PQC KHEPRA MCP Server
offiziellWe need to translate the given text from English to German, preserving the name "PQC KHEPRA MCP Server" if it appears, but the instruction says "Do not include the name unless it appears in the source text." The source text starts with "KHEPRA MCP Server" (without PQC prefix) and later mentions "PQC-01-STIG-V1R1" and "PQC" elsewhere. The name to preserve is "PQC KHEPRA MCP Server" but it doesn't appear exactly in the text. The text has "KHEPRA MCP Server" and later "PQC" separately. So we should not add the full name. We translate the text as is. We need to preserve product names, protocol names, URLs, numbers, technical terms. So "smithery badge", "MCP Registry", "License", "Container", "PQC", "STIG", "CCI", "NIST", "CMMC", "ert_scan", "Godfather Report", "DoD
Dokumentation
KHEPRA MCP Server
Souveräne Compliance-Engine mit 36.195 STIG/CCI/NIST/CMMC-Zuordnungen. 72 Tools. v2.0.0.
Luftspaltfähig. Keine Token-Kosten. Führen Sie ert_scan aus → erhalten Sie einen Godfather-Bericht mit geschäftlichen Auswirkungen in Dollar.
Der einzige MCP-Compliance-Server, der auf Ihrer eigenen Hardware läuft – mit dem weltweit ersten DoD PQC STIG integriert.
PQC-01-STIG-V1R1 — Vollständiges Whitepaper →
17 Kontrollen, die CNSA 2.0, FIPS 203/204/205 und die NSA-Sicherheitsempfehlung für MCP vom Mai 2026 abdecken.
Das weltweit erste DoD-artige Post-Quantum-Kryptographie-STIG, einschließlich der ersten PQC-Kontrollen für agentische KI und MCP-Bereitstellungen.
Live gehosteter Endpunkt:
https://mcp.souhimbou.ai/sse— keine Installation, Verbindung in 30 Sekunden.
Selbst hosten für souveränen/Luftspalt-Betrieb: Docker oder Binary.
Stufen
| Stufe | Lizenzschlüssel | Tools | Telemetrie | Ausgehender Datenverkehr |
|---|---|---|---|---|
| Community | ❌ Nicht erforderlich | pqc_stig + 12 Kern-Tools | Opt-in Dark Crypto Intel | Null (souveräner Modus) |
| Sovereign | ✅ Erforderlich | Alle 72 Tools | Null | Null |
| Pharaoh | ✅ Erforderlich | Alle 72 Tools + Prioritäts-Support + SLA | Null | Null |
Community-Stufe ist kostenlos. Führen Sie
pqc_stigaus, um die Quantenbereitschaft Ihres Projekts anhand von
PQC-01-STIG-V1R1 – dem weltweit ersten DoD-artigen Post-Quantum-Kryptographie-STIG – zu bewerten, ohne dass ein Lizenzschlüssel erforderlich ist.
Was es tut
KHEPRA MCP verbindet Ihren KI-Assistenten direkt mit einer gehärteten Compliance-Engine. Bitten Sie Claude oder einen beliebigen MCP-Client, ein System zu scannen, Ergebnisse STIG/NIST/CMMC-Kontrollen zuzuordnen und einen führungskräftetauglichen Risikobericht zu erstellen – alles ohne Daten an externe APIs zu senden.
Hauptfunktionen:
- 36.195 STIG/CCI/NIST 800-53/800-171/CMMC-Zuordnungen (offline, gebündelt)
- Post-Quantum-kryptografische Attestierung bei jedem Tool-Aufruf (ML-DSA-65 / FIPS 204)
- Weltweit erstes DoD PQC STIG — 17 Kontrollen, die CNSA 2.0 / FIPS 203/204/205 + agentische KI / MCP abdecken (PQC-01-STIG-V1R1)
- Godfather-Bericht: Geschäftliche Auswirkungen pro Fundstelle in Dollar (FAIR-Modell)
- Luftspalt- und SCIF-kompatibel – souveräne/ironbank-Modi führen keine ausgehenden Aufrufe durch
- Pauschale jährliche Lizenzierung – keine Gebühren pro Token oder Abfrage
- Läuft auf Ihrer Hardware: vor Ort, DoD, IC, klassifizierte Umgebungen
Schnellstart — Gehosteter Endpunkt (Keine Installation)
Der schnellste Weg zu einem Live-Compliance-Tool in Ihrem KI-Client. Kein Docker, kein Binary, kein Build:
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
Oder wenn Ihr Client nativen SSE-Transport unterstützt:
https://mcp.souhimbou.ai/sse
Gesundheitscheck: https://mcp.souhimbou.ai/mcp/v1/health
Datenhinweis: Der gehostete Endpunkt läuft im
edge-Modus — DAG ist im Speicher und flüchtig. Für persistente, signierte Prüfpfade und Luftspalt-Bereitstellung verwenden Sie die unten stehenden selbst gehosteten Optionen.
