HS256 S3 - Externe Festplatte Digittrade - Kostenlose Bedienungsanleitung

BEDIENUNGSANLEITUNG HS256 S3 Digittrade

für Unternehmen und Behörden for enterprise and government use

BITTE LESEN SIE DIE ANLEITUNG SORGFÄLTIG UND FOLGEN SIE DEN ANWEISUNGEN.

EINE FEHLERHAFTE BEDIENUNG KANN ZU SCHÄDEN AN DER DIGITTRADE HIGH SECURITY HS256 S3 (EXTERNE VERSCHLÜSSELTE HDD/SSD) SOWIE ZU DATENVERLUSTEN FÜHREN.

STELLEN SIE SICHER, DASS DIE VERSIEGELUNG UND DIE SICHERHEITSVERPACKUNG DES PRODUKTES NICHT BESCHÄDIGT WURDEN. ACHTEN SIE DABEI BESONDERS AUF DEN SICHERHEITSSCHRIFTZUG „DIGITTRADE SECURITY“ AN DEN SEITEN DER SICHERHEITSVERPACKUNG (SIEHE KAPITEL 1.8).

Die digitale Fassung des Handbuchs kann auf www.digittrade.de im Download-Center heruntergeladen werden.

Produktversion: DIGITTRADE High Security HS256 S3

(encrypted HDD/SSD) Version 1.0

Benutzerhandbuch Version: 1.8 (24.04.2017)

Inhaltsverzeichnis

1. Über die DIGITTRADE HS256 S3 4

1.1 Verschlüsselung 5

1.2 Zugriffskontrolle 5

1.3 Verwaltung der kryptografischen Schlüssel 6

1.4 Die Smartcard 6

1.5 Weitere Features 7

1.6 Die wichtigsten Eigenschaften im Überblick 7

1.7 Vorteile der DIGITTRADE HS256 S3 8

1.8 Sicherheitsverpackung und Versiegelungen 8

1. Eingabeoberfläche und USB-Anschluss 10

2. Inbetriebnahme der HS256 S3 11

3.1 Einlegen der Smartcard 11

3.2 Eingabe der Smartcard-PIN 12

3.3 Ändern der Smartcard-PIN 13

1. Verwaltung der kryptografischen Schlüssel mit Hilfe der Smartcard 15

4.1 Erstellen kryptografischer Schlüssel 15

4.2 Zerstören kryptografischer Schlüssel 16

1. Geräte-PIN-Funktionen 18

5.1 Ändern der Geräte-PIN 18

5.2 Aktivieren/Deaktivieren des Lock-Out Modus 19

(Geräte-PIN erforderlich)

5.3 Kopieren von kryptografischen Schlüsseln 21

(Geräte-PIN erforderlich)

5.4 Initialisieren einer neuen Smartcard 22

(Geräte-PIN erforderlich)

1. Initialisierung/Partitionierung/Formatierung unter Windows 23

2. Initialisierung/Partitionierung/Formatierung unter MAC OS X 30

3. Initialisierung/Partitionierung/Formatierung unter Linux 32

4. Das richtige Dateisystem 35

5. Anwendungsmöglichkeiten der DIGITTRADE HS256 S3 36

6. Technische Spezifikationen 41

7. Fehlersuche 42

8. Datensicherheit und Haftungsausschluss 44

9. Datenschutzgerechter Umgang mit der HS256 S3 44

10. Sicheres Beenden nach Benutzung der HS256 S3 46

11. Aufbewahrung der Smartcard 47

12. Lieferumfang 48

13. Hinweis zum Schutz und Erhalt der Umwelt 48

14. Schematische Funktionsübersicht 49

1. Über die DIGITTRADE HS256 S3

Die externe Festplatte DIGITTRADE High Security HS256 S3 (externe verschlüsselte HDD/SSD) ermöglicht die datenschutzgerechte Speicherung und Aufbewahrung sowie den sicheren Transport der Geschäfts- und Privatdaten. Sie ist aufgrund ihrer Sicherheitsfunktionen eine der sichersten Möglichkeiten Daten mobil zu speichern.

Die auf der HS256 S3 gespeicherten Daten sind in Hinblick auf die Vertraulichkeit der Informationen vor unbefugten Zugriffen geschützt, etwa wenn die HS256 S3 verloren, verlegt oder entwendet wird sowie auch bei logischen oder physikalischen Angriffen auf diese.

Die DIGITTRADE HS256 S3 wird in einem komplett voreingestelltem Zustand geliefert und kann sofort verwendet werden. In der BSI-zertifizierten Konfiguration darf der Nutzer diese Festplatte jedoch erst in Betrieb nehmen, nachdem er zuvor die Smartcard PIN geändert, den Schlüssel auf der Smartcard selbst generiert und die Initialisierung der Smartcard durchgeführt hat.

Um die Sicherheitseigenschaften dieser Festplatte in vollem Umfang und innerhalb des Geltungsbereichs der BSI-Zertifizierung zu nutzen, sind zudem folgende Schritte erforderlich:

• Gewährleisten Sie, dass an Ihrem Host-System ein angemessener Schutz für alle aus dem geschützten Speicherbereich der DIGITTRADE HS256 S3 abgerufenen Daten besteht
• Sorgen Sie dafür, dass keine Malware auf die Festplatte übertragen werden kann
• Überprüfen Sie nach Erhalt der Festplatte die Sicherheitsverpackung (Kapitel 1.8)
• Überprüfen Sie den Umfang, die Vollständigkeit und die Richtigkeit der Lieferung (Kapitel 17)
• Überprüfen Sie nach der Erstanmeldung die Funktionen der Festplatte (Kapitel 3)
• Ändern Sie die Smartcard-PIN (Kapitel 3.3)
• Ändern Sie die Geräte-PIN (Kapitel 5.1)
• Erzeugen Sie zwei neue Kryptoschlüssel (Kapitel 4.1)
• Initialisieren Sie die Smartcard mit den neuen Kryptoschlüsseln auf die Festplatte und formatieren Sie diese anschließend im gewünschten Format (Kapitel 5.4, 6-9)
• Kopieren Sie die Kryptoschlüssel auf andere erhaltene Smartcards (Kapitel 5.3)
• Überprüfen Sie, ob die Anmeldung mit allen Smartcards möglich ist
• Vergewissern Sie sich fortlaufend, dass der Lock-Out Modus aktiviert ist (Kapitel 5.2)
• Für die wirksame Zerstörung eines Kryptoschlüssel ist das Löschen des Schlüssels auf allen Smartcards, die diesen speichern, notwendig. Alternativ dazu wird die
  Festplatte mit einem neuen Kryptoschlüssel vollständig überschrieben. (Kapitel 4.2)
• Behandeln Sie Ihre Authentifizierungsdaten vertraulich

- Der Verschlüsselungsschlüssel der Smartcard darf immer nur mit einer Festplatte verwendet werden

Eine ausführliche Beschreibung der oben genannten Schritte finden Sie in diesem Benutzerhandbuch in den entsprechenden Kapiteln.

Auf der Rückseite der Festplatte befinden sich der Typ, die Version sowie die Seriennummer der jeweiligen Festplatte. Da die Festplatte nicht updatefähig ist, sind diese Angaben für die Feststellung der Festplattenversion ausreichend.

Die DIGITTRADE HS256 S3 gewährleistet die Vertraulichkeit der Daten durch folgende Sicherheitsmechanismen:

• Verschlüsselung
• Zugriffskontrolle
• Verwaltung der kryptografischen Schlüssel

1.1 Verschlüsselung

- 256-Bit AES Full-Disk-Verschlüsselung im XTS-Modus

Das im Sicherheitsgehäuse integrierte Verschlüsselungsmodul führt eine komplette Verschlüsselung der Festplatte/SSD durch. Jedes gespeicherte Byte und jeder beschriebene Sektor auf der Festplatte/SSD werden nach 256-Bit AES (Advanced Encryption Standard) im XTS-Modus mittels zwei kryptografischer Schlüsseln mit jeweils 256-Bit verschlüsselt. Die DIGITTRADE HS256 S3 verschlüsselt außerdem temporäre Dateien und Bereiche, die von der Verschlüsselungssoftware oft unbeachtet bleiben.

1.2 Zugriffskontrolle

Die Zugriffskontrolle erfolgt nach dem Prinzip „Besitzen und Wissen“:

Der Nutzer muss für den Zugriff auf die Daten eine passende Smartcard besitzen und die richtige 8-stellige Smartcard-PIN kennen.

Die Smartcard wird automatisch gesperrt und unbrauchbar, sobald die 8-stellige PIN acht Mal falsch eingegeben wurde. Die kryptografischen Schlüssel auf der Smartcard werden dabei unwiderruflich zerstört.

