# STEP 2 – TECHNISCHE ZERLEGUNG VON HIN
# Status: ABGESCHLOSSEN

---

## Was gemacht wurde

Analyse der HIN-Dokumente aus /security/reference/hin_docs/.
Strukturierte Extraktion des HIN Security Stacks in 5 Bereiche.

## Ergebnis (Kurzfassung)

### 1. Transport
- TLS: optional, nicht erzwungen
- S/MIME ist primärer Transportschutz (Legacy)
- Wireguard für Stargate (neue Generation)
- SCION für SSHN-Netzwerk
- TLS-Version, Cipher Suites, PFS: NICHT BELEGT

### 2. Netzwerk
- Geschlossener Vertrauensraum (Gated Community)
- SCION/SSHN mit Schweizer-only Routing
- DDoS-Schutz durch Architektur
- 1 Instanz pro Organisation (Segmentierung)
- Zero Trust, IP-Whitelisting: NICHT BELEGT

### 3. PKI
- Eigene CA: "HIN MGW Issuing CA 2022"
- RSA 4096-bit, SHA256withRSA
- Domain-Zertifikate (10 Jahre Gültigkeit)
- SSHN-Zertifikate (72h Gültigkeit)
- Zentrale Verteilung, geschlossenes System
- Hardware-Token, Smartcard: NICHT BELEGT

### 4. Authentifizierung
- 2FA in drei Varianten (Client, Gateway, Mobil)
- Identitätsprüfung via Videoidentifikation
- SSO für HIN-geschützte Anwendungen
- eID-Typen: Persönlich, Organisation, Team
- SAML/OAuth/OIDC: NICHT BELEGT

### 5. Mail
- S/MIME Gateway-zu-Gateway (nicht Ende-zu-Ende)
- Domain-Zertifikate, automatische Verschlüsselung
- HIN Mail Global: GINA/SEPPMail, SMS-Auth, 30 Tage
- Betreffzeile bei HIN Mail Global: UNVERSCHLÜSSELT
- Backend: SEPPMail-Appliance, Zimbra (IMAP)

## Was geändert wurde

Keine Dateien geändert. Analyse wurde im Chat ausgegeben.

## Offene Punkte

1. TLS-Version, Cipher Suites, PFS – nicht dokumentiert
2. mTLS – unklar
3. SSO-Protokoll (SAML/OAuth/OIDC) – nicht dokumentiert
4. Hardware-Token / Smartcard – nicht dokumentiert
5. Client-Zertifikate vs. Software-Token – nicht spezifiziert
6. Zero Trust Modell – nicht explizit
7. Post-Quanten-Kryptografie – nur "vorbereitet", keine Details
8. Wireguard-Konfiguration – keine Details
9. Ende-zu-Ende Option – nicht dokumentiert
10. IP-Whitelisting – nicht dokumentiert

## Risiken

- 10 von 20+ technischen Parametern sind in öffentlichen Quellen NICHT BELEGT
- Gap-Analyse wird in diesen Bereichen auf konservative Annahmen angewiesen sein
- Ohne offizielle HIN-Dokumentation bleiben diese Lücken bestehen