Selbst gehostete Installation
Für souveräne/Luftspalt-Bereitstellung: Docker (empfohlen, kein Build erforderlich) oder kompiliertes Binary (schnellster Start, SCIF-bereit). Beide unterstützen dieselben Umgebungsvariablen und alle MCP-Clients.
Wählen Sie Ihren Weg:
| Methode | Am besten für | Startzeit |
|---|---|---|
| Gehosteter Endpunkt | Schnellster Start, Cloud-Tools | Sofort |
| Docker | Die meisten Benutzer, einfachstes Selbst-Hosting | ~2s |
| Kompiliertes Binary | Luftspalt, SCIF, Leistung | ~300ms |
Option A: Docker (Empfohlen)
Erfordert Docker Desktop oder Docker Engine. Das Image ist vorgefertigt und enthält die vollständige Compliance-Datenbank – keine zusätzlichen Downloads im souveränen Modus.
# Pull once
docker pull ghcr.io/nouchix/pqc-khepra-mcp:latest
# Test it (should print the initialize response and exit)
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
Option B: Kompiliertes Binary
Erfordert Go 1.21+ zum Bauen, oder laden Sie einen vorgefertigten Release von GitHub Releases herunter.
git clone https://github.com/nouchix/PQC-Khepra-MCP.git
cd PQC-Khepra-MCP
# Build (cross-compile for your OS)
go build -o khepra-mcp ./cmd/khepra-mcp # Linux / macOS
go build -o khepra-mcp.exe ./cmd/khepra-mcp # Windows
# Test the binary
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
Windows — mit dem Batch-Launcher
Das Repository enthält einen run-mcp.bat-Launcher für Windows. Er verwendet das vorgefertigte Binary (schneller Pfad) und greift automatisch auf go run zurück:
:: run-mcp.bat is already in the repo at the root of PQC-Khepra-MCP
:: Point your MCP client to: cmd /c C:\path\to\PQC-Khepra-MCP\run-mcp.bat
Hinzufügen zu Ihrem KI-Client
Claude Desktop
Speicherort der Konfigurationsdatei:
- macOS:
~/Library/Application Support/Claude/claude_desktop_config.json - Windows:
%APPDATA%\Claude\claude_desktop_config.json - Linux:
~/.config/Claude/claude_desktop_config.json
Community-Stufe — Docker (macOS / Linux)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Community-Stufe — Docker (Windows)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "C:\\Users\\YourName\\.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Community-Stufe — Binary (Windows, schnellster Start)
{
"mcpServers": {
"khepra": {
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
Community-Stufe — Binary via Batch-Launcher (Windows)
{
"mcpServers": {
"khepra": {
"command": "cmd",
"args": ["/c", "C:\\path\\to\\PQC-Khepra-MCP\\run-mcp.bat"],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_NETWORK_POLICY": "lan",
"MCP_PQC_ENABLED": "true"
}
}
}
}
Sovereign / Pharaoh-Stufe (mit Lizenzschlüssel)
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_LICENSE_KEY",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"-v", "/var/log/khepra:/var/log/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
],
"env": {
"KHEPRA_LICENSE_KEY": "YOUR_LICENSE_KEY_HERE"
}
}
}
}
Nach der Bearbeitung starten Sie Claude Desktop neu. Überprüfen Sie unter Einstellungen → Entwickler — Sie sollten khepra mit dem Status wird ausgeführt und allen aufgelisteten Tools sehen.
Cursor
Konfigurationsdatei: .cursor/mcp.json in Ihrem Projektstammverzeichnis oder ~/.cursor/mcp.json global.