1.3 Verwaltung der kryptografischen Schlüssel

Mit Hilfe der Smartcard-PIN können die kryptografischen Schlüssel auf der Smartcard erstellt, geändert und zerstört werden (siehe Kapitel 4). Die Geräte-PIN ermöglicht die kryptografischen Schlüssel auf eine andere Smartcard zu kopieren, neue Smartcards auf der HS256 S3 zu initialisieren und den Lock-Out Modus zu verwalten. Hinweise dazu finden Sie in Kapitel 5.

Das Wissen über die Smartcard-PIN und die Geräte-PIN kann für bestimmte Anwendungsszenarien unter zwei Personen aufgeteilt werden, sodass eine Person nur die Smartcard-PIN und eine zweite Person nur die Geräte-PIN kennt. Besteht nur Kenntnis über die Geräte-PIN, ist kein Zugriff auf die Daten möglich.

Die beiden für die Ver- und Entschlüsselung notwenigen kryptografischen Schlüssel werden auf der Smartcard erstellt sowie verschlüsselt gespeichert. Damit besteht eine physische Trennung zwischen den verschlüsselten Daten und den kryptografischen Schlüsseln. Ein Auslesen dieser aus der DIGITTRADE HS256 S3 ist dadurch unmöglich.

Die kryptografischen Schlüssel werden nach korrekter Eingabe der Smartcard-PIN für die Ver- und Entschlüsselung der Daten an das Verschlüsselungsmodul der HS256 S3 übertragen. Es ergeben sich aus der externen Speicherung des Schlüsselpaares eine Vielzahl von Anwendungsmöglichkeiten, die in Kapitel 10 exemplarisch beschrieben werden.

1.4 Die Smartcard

Serienmäßig wird die Festplatte mit zwei Java-basierten und nach Common Criteria EAL5 zertifizierten Smartcards (NXP J2E081_M64 R3, CC EAL 5) ausgeliefert. Für die Benutzung gemäß BSI-Zertifizierung sind nur diese NXP Smartcards zugelassen. Sie werden in den folgenden Kapiteln als „die Smartcard“ bezeichnet.

Diese Smartcards ermöglichen das Erstellen, Kopieren, Ändern und Zerstören der kryptografischen Schlüssel. Die Schlüsselverwaltung erfolgt auf der Smartcard unabhängig von einem PC mit Unterstützung des DIGITTRADE HS256 S3 Applets.

Für die Anmeldung an der Festplatte verfügen beide Smartcards bei der Lieferung über die gleichen Krypto-Schlüssel. Die Smartcard-PIN kann für jede Smartcard unterschiedlich gewählt werden.

Auf der Vorderseite der Smartcard sind der Typ und die Seriennummer der jeweiligen Smartcard aufgetragen. Die Version der Festplatte HS256 S3 befindet sich auf der Rückseite.

Die zugelassenen Smartcards können bei DIGITTRADE zusätzlich bestellt werden. Diese werden ohne kryptografische Schlüssel ausgeliefert und besitzen die werkseitig voreingestellte PIN (siehe Kapitel 3.2). Zur Inbetriebnahme beachten Sie bitte die Kapitel 4.1, 5.3 und 5.4.

Warnung: Wird eine ungültige oder defekte Smartcard in den zugehörigen Steckplatz eingesteckt, blinkt die „ERROR“-LED drei mal kurz und leuchtet dann dauerhaft rot. Sollte dieses Problem auftreten bzw. die Smartcard während der einzelnen Vorgänge sich ungewöhnlich verhalten oder Defekte aufzeigen, wenden Sie sich bitte an DIGITTRADE.

1.5 Weitere Features

Dank des eingebauten Datenträgers im 2,5"-Format ist der mobile Datentresor klein und handlich. Die optionale Verwendung von SSD-Datenträgern bietet zusätzlichen Schutz vor Stößen und Erschütterungen. Die Datenübertragung und Stromversorgung erfolgt über den USB-Anschluss.

Die Hardwareverschlüsselung ermöglicht die Verwendung des Speichermediums unabhängig vom Anwenderbetriebssystem und geschieht transparent. Der Zugriff auf die Daten findet ohne Einschränkungen der Lese- und Schreibgeschwindigkeit statt.

1.6 Die wichtigsten Eigenschaften im Überblick

• 256-Bit AES-Full-Disk-Hardwareverschlüsselung im XTS-Modus mit zwei kryptografischen Schlüsseln
• 2-Faktor-Authentifizierung mittels Smartcard und 8-stelliger PIN
• externe Speicherung der kryptografischen Schlüssel
• Erstellen, Kopieren und Zerstören der kryptografischen Schlüssel durch den Nutzer
• hardwarebasiertes Verschlüsselungsmodul, Datenverschlüsselung aller gespeicherten Bytes und beschriebenen Sektoren
• bootfähig und unabhängig von Betriebssystemen (Unterstützung aller Betriebssysteme, Multimediageräte und Maschinen mit USB-Datenträger-Unterstützung)
• kompatibel mit USB 3.0 und USB 2.0
• keine Einschränkungen der Lese- und Schreibgeschwindigkeit
• handliches 2,5" - Format und robustes Metallgehäuse

1.7 Vorteile der DIGITTRADE HS256 S3

• Privat- und Geschäftsdaten sind sicher vor dem Zugriff Unbefugter geschützt
• einfache und sichere Handhabung durch Hardwareverschlüsselung: Anschließen, Anmelden, Verwenden
• alle Daten sind sofort verschlüsselt gespeichert
• keine Performanceverluste
• Integrationsmöglichkeit in bereits bestehende Smartcard-Infrastrukturen in Unternehmen

1.8 Sicherheitsverpackung und Versiegelungen

Um Manipulationen zu verhindern, wird für die Lieferung der Festplatte HS256 S3 und der Smartcards sowie für Nachlieferungen einzelner Smartcards eine spezielle Sicherheitsverpackung verwendet. Der Inhalt wird auf der Verpackung beschrieben.

Bitte prüfen Sie nach Erhalt die Unversehrtheit des Sicherheitsschriftzugs „DIGITTRADE SECURITY“ an den Seiten. Zusätzlich befindet sich am oberen Ende ein spezieller Siegelverschluss, der jegliche Manipulationsversuche anzeigt.

Mögliche Indikatoren sehen Sie in den folgenden Abbildungen:

So sieht der Siegelverschluss aus, wenn er korrekt verschlossen und nicht wieder geöffnet wurde. Der blaue Streifen unter dem oberen Bereich des Siegelverschluss und der blassgelbe Thermostreifen sind unbeschädigt.

Bei extremer Kälte (z.B. Einsatz von Kältespray) trennen sich Bereiche des blauen Verschlussbandes vom Trägermaterial. Die Warnung "STOP" wird lesbar.

Durch starke Wärmeeinwirkung (z.B. durch Föhn) färbt sich der blassgelbe Thermostreifen rot.

Beim Einsatz von Lösungsmitteln löst sich die blaue Farbe des Siegelverschlusses auf. Die Manipulation ist sofort sichtbar.

Stellen Sie nach Erhalt sicher, dass diese Idikatoren nicht ausgelöst wurden. Kontaktieren Sie Ihren Verkäufer, wenn Sie Manipulationen oder Beschädigungen an der Sicherheitsverpackung feststellen, da die Sicherheit der HS256 S3 in diesem Fall nicht gewährleistet werden kann.

Die Komponenten der HS256 S3 sind mit Epoxidharz versiegelt. Desweiteren ist an der Öffnungsstelle des Gehäuses der HS256 S3, wie unten abgebildet, ein Versiegelungsaufkleber angebracht. Diese Versiegelung wurde im Rahmen der BSI-Zertifizierung nicht bewertet.

Im Inneren der HS256 S3 befinden sich noch weitere Versiegelungsaufkleber.

2. Eingabeoberfläche und USB-Anschluss

Die DIGITTRADE HS256 S3 kann per USB-Schnittstelle mit dem Computer verbunden werden.

USB 3.0 Anschluss

Die HS256 S3 hat drei Status-LEDs: „ACTIVE“, „STATUS“ und „ERROR“.

Mögliche Farben:

„ACTIVE“-LED: leuchtet grün

„STATUS“-LED: leuchtet grün oder rot

„ERROR"-LED: leuchtet rot

Verbinden Sie die HS256 S3 mit Hilfe des mitgelieferten USB-Kabels mit Ihrem PC, Laptop oder einem anderen kompatiblen Gerät, das USB-Datenträger unterstützt.

Über den USB-Anschluss werden nicht nur die Daten übertragen, sondern auch die HS256 S3 mit Strom versorgt. Stellen Sie also sicher, dass die Festplatte immer direkt mit dem USB-Anschluss des PCs oder Laptops verbunden ist.

