suro/aza
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

Initial commit

Browse Source
This commit is contained in:
suro
2026-03-25 13:42:48 +01:00
commit d6b31e2ef7
2802 changed files with 515196 additions and 0 deletions
Download Patch File Download Diff File Expand all files Collapse all files

70
backup 24.2.26 - Kopie (61)/security/handovers/STEP_02_SUMMARY.md Normal file
View File

@@ -0,0 +1,70 @@
# STEP 2 TECHNISCHE ZERLEGUNG VON HIN
# Status: ABGESCHLOSSEN
---
## Was gemacht wurde
Analyse der HIN-Dokumente aus /security/reference/hin_docs/.
Strukturierte Extraktion des HIN Security Stacks in 5 Bereiche.
## Ergebnis (Kurzfassung)
### 1. Transport
- TLS: optional, nicht erzwungen
- S/MIME ist primärer Transportschutz (Legacy)
- Wireguard für Stargate (neue Generation)
- SCION für SSHN-Netzwerk
- TLS-Version, Cipher Suites, PFS: NICHT BELEGT
### 2. Netzwerk
- Geschlossener Vertrauensraum (Gated Community)
- SCION/SSHN mit Schweizer-only Routing
- DDoS-Schutz durch Architektur
- 1 Instanz pro Organisation (Segmentierung)
- Zero Trust, IP-Whitelisting: NICHT BELEGT
### 3. PKI
- Eigene CA: "HIN MGW Issuing CA 2022"
- RSA 4096-bit, SHA256withRSA
- Domain-Zertifikate (10 Jahre Gültigkeit)
- SSHN-Zertifikate (72h Gültigkeit)
- Zentrale Verteilung, geschlossenes System
- Hardware-Token, Smartcard: NICHT BELEGT
### 4. Authentifizierung
- 2FA in drei Varianten (Client, Gateway, Mobil)
- Identitätsprüfung via Videoidentifikation
- SSO für HIN-geschützte Anwendungen
- eID-Typen: Persönlich, Organisation, Team
- SAML/OAuth/OIDC: NICHT BELEGT
### 5. Mail
- S/MIME Gateway-zu-Gateway (nicht Ende-zu-Ende)
- Domain-Zertifikate, automatische Verschlüsselung
- HIN Mail Global: GINA/SEPPMail, SMS-Auth, 30 Tage
- Betreffzeile bei HIN Mail Global: UNVERSCHLÜSSELT
- Backend: SEPPMail-Appliance, Zimbra (IMAP)
## Was geändert wurde
Keine Dateien geändert. Analyse wurde im Chat ausgegeben.
## Offene Punkte
1. TLS-Version, Cipher Suites, PFS nicht dokumentiert
2. mTLS unklar
3. SSO-Protokoll (SAML/OAuth/OIDC) nicht dokumentiert
4. Hardware-Token / Smartcard nicht dokumentiert
5. Client-Zertifikate vs. Software-Token nicht spezifiziert
6. Zero Trust Modell nicht explizit
7. Post-Quanten-Kryptografie nur "vorbereitet", keine Details
8. Wireguard-Konfiguration keine Details
9. Ende-zu-Ende Option nicht dokumentiert
10. IP-Whitelisting nicht dokumentiert
## Risiken
- 10 von 20+ technischen Parametern sind in öffentlichen Quellen NICHT BELEGT
- Gap-Analyse wird in diesen Bereichen auf konservative Annahmen angewiesen sein
- Ohne offizielle HIN-Dokumentation bleiben diese Lücken bestehen