselpaars, der zum Verschlüsseln der Nachricht verwendet wird.
  11. Nicht-transitorisches Speichermedium mit darin gespeicherten Anweisungen, die durch einen oder mehrere Hardwareprozessoren ausführbar sind, um Operationen durchzuführen, umfassend: Lesen eines von einem Steuersystem bereitgestellten Codes an einem Air-Gap-System, wobei der Code eine Nachricht umfasst, die Anweisungen vom Steuersystem an das Air-Gap-System enthält; Prüfen der Nachricht durch das Air-Gap-System, um zu bestimmen, ob die Nachricht einen Befehl enthält, der durch das Air-Gap-System ausführbar ist; und wenn die Nachricht einen durch das Air-Gap-System ausführbaren Befehl erkennt und der Befehl in einer Liste von autorisierten Befehlen enthalten ist, Ausführen des Befehls durch das Air-Gap-System.
  12. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei die Nachricht verschlüsselt wird und das Air-Gap-System die Nachricht entschlüsselt, um auf die Anweisungen zuzugreifen.
  13. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei die Nachricht durch das Steuersystem digital signiert wird und das Air-Gap-System eine digitale Signatur des Steuersystems authentifiziert, bevor irgendwelche Befehle ausgeführt werden, und keine Befehle vom Air-Gap-System ausgeführt werden, wenn die Authentifizierung fehlschlägt.
  14. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei zu keinem Zeitpunkt während der Durchführung des nicht-transitorischen Speichermediums eine physische Verbindung zwischen dem Steuersystem und dem Air-Gap-System besteht.
  15. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei der Code ein visuell wahrnehmbarer Code ist, der von einer dem Air-Gap-System zugeordneten Kamera gelesen wird.
  16. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei das nicht-transitorische Speichermedium sowohl vom Steuersystem digital signiert als auch vom Steuersystem verschlüsselt wird.
  17. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei der Code ein Code zur einmaligen Verwendung ist.
  18. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei der Code nur gültig ist, um das Air-Gap-System während eines bestimmten Zeitraums anzuweisen.
  19. Nicht-transitorisches Speichermedium, wie in Anspruch 11 angegeben, wobei die Nachricht digital signiert und verschlüsselt wird, wobei entsprechende Sätze öffentlicher/privater Schlüssel verwendet werden.
  20. Nicht-transitorisches Speichermedium, wie in Anspruch 19 angegeben, wobei das Air-Gap-System Folgendes enthält: einen öffentlichen Schlüssel des öffentlich-privaten Schlüsselpaars, der zum digitalen Signieren der Nachricht verwendet wird; und einen privaten Schlüssel des öffentlich-privaten Schlüsselpaars, der zum Verschlüsseln der Nachricht verwendet wird.
DE102023101050.6A 2022-01-21 2023-01-17 Fernbefehlsausführung über ein air-gap-gesichertes system Pending DE102023101050A1 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US17/648,630 2022-01-21
US17/648,630 US20230237199A1 (en) 2022-01-21 2022-01-21 Remote command execution over an air-gap secured system

Publications (1)

Publication Number Publication Date
DE102023101050A1 true DE102023101050A1 (de) 2023-07-27

Family

ID=87068585

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102023101050.6A Pending DE102023101050A1 (de) 2022-01-21 2023-01-17 Fernbefehlsausführung über ein air-gap-gesichertes system

Country Status (3)

Country Link
US (1) US20230237199A1 (de)
CN (1) CN116483439A (de)
DE (1) DE102023101050A1 (de)

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7240201B2 (en) * 2003-08-01 2007-07-03 Hewlett-Packard Development Company, L.P. Method and apparatus to provide secure communication between systems
FR3080692B1 (fr) * 2018-04-25 2021-07-30 Univ Grenoble Alpes Systeme de securisation de procede cyber-physique
US11792184B2 (en) * 2019-12-05 2023-10-17 Microsoft Technology Licensing, Llc Autopilot re-enrollment of managed devices
US11032131B1 (en) * 2020-05-27 2021-06-08 Roberto Franceschetti Methods and systems for communication with air gapped computer systems

Also Published As

Publication number Publication date
US20230237199A1 (en) 2023-07-27
CN116483439A (zh) 2023-07-25

Similar Documents

Publication Publication Date Title
CN111130757B (zh) 一种基于区块链的多云cp-abe访问控制方法
DE60211841T2 (de) Vorrichtung zur Aktualisierung und zum Entzug der Gültigkeit einer Marke in einer Infrastruktur mit öffentlichen Schlüsseln
EP2533172B2 (de) Gesicherter Zugriff auf Daten in einem Gerät
DE102009024604B4 (de) Erzeugung eines Session-Schlüssels zur Authentisierung und sicheren Datenübertragung
CN107770159B (zh) 车辆事故数据记录方法及相关装置、可读存储介质
DE69724235T2 (de) Computersystem und Verfahren zum Schutz von Software
DE19827659B4 (de) System und Verfahren zum Speichern von Daten und zum Schützen der Daten gegen einen nichtauthorisierten Zugriff
EP2765752B1 (de) Verfahren zum versehen eines mobilen endgeräts mit einem authentisierungszertifikat
DE112011100182T5 (de) Transaktionsprüfung für Datensicherheitsvorrichtungen
DE102017205948A1 (de) Nachrichtenauthentifizierung mit sicherer Codeverifikation
WO2015187640A2 (en) System and method for secure review of audit logs
DE112020000269T5 (de) Ferngewährung des zugangs zu einer gesperrten datenspeichervorrichtung
EP2810400B1 (de) Kryptographisches authentifizierungs - und identifikationsverfahren mit realzeitverschlüsselung
DE112008001436T5 (de) Sichere Kommunikation
DE112008003931T5 (de) Systeme und Verfahren für Datensicherheit
DE112015002927B4 (de) Generierung und Verwaltung geheimer Chiffrierschlüssel auf Kennwortgrundlage
DE102016112552A1 (de) Datenchiffrierung und -dechiffrierung auf der Grundlage einer Vorrichtungs- und Datenauthentifizierung
DE112019001441T5 (de) Vergessliche pseudozufallsfunktion in einem schlüsselverwaltungssystem
DE10233297A1 (de) Vorrichtung zur digitalen Signatur eines elektronischen Dokuments
DE112022002623T5 (de) Vertrauenswürdige und dezentrale aggregation für föderiertes lernen
WO2019199813A2 (en) Managed high integrity blockchain and blockchain communications that utilize containers
DE112020000234T5 (de) Drahtlos-sicherheitsprotokoll
CN112989320B (zh) 一种用于密码设备的用户状态管理系统及方法
EP3206154B1 (de) Verfahren und vorrichtungen zum sicheren übermitteln von nutzdaten
DE102017006200A1 (de) Verfahren, Hardware und System zur dynamischen Datenübertragung an ein Blockchain Rechner Netzwerk zur Abspeicherung Persönlicher Daten um diese Teils wieder Blockweise als Grundlage zur End zu Endverschlüsselung verwendet werden um den Prozess der Datensammlung über das Datenübertragungsmodul weitere Daten in Echtzeit von Sensoreinheiten dynamisch aktualisiert werden. Die Blockmodule auf dem Blockchaindatenbanksystem sind unbegrenzt erweiterbar.