Hinweis: Benutzen Sie die DIGITTRADE HS256 S3 nicht mit einem USB-Hub oder einem USB-Verlängerungskabel und gewährleisten Sie eine ausreichende Stromversorgung.

3. Inbetriebnahme der HS256 S3

Die notwendige Stromversorgung der HS256 S3 erfolgt über den USB-Anschluss.

Nach dem korrekten Anschluss der DIGITTRADE HS256 S3 an den Computer leuchten zunächst die Status-LED „ACTIVE“, „STATUS“ und „ERROR“ kurz gleichzeitig auf.

Danach ist Ihre DIGITTRADE HS256 S3 einsatzbereit, muss jedoch noch entsperrt werden. Halten Sie dazu eine der mitgelieferten Smartcards, sowie Ihre Smartcard-PIN bereit.

Hinweis: Verwenden Sie aus Sicherheitsgründen nur Originalzubehör.

3.1 Einlegen der Smartcard

Nachdem die DIGITTRADE HS256 S3 erfolgreich in Betrieb genommen wurde, muss sie noch für die Nutzung freigegeben werden.

Führen Sie dazu die Smartcard in den dafür vorgesehenen Smartcard-Steckplatz in Pfeilrichtung ein.

Wird eine ungültige oder defekte Smartcard in den zugehörigen Steckplatz eingesteckt, blinkt die „ERROR“-LED drei mal kurz und leuchtet dann dauerhaft rot. Wenden Sie sich in diesem Fall bitte an DIGITTRADE.

3.2 Eingabe der Smartcard-PIN

Nach der Inbetriebnahme und der erfolgreichen Erkennung einer gültigen Smartcard ist das Keypad der DIGITTRADE HS256 S3 beleuchtet und für die PIN-Eingabe bereit.

Jetzt kann die 8-stellige PIN eingegeben werden.

Die werkseitig voreingestellte PIN lautet: 1-2-3-4-5-6-7-8.

Geben Sie diese über das Tastenfeld ein.

Bestätigen Sie die Eingabe mit „ENTER“.

Hinweis: Um die Sicherheit Ihrer Daten zu gewährleisten, ist es zwing-end erforderlich, die voreingestellte Smartcard-PIN zu ändern (siehe Seite 14). Verändern Sie die Smartcard-PIN in regelmäßigen Abständen. Zusätzlich empfiehlt es sich, unterschiedliche PIN für die verschiedenen Smartcards zu verwenden. Die Smartcard-PIN muss vertraulich behandelt werden.

Nach erfolgreicher Eingabe der Smartcard-PIN werden die kryptografischen Schlüssel von der Smartcard an das Verschlüsselungsmodul übertragen und die „STATUS“-LED leuchtet rot. Die DIGITTRADE HS256 S3 wird von Ihrem System als Wechseldatenträger erkannt und die Beleuchtung des Keypads erlischt. Während der Datenübertragung blinkt die „ACTIVE“-LED.

Der Zugriff auf den Datenträger ist somit freigegeben. Die Smartcard muss während des gesamten Betriebes in der DIGITTRADE HS256 S3 verbleiben. Beim Entfernen der Smartcard aus dem Gehäuse wird der Datenträger gesperrt (Lock-Out Modus). Bei Bedarf kann diese Funktion deaktiviert werden, sodass die Smartcard nach dem Freischalten der HS256 S3 entfernt werden kann und weiterhin ein Zugriff auf den Datenträger besteht. In diesem Fall leuchtet die „STATUS“-LED nach der Authentifizierung grün. Bei Entnahme der Smartcard erlischt die “STATUS“-LED und die “ACTIVE“-LED leuchtet grün. Nähere Informationen finden Sie im Kapitel 5.2.

Wurde eine falsche PIN eingegeben, blinkt die „ERROR“-LED auf und es ist ein akustisches Signal zu hören. Drücken Sie die „ESC“-Taste, um die PIN-Eingabe erneut zu starten.

Hinweis: Die Smartcard wird automatisch gesperrt und unbrauchbar, sobald die 8-stellige PIN acht Mal falsch eingegeben wurde. Die kryptografischen Schlüssel der Smartcard werden dabei unwiderruflich zerstört.

Hinweis: Im freigeschalteten Zustand darf die HS256 S3 nicht unbeaufsichtigt verbleiben, um unbefugte Zugriffe zu vermeiden. Bitte beachten Sie, dass Sie beim Verlassen des Arbeitsplatzes oder bei der Nichtnutzung die DIGITTRADE HS256 S3 ordnungsgemäß abgemeldet sind. Dabei müssen jegliche Datenübertragungen abgeschlossen sein und die HS256 S3 vom USB-Anschluss getrennt werden. Bei aktiviertem Lock-Out Modus genügt es die Smartcard aus dem Festplattengehäuse zu entfernen.

Aus Sicherheitsgründen wird empfohlen, sämtliche Eingabespuren zu verbergen, die Rückschlüsse auf die in der PIN verwendeten Ziffern ermöglichen können. Denkbare Maßnahmen sind:

1. Regelmäßiges Reinigen des Keypads, sodass keine Fingerabdrücke mehr erkennbar sind.
2. Regelmäßiges Tippen aller Tasten, sodass Fingerabdrücke gleichmäßig verteilt sind.
3. Verwendung spezieller Eingabestifte, die keine Spuren auf der Oberfläche des Keypads hinterlassen, wie z.B. den DIGITTRADE Stylus Pen.

3.3 Ändern der Smartcard-PIN

Um die PIN Ihrer Smartcard zu ändern, gehen Sie wie folgt vor:

1) Stecken Sie eine funktionierende Smartcard in den zugehörigen Steckplatz (siehe Kapitel 1.4 und 3.1) und stellen Sie sicher, dass das Keypad leuchtet.

Hinweis: Leuchten die rote „ERROR“ LED sowie das Keypad auf, initialisieren Sie zunächst diese Smartcard (siehe Kapitel 5.4).

2) Drücken Sie die Taste „CHANGE PIN“ und anschließend die „1“.

3) Bestätigen Sie die Eingabe mit „ENTER“. Die „STATUS“-LED blinkt mehrmals grün.

4) Geben Sie die aktuelle 8-stellige PIN ein und bestätigen Sie die Eingabe mit „ENTER“.

5) Geben Sie die neue 8-stellige PIN ein und bestätigen Sie die Eingabe mit „ENTER“.

6) Geben Sie die neue PIN nochmals ein und drücken Sie „ENTER“.

Nach erfolgreichem PIN-Wechsel blinkt die „STATUS“-LED mehrmals grün und es sind drei Signaltöne zu hören. Die DIGITTRADE HS256 S3 wird anschließend von Ihrem System als Wechseldatenträger erkannt, die „STATUS“-LED leuchtet rot (bei aktiviertem Lock-Out Modus) und die Beleuchtung des Tastenfeldes erlischt.

Der Zugriff auf die Festplatte ist freigegeben.

War die PIN-Änderung nicht erfolgreich, blinkt die „ERROR“-LED rot auf. Drücken Sie die Taste „ESC“ und beginnen Sie erneut mit dem 1. Schritt der PIN-Änderung.

Für die Änderung der Smartcard-PIN haben Sie acht Versuche. Danach wird die eingelegte Smartcard gesperrt und ist nicht mehr verwendbar.

Hinweis: 1. Die DIGITTRADE HS256 S3 akzeptiert nur 8-stellige PIN. Diese sollte zufällig gewählt werden. Verwenden Sie keine Trivial-PIN wie z.B. aufsteigende bzw. absteigende Ziffernreihen oder benutzerbezogene Zahlenfolgen wie Ihr Geburtsdatum oder Ihre Telefonnummer.

1. Bitte wechseln Sie die Smartcard-PIN regelmäßig während der Benutzung der Festplatte sowie nach Erhalt der Smartcard und bei der Übergabe an andere Benutzer.

4. Verwaltung der kryptografischen Schlüssel mit Hilfe der Smartcard-PIN

Die kryptografischen Schlüssel werden auf einer zertifizierten Smartcard erzeugt und verschlüsselt gespeichert. Nach erfolgreicher PIN-Eingabe werden die kryptografischen Schlüssel an das Verschlüsselungsmodul übertragen, um dort die Ver- und Entschlüsselung zu ermöglichen. Die generierten Schlüssel können über den Datenträger auf weitere Smartcards kopiert werden. Mit Hilfe der Smartcard-PIN können die Krypto-Schlüssel auf der Smartcard erstellt, geändert oder bei Bedarf vernichtet werden.