Docker (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Binary (macOS / Linux)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "/path/to/khepra-mcp",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "/path/to/PQC-Khepra-MCP/manifest.json"
}
}
}
}
Binary (Windows)
{
"servers": {
"khepra": {
"type": "stdio",
"command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
"args": [],
"env": {
"KHEPRA_MODE": "sovereign",
"KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
}
}
}
}
VS Code (mit GitHub Copilot- oder Cline-Erweiterung)
Konfigurationsdatei: .vscode/mcp.json in Ihrem Projekt oder in den Benutzereinstellungen.
{
"servers": {
"khepra": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "${env:HOME}/.khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Oder über die Benutzer-settings.json für die Cline-Erweiterung:
{
"cline.mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Windsurf
Konfigurationsdatei: ~/.codeium/windsurf/mcp_config.json
{
"mcpServers": {
"khepra": {
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"-v", "/var/lib/khepra:/var/lib/khepra",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
}
Continue.dev
Konfigurationsdatei: ~/.continue/config.json — zum experimental.modelContextProtocolServers-Array hinzufügen:
{
"experimental": {
"modelContextProtocolServers": [
{
"name": "khepra",
"transport": {
"type": "stdio",
"command": "docker",
"args": [
"run", "--rm", "-i",
"-e", "KHEPRA_MODE=sovereign",
"ghcr.io/nouchix/pqc-khepra-mcp:latest"
]
}
}
]
}
}
Cloud / SaaS KI-Tools (Claude.ai, ChatGPT, Gemini, etc.)
Verwenden Sie den Live gehosteten Endpunkt unter mcp.souhimbou.ai — keine Einrichtung erforderlich:
Option 1 — Live gehosteter Endpunkt (empfohlen, keine Einrichtung)
{
"mcpServers": {
"khepra": {
"command": "npx",
"args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
}
}
}
Oder direkte SSE-URL für Tools, die dies akzeptieren:
https://mcp.souhimbou.ai/sse
| Cloud-Tool | Wo die MCP-URL hinzugefügt wird |
|---|---|
| Claude.ai (Pro/Team) | Einstellungen → Integrationen → MCP-Server |
| Cursor | .cursor/mcp.json → url-Feld |
| OpenAI Assistants | API tools-Feld mit type: "mcp" |
| Glama.ai | Arbeitsbereich → MCP-Server |
| Smithery.ai | Katalog → Selbst gehosteter Server |
Option 2 — mcp-remote-Proxy (lokales Binary hinter der Brücke)
Wenn Sie den souveränen Modus (kein ausgehender Datenverkehr) für ein Cloud-Tool benötigen:
# Install once
npm install -g mcp-remote
# Bridge your local sovereign instance
KHEPRA_MODE=sovereign mcp-remote \
--server "docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest" \
--port 3000
# Point cloud tool to:
# http://localhost:3000/sse
Sicherheitshinweis: Im
sovereign/ironbank-Modus führt KHEPRA keine ausgehenden Aufrufe durch – nur die Brückenverbindung zum Cloud-Tool überträgt Daten.
Option 3 — Smithery / MCP-Registry (Community-Stufe)
KHEPRA ist auf Smithery.ai und der MCP-Registry gelistet. Cloud-Tools, die Registry-basierte Erkennung unterstützen, können es direkt installieren:
Registry ID: io.github.nouchix/pqc-khepra-mcp
Validierung — Testen Sie Ihre Installation
Führen Sie dies in Ihrem Terminal aus, um zu überprüfen, ob der Server korrekt antwortet:
# Docker
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest
# Binary (Linux / macOS)
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| KHEPRA_MODE=sovereign ./khepra-mcp
# Binary (Windows PowerShell)
'{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
| & ".\khepra-mcp.exe"
Erwartete Ausgabe: eine JSON-RPC-Antwort, die alle verfügbaren Tools auflistet. Wenn Sie "tools": [...] mit 12+ Einträgen sehen — sind Sie verbunden.
Vollständige Protokollvalidierung (Windows)
# Runs the complete Claude Desktop handshake sequence and validates all responses
.\scripts\test-mcp-handshake.ps1 -BinaryPath ".\khepra-mcp.exe"
# Expected output:
# [PASS] initialize | protocolVersion=2025-11-25 | listChanged=False
# [PASS] tools/list | count=34
# TRL-10 READY - Server passes full Claude Desktop protocol validation
MCP-Tools
Community-Stufe (Kostenlos — Kein Lizenzschlüssel)
pqc_stig — Weltweit erstes DoD PQC STIG ⭐
Bewertet ein Quellcodeverzeichnis anhand von PQC-01-STIG-V1R1: 12 Kontrollen, die CNSA 2.0-Algorithmuszulassung, ML-DSA-65-Schlüsselstärke, ML-KEM-768-Kapselung, hybride Kryptographie, Schlüsselspeicherung, Implementierung in konstanter Zeit und Zertifikatskettenanforderungen abdecken.