Die Funktionen zur Verwaltung der kryptografischen Schlüssel (Erstellen, Zerstören und Kopieren) sind nur mit Smartcards möglich, die über das DIGITTRADE HS256 S3 Java Card Applet verfügen. Standardmäßig wird die HS256 S3 mit zwei Kartenexemplaren des Typs NXP J2E081_M64 R3, CC EAL 5 ausgeliefert.

Hinweis: Die HS256 S3 wird bereits einsatzbereit und vorkonfiguriert ausgeliefert. Aus Sicherheitsgründen ist es dringend erforderlich, dass die kryptografischen Schlüssel geändert und die Smartcards für die HS256 S3 neu initialisiert werden.

4.1 Erstellen kryptografischer Schlüssel

Mit Hilfe der DIGITTRADE HS256 S3 können kryptografische Schlüssel auf einer zugelassenen Smartcard erstellt werden. Der integrierte zertifizierte Zufallszahlen-generator erzeugt sichere Zufallszahlen. Um zwei kryptografische Schlüssel zu erstellen, gehen Sie wie folgt vor:

1) Stecken Sie eine funktionierende Smartcard in den entsprechenden Steckplatz (siehe Kapitel 1.4 und 3.1).
2) Wenn die Smartcard keine kryptografischen Schlüssel enthält, leuchtet sowohl die „ERROR“-LED als auch die „STATUS“-LED rot.

Enthält die Smartcard bereits zwei kryptografische Schlüssel, die nicht für die HS256 S3 initialisiert sind, blinkt die rote „ERROR“-LED und das Keypad leuchtet. Ist die Smartcard bereits initialisiert, leuchtet das Keypad.

3) Drücken Sie die „ADMIN“-Taste und anschließend die Nummer 2.
4) Drücken Sie „ENTER“. Die „STATUS“-LED blinkt mehrmals grün.
5) Geben Sie Ihre 8-stellige Smartcard-PIN ein und drücken Sie „ENTER“.

Hinweis: War die PIN-Eingabe nicht korrekt, blinkt die „ERROR“-LED. Drücken Sie die Taste „ESC“ und beginnen Sie erneut mit dem 3. Schritt zum Erstellen der kryptografischen Schlüssel. Sie haben 8 Versuche. Danach wird die eingelegte Smartcard gesperrt und ist nicht mehr verwendbar.

6) Die „STATUS“-LED blinkt mehrmals grün während die DIGITTRADE HS256 S3 die kryptografischen Schlüssel auf der Smartcard erstellt. Ist dieser Vorgang erfolgreich abgeschlossen, leuchtet die „STATUS“-LED grün und es sind drei Signaltöne zu hören.
7) Trennen Sie die USB-Verbindung der DIGITTRADE HS256 S3 und verbinden Sie diese erneut, um diese Funktion zu verlassen.

Die Krypto-Schlüssel wurden somit erstellt bzw. geändert und die vorherigen eingesetzten Schlüsselpaare dadurch unwiderruflich zerstört. Mit dieser Smartcard ist dann kein Zugriff auf die zuvor gespeicherten Daten mehr möglich. Erstellen Sie daher vorher ggf. eine Sicherungskopie Ihrer Daten.

Wenn Sie diese kryptografischen Schlüssel für die HS256 S3 verwenden wollen, müssen diese für die HS256 S3 initialisiert werden. Folgen Sie dazu der Anleitung in Kapitel 5.4.

Hinweis: Bitte entfernen Sie die Smartcard nicht während der Erstellung der kryptografischen Schlüssel (Schritt 6, „STATUS“-LED blinkt mehrmals grün), da die Smartcard sonst beschädigt werden kann.

4.2 Zerstören beider kryptografischer Schlüssel

1. Die Krypto-Schlüssel können auf zwei Weisen zerstört werden:
   a) Zerstörung durch Erzeugung neuer kryptografischer Schlüssel

Führen Sie dazu die Schritte, wie in Kapitel 4.1 beschrieben, durch. Bei dieser Methode können die kryptografischen Schlüssel schnell und unauffällig in Gefahrensituationen zerstört werden, da sich der Vorgang kaum von der normalen Anmeldung unterscheidet. Der Zugriff auf die Daten ist dadurch mit dieser Smartcard auch für den Benutzer nicht mehr möglich.

b) Zerstörung der kryptografischen Schlüssel durch 8-malige Falscheingabe der PIN

Diese Vorgehensweise ist aufwendiger, sie kann jedoch intuitiver und ohne Wissen der Smartcard-PIN umgesetzt werden. Führen Sie dazu folgende Schritte durch:

1) Stecken Sie eine funktionierende Smartcard in den entsprechenden Steckplatz. (siehe Kapitel 1.4 und 3.1).
2) Geben Sie eine falsche 8-stellige PIN ein und drücken Sie „ENTER“.
3) Anschließend blinkt die rote „ERROR“-LED und es ist ein akustisches Signal zu hören.
4) Drücken Sie die Taste „ESC“ und führen Sie den 2. Schritt noch sieben Mal durch.

5) Wurde die falsche PIN 8 Mal eingegeben, sind die kryptografischen Schlüssel zerstört sowie die Smartcard gesperrt und kann nicht mehr verwendet werden.
2. In beiden Fällen handelt es sich nur um die Zerstörung der Kryptoschlüssel auf der jeweiligen Smartcard. Auf der Festplatte vorhandene Daten werden dabei nicht beschädigt und bleiben weiterhin verschlüsselt gespeichert. Liegt dem Benutzer die zweite Smartcard mit den passenden Kryptoschlüsseln und gültiger PIN vor, so kann er auf diese Daten problemlos wieder zugreifen.
3. Falls eine der Smartcards verloren, verlegt oder entwendet wurde, ist es notwendig, die Kryptoschlüssel vollständig zu zerstören. Führen Sie dazu folgende Schritte durch:

1) Nehmen Sie die DIGITTRADE HS256 S3 in Betrieb (siehe Seite 11-12).
2) Sichern Sie alle benötigten Daten von der HS256 S3 auf einen anderen Datenträger.
3) Nach Abschluss dieser Prozedur trennen Sie die USB-Verbindung der HS256 S3 und verbinden Sie diese erneut.
4) Erstellen Sie jetzt zwei neue Krypto-Schlüssel (siehe Kapitel 4.1).
5) Anschließend initialisieren Sie die Smartcard (siehe Kapitel 5.3).
6) Initialisieren und Formatieren Sie die DIGITTRADE HS256 S3 an Ihrem Betriebssystem (siehe Kapitel 6-8).
7) Überschreiben Sie die HS256 S3 vollständig mit Zufallsdaten. Nach Abschluss dieser Prozedur können Sie diese Daten löschen und die DIGITTRADE HS256 S3 normal verwenden.

Jegliche Kopien der alten Kryptoschlüssel auf anderen Smartcards sind anschließend unbrauchbar.

5. Geräte-PIN-Funktionen

Die Geräte-PIN ermöglicht nicht den Zugriff auf die gespeicherten Daten. Mit Hilfe der Geräte-PIN können Sie folgende administrative Funktionen durchführen:

• Ändern der Geräte-PIN
• Aktivieren/Deaktivieren des Lock-Out Modus
• Kopieren von kryptografischen Schlüsseln
• Initialisieren einer neuen Smartcard für die DIGITTRADE HS256 S3

Die bei der Auslieferung voreingestellte Geräte-PIN lautet: 8-7-6-5-4-3-2-1.

Aus Sicherheitsgründen empfehlen wir Ihnen diese zu ändern. Die Geräte-PIN muss vertraulich behandelt werden. Damit vermeiden Sie die Ausführung der oben genannten Funktionen an Ihrer Festplatte durch Unbefugte.

Die Anzahl der Versuche für die Eingabe der Geräte-PIN ist nicht begrenzt.

Hinweis: Merken Sie sich Ihre Geräte-PIN. Ohne diese Zahlenfolge ist die Initialisierung neuer Smartcards und somit weitere Benutzung der HS256 S3 nicht möglich.

5.1 Ändern der Geräte-PIN

Um die Geräte-PIN zu ändern, gehen Sie wie folgt vor:

1) Stecken Sie eine funktionierende Smartcard in den entsprechenden Steckplatz (siehe Kapitel 1.4 und 3.1). Stellen Sie sicher, dass das Keypad leuchtet.
Hinweis: Leuchten beim Einsetzen der Smartcard die „ERROR“-LED rot und das Keypad, führen Sie bitte die Initialisierung dieser durch (siehe Kapitel 5.4).
2) Drücken Sie auf dem Keypad die Taste „CHANGE-PIN“ und anschließend die „0“.
3) Bestätigen Sie die Eingabe mit „ENTER“.
4) Geben Sie die aktuelle 8-stellige Geräte-PIN ein und bestätigen Sie die Eingabe mit „ENTER“. Die „STATUS“-LED blinkt zwei Mal grün.
5) Geben Sie die neue 8-stellige Geräte-PIN ein und bestätigen Sie die Eingabe mit „ENTER“. Die „STATUS“-LED blinkt zwei Mal grün.

6) Geben Sie die neue 8-stellige Geräte-PIN nochmals ein und bestätigen Sie die Eingabe mit „ENTER“.
7) Während der Änderung blinkt die „STATUS“-LED mehrmals grün und es sind zum Abschluss drei Signaltöne zu hören.
8) Die Smartcard kann jetzt entfernt werden. Trennen Sie die USB-Verbindung der HS256 S3 um diese Funktion zu verlassen.

War die PIN-Änderung nicht erfolgreich, blinkt die rote „ERROR“-LED auf. Drücken Sie die Taste „ESC“ und beginnen Sie erneut mit dem 1. Schritt der Änderung der Geräte-PIN.

Hinweis: Die DIGITTRADE HS256 S3 akzeptiert nur 8-stellige PIN. Die Zahlenfolge sollte zufällig gewählt werden. Verwenden Sie keine Trivial-PIN wie z.B. aufsteigende bzw. absteigende Ziffernreihen oder benutzerbezogene Zahlenfolgen wie Ihr Geburtsdatum oder Ihre Telefonnummer.

5.2 Aktivieren/Deaktivieren des Lock-Out Modus (Geräte-PIN erforderlich)

Im aktivierten Lock-Out Modus wird der Zugriff auf die Daten nach dem Entfernen der Smartcard aus dem Gehäuse sofort unterbrochen.

Bei der Auslieferung der HS256 S3 ist der Lock-Out Modus aktiviert.

Die „STATUS“-LED leuchtet rot im authentifizierten Zustand. Für eine sichere Benutzung der HS256 S3 muss der Lock-Out Modus aktiviert sein. Ein Betrieb der HS256 S3 mit ausgeschaltetem Lock-Out Modus befindet sich außerhalb des Geltungsbereiches der BSI-Zertifizierung.

Der Nutzer kann in besonderen Fällen diese Funktion deaktivieren. Dies ist erforderlich, wenn nur eine Smardcard den Zugriff zeitgleich auf mehrere Datenträger mit gleichem Krypto-Schlüssel freischalten soll. Ist der Lock-Out Modus deaktiviert, leuchtet die „STATUS“-LED grün im authentifizierten Zustand.

Bitte verwenden Sie in diesem Fall nach dem Beenden der Benutzung die physikalische Trennung (Kapitel 15), da die logische Separation im deaktivierten Lock-Out Modus nicht möglich ist.

Führen Sie folgende Schritte für die Aktivierung oder Deaktivierung des Lock-Out Modus durch:

1) Stecken Sie eine funktionierende Smartcard in den zugehörigen Steckplatz (siehe Kapitel 1.4 und 3.1). Stellen Sie sicher, dass das Keypad leuchtet.

Hinweis: Leuchten beim Einsetzen der Smartcard das Keypad und die "Error"-LED dauerhaft, führen Sie bitte die Initialisierung der Smartcard durch (siehe Kapitel 5.4).

2) Drücken Sie die „ADMIN“-Taste und anschließend die Nummer 1.
3) Drücken Sie „ENTER“. Die „STATUS“-LED blinkt mehrmals grün.
4) Geben Sie Ihre 8-stellige Geräte-PIN ein und drücken Sie „ENTER“. Wurde die richtige Zahlenfolge eingegeben, blinkt die „STATUS“-LED mehrmals grün und es sind drei Signaltöne zu hören.

Hinweis: War die PIN-Eingabe nicht korrekt, blinkt die rote „ERROR“- LED. Drücken Sie die Taste „ESC“ und beginnen Sie erneut mit dem 2. Schritt.

5) Der Lock-Out Modus wird aktiviert / deaktiviert. Die „STATUS“-LED leuchtet im authentisierten Zustand rot, wenn die Funktion aktiviert ist. Im Falle der deaktivierten Funktion leuchtet die „STATUS“-LED grün.
6) Trennen Sie die USB-Verbindung der HS256 S3 und verbinden Sie diese erneut, um diese Funktion zu verlassen.

Hinweis: Der Lock-Out Modus ist voreingestellt aktiviert. Entfernen Sie in diesem Modus die Smartcard nicht während auf die DIGITTRADE HS256 S3 zugegriffen wird, da dies zu Datenverlust führen kann.

5.3 Kopieren von kryptografischen Schlüsseln (Geräte-PIN erforderlich)

Mit dieser Funktion können Sie die kryptografischen Schlüssel einer Smartcard auf eine weitere Smartcard übertragen. Sie benötigen dazu zwei Exemplare: Eine Smartcard, die die zu kopierenden Krypto-Schlüssel enthält, und eine Zweite, auf die das Schlüsselpaar kopiert werden soll. Um die kryptografischen Schlüssel zu kopieren, gehen Sie wie folgt vor:

1) Stecken Sie eine funktionierende und initialisierte Smartcard A in den dafür entsprechenden Steckplatz (siehe Seite 12).

Ist die Smartcard bereits initialisiert, leuchtet das Keypad. Enthält die Smartcard bereits zwei kryptografische Schlüssel, die nicht für die HS256 S3 initialisiert sind, blinkt die rote „ERROR“-LED und das Keypad leuchtet. Danach leuchtet die „ERROR“-LED. Initialisieren Sie zunächst diese Smartcard (siehe Seite 22).

2) Drücken Sie die „ADMIN“-Taste und anschließend die Nummer 3.
3) Drücken Sie „ENTER“. Die „STATUS“-LED blinkt mehrmals grün.
4) Geben Sie Ihre 8-stellige Geräte-PIN ein und drücken Sie „ENTER“. Die „STATUS“-LED blinkt zwei Mal grün. Geben Sie die 8-stellige PIN der Smartcard A ein und drücken Sie „ENTER“.

Hinweis:

1. War die PIN-Eingabe nicht korrekt, blinkt die rote „ERROR“-LED. Drücken Sie die Taste „ESC“ und beginnen Sie erneut mit dem 2. Schritt zum Kopieren der kryptografischen Schlüssel.
2. Die Smartcard A wird automatisch gesperrt und unbrauchbar, sobald die 8-stellige PIN acht Mal falsch eingegeben wurde.
   5) Die „STATUS“-LED blinkt mehrmals grün während die DIGITTRADE HS256 S3 die kryptografischen Schlüssel der Smartcard A liest. Ist dieser Vorgang erfolgreich abgeschlossen, leuchtet die „STATUS“-LED grün und es sind drei Signaltöne zu hören.
   6) Entfernen Sie Smartcard A und stecken Sie Smartcard B in die DIGITTRADE HS256 S3. Das Keypad leuchtet nach dem Einsetzen.
   7) Geben Sie Ihre 8-stellige PIN der Smartcard B ein und drücken Sie „ENTER“.

Hinweis:

1. War die PIN-Eingabe nicht korrekt, blinkt die rote „ERROR“- LED. Drücken Sie die Taste „ESC“ und geben Sie die 8-stellige PIN der Smartcard B erneut ein.
2. Die Smartcard B wird automatisch gesperrt und unbrauchbar, sobald die 8-stellige PIN acht Mal falsch eingegeben wurde.

8) Die „STATUS“-LED blinkt mehrmals grün während die DIGITTRADE HS256 S3 die kryptografischen Schlüssel auf Smartcard B schreibt. Ist dieser Vorgang erfolgreich abgeschlossen, leuchtet die „STATUS“-LED grün und es sind drei Signaltöne zu hören.
9) Zum Beschreiben weiterer Smartcards mit diesen kryptografischen Schlüsseln trennen Sie die Festplatte und beginnen Sie wieder mit Schritt 1.

Hinweis: Entfernen Sie die Smartcard nicht während der Lese- und Schreibprozesse (Schritt 5 und 8, „STATUS“-LED blinkt mehrmals grün), da die Smartcard sonst beschädigt werden kann.

5.4 Initialisieren einer neuen Smartcard (Geräte-PIN erforderlich)

Das Initialisieren einer neuen Smartcard ist erforderlich, wenn die kryptografischen Schlüssel der Smartcard geändert wurden und die DIGITTRADE HS256 S3 damit betrieben werden soll (z.B. aus Sicherheitsgründen, sowie bei Verlust einer oder mehrerer Smartcards).

Beim Initialisieren einer neuen Smartcard ändern sich die kryptografischen Schlüssel des Krypto-Systems. Die HS256 S3 muss dadurch im Anschluss mit dem Anwenderbetriebssystem neu initialisiert und formatiert werden. Ein Zugriff auf die zuvor gespeicherten Daten ist mit den neuen Krypto-Schlüsseln nicht möglich.

Zum Initialisieren einer neuen Smartcard gehen Sie bitte wie folgt vor:

1) Stecken Sie eine neue funktionierende Smartcard in den entsprechenden Steckplatz (siehe Kapitel 1.4 und 3.1). Vergewissern Sie sich, dass die rote „ERROR“- und das Keypad leuchten.
2) Drücken Sie die „ADMIN“-Taste und anschließend die „0“.
3) Drücken Sie „ENTER“. Die „STATUS“-LED blinkt mehrmals grün.
4) Geben Sie Ihre 8-stellige Geräte-PIN ein und drücken Sie „ENTER“.

Hinweis: War die PIN-Eingabe nicht korrekt, blinkt die rote „ERROR“-LED. Drücken Sie die Taste „ESC“ und beginnen Sie erneut mit dem 3. Schritt zum Initialisieren einer Smartcard.

6) Wurde die richtige Geräte-PIN eingegeben, leuchtet die „STATUS“-LED grün und es sind drei Signaltöne zu hören. Die eingesetzte Smartcard wurde für diese DIGITTRADE HS256 S3 initialisiert.

7) Trennen Sie die USB-Verbindung der DIGITTRADE HS256 S3, um diese Funktion zu verlassen.
8) Führen Sie eine Initialisierung und eine Formatierung der DIGITTRADE HS256 S3 an Ihrem Betriebssystem durch. Beachten Sie dazu die Hinweise in den folgenden Kapiteln.

Hinweis: Merken Sie sich Ihre Geräte-PIN. Ohne diese Zahlenfolge ist die Initialisierung neuer Smartcards und somit weitere Benutzung der HS256 S3 nicht möglich.

6. Initialisierung/Partitionierung und Formatierung unter Windows

Um die HS256 S3 unter Windows zu initialisieren, gehen Sie wie folgt vor:

• Nehmen Sie die DIGITTRADE HS256 S3 in Betrieb (siehe Seite 11-12).
• Gehen Sie in die Systemsteuerung und unter der Rubrik Verwaltung wählen Sie anschließend "Computerverwaltung" aus.
• Klicken Sie auf "Computerverwaltung" und anschließend auf „Datenträgerverwaltung“. Hier finden Sie eine Übersicht über alle Festplatten und Laufwerke:

- Die HS256 S3 wird nach erfolgreicher Anmeldung im unteren Teil der Datenträgerverwaltung angezeigt:

- Wird die Datenträgerverwaltung zum ersten Mal seit dem Anschließen der HS256 S3 gestartet, erscheint folgendes Fenster:

- Hier können Sie mit einem Klick auf „OK“ das neue Laufwerk initialisieren.

Hinweis: Falls die Initialisierungsaufforderung nicht automatisch erscheint oder diese mit einem Klick auf „Abbrechen“ beendet wurde, können Sie die Initialisierung auch mit einem Rechtsklick auf dem Datenträgerfeld („Nicht initialisiert“) ausführen.

- Anschließend wechselt der Status des Datenträgers von „Nicht initialisiert“ zu „Online“:

- Klicken Sie mit der rechten Maustaste auf den „Nicht zugeordneten“ Bereich und wählen Sie im Kontextmenü den Eintrag „Neues einfaches Volume...“ aus. Im startenden Assistenten können Sie alle erforderlichen Einstellungen bis zur Formatierung vornehmen.

- Klicken Sie auf „Weiter“, um den Vorgang zu beginnen:

- Tragen Sie die gewünschte Größe der Partition in MB ein und klicken Sie dann auf „Weiter“:

- Sie können der Partition einen Laufwerksbuchstaben zuweisen. Klicken Sie anschließend auf „Weiter“:

- Wählen Sie das gewünschte Dateisystem, die Art der Formatierung und klicken Sie auf „Weiter“:

- Die Formatierung wird abgeschlossen. Bestätigen Sie diesen Vorgang, indem Sie auf „Fertig stellen“ klicken.

Die Dauer der Formatierung kann je nach Festplattengröße variieren.

Wurde die Formatierung abgeschlossen, wird die HS256 S3 als „Fehlerfrei“ angezeigt und kann verwendet werden:

Es besteht zudem die Möglichkeit, über die „Datenträgerverwaltung“, die DIGITTRADE HS256 S3 in mehrere Partitionen einzuteilen.

Um die HS256 S3 zu partitionieren, gehen Sie wie folgt vor:

- Wählen Sie mit der Maus die HS256 S3 aus und öffnen Sie mit der rechten Maustaste das Kontextmenü.

- Wählen Sie den Punkt „Volumen verkleinern“ aus.

- Tragen Sie den gewünschten Speicherplatz in MB ein, auf den die Partition verkleinert werden soll:

- Es wird jetzt ein nicht zugeordneter Bereich im Verwaltungsbildschirm angezeigt:

- Markieren Sie den nicht zugeordneten Bereich mit der Maus, öffnen Sie das Kontextmenü mit der rechten Maustaste und wählen Sie den Punkt „neues einfaches Volumen“.

- Es öffnet sich der Partitionierungsassistent:

- Klicken Sie auf „Weiter“.

- Tragen Sie die gewünschte Größe der Partition in MB ein und klicken Sie

dann auf „Weiter“:

- Sie können der Partition einen Laufwerksbuchstaben zuweisen. Klicken Sie anschließend auf „Weiter“:

- Wählen Sie das gewünschte Dateisystem, die Art der Formatierung und klicken Sie auf „Weiter“:

- Die Partitionierung wird abgeschlossen. Bestätigen Sie diesen Vorgang indem Sie auf „Fertig stellen“ klicken:

Hinweis: Der neu partitionierte Bereich wird formatiert. Nach Abschluss der Formatierung wird die neue Partition automatisch vom System erkannt.

graph LR
    A["Smartcard A1"] -->|Red Arrow| B["Firmenfiliale 1"]
    C["Firmenfiliale 2"] -->|Red Arrow| D["Firmenfiliale 2"]
    E["Smartcard A2"] -->|Red Arrow| F["Smartcard A2"]
    B --> G["Yellow Delivery Van"]
    D --> G
    F --> G

graph TD
    A["Person X\nbesitz: festgräte\nund transportiert\nda Daten."] --> B["Datenübernahme\nbeim Kunden"]
    C["Person Y\nbesitz: Smartcard"] --> B
    D["Person Z\nkerat 8-stelige PIN"] --> B
    B --> E["1-2-3-4-5-6-7-8"]
    E --> F["Person X transportiert\nHS256 zum Datenempfänger"]
    F --> G["Datenempfänger besitzt\nSmartcard und PIN\nDatenübertragung/\nDatenbearbeitung"]
    G --> H["Person X transportiert\nHS256 zum Datenempfänger"]
    H --> I["1-2-3-4-5-6-7-8"]
    I --> J["Person Y and Z\ngehen zum nächsten\nKunden"]
    J --> K["Person Y and Z\ngehen zum nächsten\nKunden"]
    K --> L["1-2-3-4-5-6-7-8"]
    L --> M["Person X transportiert\nHS256 zum Datenempfänger"]
    M --> N["1-2-3-4-5-6-7-8"]
    N --> O["Person X transportiert\nHS256 zum Datenempfänger"]
    O --> P["1-2-3-4-5-6-7-8"]
    P --> Q["Person X transportiert\nHS256 zum Datenempfänger"]
    Q --> R["1-2-3-4-5-6-7-8"]
    R --> S["Person X transportiert\nHS256 zum Datenempfänger"]
    S --> T["1-2-3-4-5-6-7-8"]
    T --> U["Person X transportiert\nHS256 zum Datenempfänger"]
    U --> V["1-2-3-4-5-6-7-8"]
    V --> W["Person X transportiert\nHS256 zum Datenempfänger"]
    W --> X["1-2-3-4-5-6-7-8"]
    X --> Y["Person X transportiert\nHS256 zum Datenempfänger"]
    Y --> Z["1-2-3-4-5-6-7-8"]
    Z --> AA["Person X transportiert\nHS256 zum Datenempfänger"]
    AA --> AB["1-2-3-4-5-6-7-8"]
    AB --> AC["Person X transportiert\nHS256 zum Datenempfänger"]
    AC --> AD["1-2-3-4-5-6-7-8"]
    AD --> AE["Person X transportiert\nHS256 zum Datenempfänger"]
    AE --> AF["1-2-3-4-5-6-7-8"]
    AF --> AG["Person X transportiert\nHS256 zum Datenempfänger"]
    AG --> AH["1-2-3-4-5-6-7-8"]
    AH --> AI["Person X transportiert\nHS256 zum Datenempfänger"]
    AI --> AJ["1-2-3-4-5-6-7-8"]
    AJ --> AK["Person X transportiert\nHS256 zum Datenempfänger"]
    AK --> AL["1-2-3-4-5-6-7-8"]
    AL --> AM["Person X transportiert\nHS256 zum Datenempfänger"]
    AM --> AN["1-2-3-4-5-6-7-8"]
    AN --> AO["Person X transportiert\nHS256 zum Datenempfänger"]
    AO --> AP["1-2-3-4-5-6-7-8"]
    AP --> AQ["Person X transportiert\nHS256 zum Datenempfänger"]
    AQ --> AR["1-2-3-4-5-6-7-8"]
    AR --> AS["Person X transportiert\nHS256 zum Datenempfänger"]
    AS --> AT["1-2-3-4-5-6-7-8"]
    AT --> AU["Person X transportiert\nHS256 zum Datenempfänger"]
    AU --> AV["1-2-3-4-5-6-7-8"]
    AV --> AW["Person X transportiert\nHS256 zum Datenempfänger"]
    AW --> AX["1-2-3-4-5-6-7-8"]
    AX --> AY["Person X transportiert\nHS256 zum Datenempfänger"]
    AY --> AZ["1-2-3-4-5-6-7-8"]
    AZ --> BA["Person X transportiert\nHS256 zum Datenempfänger"]
    BA --> BB["1-2-3-4-5-6-7-8"]
    BB --> BC["Person X transportiert\nHS256 zum Datenempfänger"]
    BC --> BD["1-2-3-4-5-6-7-8"]
    BD --> BE["Person X transportiert\nHS256 zum Datenempfänger"]
    BE --> BF["1-2-3-4-5-6-7-8"]
    BF --> BG["Person X transportiert\nHS256 zum Datenempfänger"]
    BG --> BH["1-2-3-4-5-6-7-8"]
    BH --> BI["Person X transportiert\nHS256 zum Datenempfänger"]
    BI --> BJ["1-2-3-4-5-6-7-8"]
    BJ --> BK["Person X transportiert\nHS256 zum Datenempfänger"]
    BK --> BL["1-2-3-4-5-6-7-8"]
    BL --> BM["Person X transportiert\nHS256 zum Datenempfänger"]
    BM --> BN["1-2-3-4-5-6-7-8"]

graph TD
    A["Großkunde 1"] --> B["DATENVERWALTUNGS-UNTERNEHMEN"]
    C["B2"] --> B
    D["C2"] --> B
    E["D2"] --> B
    F["A1"] --> B
    G["B1"] --> B
    H["C1"] --> B
    I["D1"] --> B
    J["PORT"] --> B
    B --> K["Dataverwaltungs-Unternehmens"]
    style B fill:#f9f,stroke:#333

graph TD
    A["Administrator"] -->|A1| B["Card"]
    A -->|B1| C["Card"]
    A -->|C1| D["Card"]
    A -->|D1| E["Card"]
    B --> F["Card"]
    C --> F
    D --> F
    E --> F
    F --> G["Mitarbeiter"]
    G --> H["A2"]
    G --> I["B2"]
    G --> J["C2"]
    G --> K["D2"]

graph TD
    A["Versender"] --> B["Smartcard A"]
    B --> C["Data Transfer"]
    C --> D["Post"]
    D --> E["Empfänger"]
    E --> F["Smartcard B"]
    F --> G["Data Transfer"]
    G --> H["Empfänger"]
    H --> I["Smartcard A"]
    I --> J["Data Transfer"]
    J --> K["Empfänger"]
    K --> L["Smartcard B"]
    L --> M["Data Transfer"]
    M --> N["Empfänger"]
    N --> O["Smartcard A"]
    O --> P["Data Transfer"]
    P --> Q["Empfänger"]
    Q --> R["Smartcard B"]
    R --> S["Data Transfer"]
    S --> T["Empfänger"]
    T --> U["Smartcard A"]
    U --> V["Data Transfer"]
    V --> W["Empfänger"]
    W --> X["Smartcard B"]
    X --> Y["Data Transfer"]
    Y --> Z["Empfänger"]

graph LR
    A["USB"] --> B["SC"]
    B --> C["Processing Unit"]
    C --> D["ENTER"]

graph TD
    A["Start"] --> B["SC"]
    B --> C["CHANGE PIN +1 ENTER"]
    C --> D["STATUS"]
    D --> E["SC-PIN 1-2-3-4-5-6-7-8 ENTER"]
    E --> F["SC-PIN NEU 1-2-3-4-5-6-7-8 ENTER"]
    F --> G["SC-PIN NEU 1-2-3-4-5-6-7-8 ENTER"]
    G --> H["“PT” 3"]

    I["Start"] --> J["SC"]
    J --> K["END"]
    K --> L["END"]
    L --> M["ADMIN +2 ENTER"]
    M --> N["STATUS"]
    N --> O["SC-PIN 1-2-3-4-5-6-7-8 ENTER"]
    O --> P["NO TEXT Category"]
    P --> Q["STATUS"]
    Q --> R["“PT” 3"]

    S["Start"] --> T["SC"]
    T --> U["END"]
    U --> V["END"]
    V --> W["ADMIN +2 ENTER"]
    W --> X["STATUS"]
    X --> Y["SC-PIN 1-2-3-4-5-6-7-8 ENTER"]
    Y --> Z["NO TEXT Category"]
    Z --> AA["STATUS"]
    AA --> AB["“PT” 3"]

    AC["Erstellen von kryptografischen Schlüsseln"] --> AD["Start"]
    AD --> AE["END"]
    AE --> AF["END"]
    AF --> AG["END"]

    AH["Zerstören von kryptografischen Schlüsseln (Smartcard-PIN bekannt)"] --> AI["Start"]
    AI --> AJ["END"]
    AJ --> AK["END"]
    AK --> AL["END"]

    AM["Start"] --> AN["SC"]
    AN --> AO["END"]
    AO --> AP["END"]
    AP --> AQ["END"]

    style A fill:#f9f,stroke:#333
    style B fill:#ccf,stroke:#333
    style C fill:#cfc,stroke:#333
    style D fill:#fcc,stroke:#333
    style E fill:#cff,stroke:#333
    style F fill:#ffc,stroke:#333
    style G fill:#fcf,stroke:#333
    style H fill:#fcc,stroke:#333
    style I fill:#f9f,stroke:#333
    style AJ fill:#ccf,stroke:#333
    style AK fill:#cfc,stroke:#333
    style L fill:#fcc,stroke:#333
    style M fill:#cff,stroke:#333
    style N fill:#fcc,stroke:#333
    style O fill:#cff,stroke:#333
    style P fill:#fcc,stroke:#333
    style Q fill:#fcc,stroke:#333
    style R fill:#fcc,stroke:#333
    style S fill:#f9f,stroke:#333
    style T fill:#ccf,stroke:#333
    style AU fill:#f9f,stroke:#333

graph TD
    A["Start"] --> B["SC"]
    B --> C["Error Signal"]
    C --> D["1-2-3-6-7-8 ENTER"]
    D --> E["PT" 1"]
    E --> F["ESC"]
    F --> G["End"]

    H["Ändern der Geräte-PIN"] --> I["SC"]
    I --> J["Change PIN +0 ENTER"]
    J --> K["STATUS"]
    K --> L["GERÄTE-PIN 8-7-6-5-4-3-2-1 ENTER"]
    L --> M["STATUS"]
    M --> N["GERÄTE-PIN NEU 8-7-6-5-4-3-2-1 ENTER"]
    N --> O["STATUS"]
    O --> P["PT" 3"]

    Q["Initialisieren einer neuen Smartcard"] --> R["SC"]
    R --> S["ERROR"]
    S --> T["ADMIN +0 ENTER"]
    T --> U["STATUS"]
    U --> V["GERÄTE-PIN 8-7-6-5-4-3-2-1 ENTER"]
    V --> W["STATUS"]
    W --> X["PT" 3"]

graph LR
    A["Car"] --> B["SCA"]
    B --> C{1x}
    C --> D["DDR"]
    C --> E["SC initialisiert"]
    D --> F["ADMIN +3 ENTER"]
    F --> G["DDR"]
    G --> H["GERÄTT-PIN 8-7-8-5-4-3-2-1 ENTER"]
    H --> I["SCB"]
    I --> J["SC-B-PIN 1-2-3-4-5-6-7-8 ENTER"]
    J --> K[""PT" 3"]
    K --> L["SCA"]
    L --> M["SCB"]
    M --> N["SC-B-PIN 1-2-3-4-5-6-7-8 ENTER"]
    N --> O[""PT" 3"]
    O --> P["Car"]
    P --> Q["Car"]

graph LR
    A["Start"] --> B["SC"]
    B --> C["ADMIN + 1"]
    C --> D["STATUS"]
    D --> E["GERÄTE-PIN 8-7-6-5-4-3-2-1"]
    E --> F[""PT" 3"]
    F --> G["Switch"]
    G --> H["SC"]
    H --> I["SC-PIN 1-2-3-4-5-6-7-8"]
    I --> J["Lockoutmodus aktiv"]
    I --> K["Lockoutmodus nicht aktiv"]
    L["ENTER"] --> M["∞"]
    N["ENTER"] --> O["∞"]
    P["ENTER"] --> Q["∞"]
    R["ENTER"] --> S["∞"]
    T["ENTER"] --> U["∞"]
    V["ENTER"] --> W["∞"]
    X["ENTER"] --> Y["∞"]
    Z["ENTER"] --> AA["∞"]
    AB["ENTER"] --> AC["∞"]
    AD["ENTER"] --> AE["∞"]
    AF["ENTER"] --> AG["∞"]
    AH["ENTER"] --> AI["∞"]
    AJ["ENTER"] --> AK["∞"]
    AL["ENTER"] --> AM["∞"]
    AN["ENTER"] --> AO["∞"]
    AP["ENTER"] --> AQ["∞"]
    AR["ENTER"] --> AS["∞"]
    AT["ENTER"] --> AU["∞"]
    AV["ENTER"] --> AW["∞"]
    AX["ENTER"] --> AY["∞"]
    AZ["ENTER"] --> BA["∞"]
    BB["ENTER"] --> BC["∞"]
    BD["ENTER"] --> BE["∞"]
    BF["ENTER"] --> BG["∞"]
    BH["ENTER"] --> BI["∞"]
    BJ["ENTER"] --> BK["∞"]
    BL["ENTER"] --> BM["∞"]
    BN["ENTER"] --> BO["∞"]
    BP["ENTER"] --> BQ["∞"]
    BR["ENTER"] --> BS["∞"]
    BT["ENTER"] --> BU["∞"]
    BV["ENTER"] --> BW["∞"]
    BX["ENTER"] --> BY["∞"]
    BZ["LOCKOUTMODUS aktiv"] --> CA["STATUS"]
    BZ --> CB["STATUS"]
    BZ --> CC["Lockoutmodus nicht aktiv"]

graph TD
    A["plain text cipher"] --> B["AES key"]
    C["101101010101009F75B162580DAC9F"] --> B

graph TD
    A["Smart card A1"] -->|red arrow| B["branch office 1"]
    C["Smart card A2"] -->|red arrow| D["branch office 2"]
    B --> E["Yellow Delivery Van"]
    D --> E
    E --> F["Return to Road"]

graph TD
    A["Person X carries the hard drive"] --> B["data take over from customer"]
    C["Person Y carries the smart card"] --> B
    D["Person Z knows 8 digit PIN"] --> E["Data receiver owns smart card and PIN"]
    B --> E
    E --> F["Person X takes the HS256S to the receiver"]
    F --> G["Data transmission/data processing"]
    H["PIN"] --> I["Person Y und Z going to next customer"]
    I --> J["Data takeover over from customer"]
    style A fill:#f9f,stroke:#333
    style C fill:#f9f,stroke:#333
    style D fill:#f9f,stroke:#333
    style H fill:#f9f,stroke:#333
    style I fill:#f9f,stroke:#333

graph TD
    A["Major customer 1"] --> D["Data Management Company"]
    B["Major customer 2"] --> D
    C["Major customer 3"] --> D
    E["Major customer 4"] --> D
    F["A1"] --> D
    G["B1"] --> D
    H["C1"] --> D
    I["D1"] --> D
    D --> J["Red Arrow Right"]
    D --> K["Red Arrow Left"]
    D --> L["Red Arrow Down"]
    D --> M["Red Arrow Up"]

graph TD
    A["Administrator"] --> B["Device 1"]
    A --> C["Device 2"]
    A --> D["Device 3"]
    A --> E["Device 4"]
    A --> F["Device 5"]
    B <--> G["Device 6"]
    C <--> G
    D <--> G
    E <--> G
    F <--> G
    G --> H["Employees"]
    H --> I["A2"]
    H --> J["B2"]
    H --> K["C2"]
    H --> L["D2"]

graph TD
    A["Sender"] --> B["Smart card A"]
    B --> C["Receiver"]
    C --> D["Smart card B"]
    D --> E["Data Transport"]
    E --> F["Receiver"]
    F --> G["Sender"]
    style E fill:#f9f,stroke:#333,stroke-width:2px

graph LR
    A["Input"] --> B["SC"]
    B --> C["Process Unit"]
    C --> D["SC-PIN 1-2-3-4-5-6-7-8"]
    D --> E["ENTER"]

graph TD
    A["Start"] --> B["SC"]
    B --> C["CHANGE +1"]
    C --> D["STATUS"]
    D --> E["SC-PIN 1-2-3-4-5-6-7-8"]
    E --> F["SC-PIN NEU 1-2-3-4-5-6-7-8"]
    F --> G["SC-PIN NEU 1-2-3-4-5-6-7-8"]
    G --> H["STATUS ∞"]
    H --> I["PT" 3"]

    J["Creating cryptographic keys"] --> K["SC"]
    K --> L["ERROR 1x"]
    L --> M["STATUS"]
    M --> N["ADMIN +2"]
    N --> O["STATUS ∞"]
    O --> P["SC-PIN 1-2-3-4-5-6-7-8"]
    P --> Q["STATUS ∞"]
    Q --> R["PT" 3"]

    S["Delete the cryptographic keys (PIN is be known)"] --> T["SC"]
    T --> U["ERROR 1x"]
    U --> V["STATUS"]
    V --> W["ADMIN +2"]
    W --> X["STATUS ∞"]
    X --> Y["SC-PIN 1-2-3-4-5-6-7-8"]
    Y --> Z["STATUS ∞"]
    Z --> AA["PT" 3"]

graph LR
    A["USB"] --> B["SC"]
    B --> C["Grid"]
    C --> D["ENTER"]
    D --> E[""PT" 1"]
    E --> F["ESC"]
    F --> G["USB"]
    H["ERROR"] --> E
    I["X8"] --> J["Feedback Loop"]

graph LR
    A["Start"] --> B["SC"]
    B --> C["Change PIN +0 ENTER"]
    C --> D["STATUS"]
    D --> E["GERÄTE-PIN 8-7-6-5-4-3-2-1 ENTER"]
    E --> F["STATUS"]
    F --> G["GERÄTE-PIN NEU 8-7-6-5-4-3-2-1 ENTER"]
    G --> H["GERÄTE-PIN NEU 8-7-6-5-4-3-2-1 ENTER"]
    H --> I[""PT" 3"]
    I --> J["End"]

    K["Start"] --> L["SC"]
    L --> M["ERROR"]
    M --> N["ADMIN +0 ENTER"]
    N --> O["STATUS"]
    O --> P["GERÄTE-PIN 8-7-6-5-4-3-2-1 ENTER"]
    P --> Q[""PT" 3"]
    Q --> R["End"]

graph LR
    A["Start"] --> B["SCA"]
    B --> C{SC not initialized}
    C -->|initialize Smartcoard| D["ENTER +3"]
    D --> E["SCAN"]
    E --> F["GERÄTE PIN 8.7-6.5-4.3-2.1"]
    F --> G["ENTER"]
    G --> H["STATUS 2"]
    H --> I["SC A PIN 1.2-3.4-5.6-7.8"]
    I --> J["ENTER"]
    J --> K["STATUS 3"]
    K --> L["SCA"]
    L --> M["SCB"]
    M --> N["ENTER"]
    N --> O["SC-B PIN 1.2-3.4-5.6-7.8"]
    O --> P["ENTER"]
    P --> Q["STATUS"]
    Q --> R["OUTPUT"]
    R --> S["OUTPUT 3"]
    S --> T["OUTPUT 3"]
    T --> U["OUTPUT 3"]
    U --> V["OUTPUT 3"]

graph LR
    A["User"] --> B["SC"]
    B --> C["ADMIN + 1"]
    C --> D["STATUS"]
    D --> E["GERÄTE-PIN 8-7-6-5-4-3-2-1"]
    E --> F[""PT" 3"]
    F --> G["Switch"]
    G --> H["USB"]
    H --> I["SC"]
    I --> J["SC-PIN 1-2-3-4-5-6-7-8"]
    J --> K["Lockout mode active"]
    J --> L["Lockout mode not active"]
    style K fill:#f9f,stroke:#333
    style L fill:#bbf,stroke:#333