pqc_stig(scan_path?: string, profile?: "quick" | "full" | "executive")
Beispiel: "Führen Sie pqc_stig für mein Projekt aus und sagen Sie mir, ob ich CNSA 2.0-konform bin"
nist_map
Ordnen Sie CCI-Identifikatoren oder STIG-Ergebnisse NIST 800-53 Rev 5-Kontrollen zu.
khepra_query_stig
Durchsuchen Sie die 36.195 Zeilen umfassende STIG/CCI/NIST/CMMC-Compliance-Datenbank nach Kontroll-ID.
dark_crypto_contribute (Opt-in)
Tragen Sie anonymisierte kryptografische Algorithmus-Telemetrie zum SouHimBou AI Dark Crypto Intelligence Network bei. Keine PII. Nur Opt-in — wird niemals ohne expliziten Aufruf ausgelöst.
Sovereign / Pharaoh-Stufe
ert_scan
Enterprise Risk & Threat-Scan über STIG, NIST 800-53, NIST 800-171, CMMC und FedRAMP. Liefert einen Godfather-Bericht mit geschäftlichen Auswirkungen in Dollar.
ert_scan(target: string, frameworks?: string[], output_format?: "godfather" | "json" | "csv")
Beispiel: "Führen Sie ert_scan auf /etc aus und erstellen Sie einen Godfather-Bericht"
stig_check
Automatisierter RHEL-09-STIG-V1R3-Compliance-Scan für ein Live-System oder einen Konfigurationspfad.
cmmc_assess
Vollständige CMMC Level 1, 2 oder 3-Bewertung mit Gap-Analyse und POA&M-Erstellung.
godfather_report
Erstellen Sie einen Godfather-Bericht für Führungskräfte aus früheren Scan-Ergebnissen: Top-10-Ergebnisse, sortiert nach Dollar-Exposition, Sanierungs-ROI und geschäftlichen Auswirkungen nach dem FAIR-Modell.
+ 20 zusätzliche Tools
agent_record, dag_attestation, flight_export, khepra_get_dag_chain, nhi_inventory, acp_status, owasp_agent_assess, khepra_export_attestation, khepra_export_poam, khepra_get_compliance_score, ert_crypto, ert_readiness, stig_benchmark, ir_analysis, vuln_hunter, sbom_generate, threat_model, khepra_query_threat_intel, discover_assets und mehr.
Der Godfather-Bericht
Im Gegensatz zu Compliance-Scannern, die eine Wand von CVEs ausgeben, übersetzt KHEPRA die Ergebnisse in die Sprache, die Führungskräfte interessiert:
Finding: RHEL-09-212030 — No FIPS-validated crypto on /etc/ssh
Severity: CAT I (HIGH)
Business Impact: $2.4M estimated breach exposure (FAIR model)
Remediation Cost: $800 (4 hours engineer time)
ROI: 3,000x
Jeder Fund enthält Kontroll-ID, Framework-Zuordnung, geschäftliche Auswirkungen in Dollar, geschätzte Sanierungskosten und ROI.
Bereitstellungsmodi
| Modus | Luftspalt | Ausgehender Datenverkehr | Telemetrie | Anwendungsfall |
|---|---|---|---|---|
sovereign | ✅ Ja | Null | Null | Vor Ort, SCIF, klassifiziert (STANDARD) |
ironbank | ✅ Ja | Null | Null | DoD/IC-Produktion, nur FIPS |
hybrid | ❌ Nein | LAN | Null | Edge + Cloud-Koordination |
edge | ❌ Nein | Unbeschränkt | Null | Vollständig zustandsloses SaaS |
Einstellung über die Umgebungsvariable KHEPRA_MODE. Unbekannte Werte werden beim Start abgelehnt und fallen auf sovereign zurück (fail-closed).
Umgebungsvariablen
| Variable | Erforderlich | Standard | Beschreibung |
|---|---|---|---|
KHEPRA_LICENSE_KEY | Nur Sovereign/Pharaoh | — | Lizenzschlüssel. Die Community-Stufe läuft ohne. Erhältlich bei nouchix.com |
KHEPRA_MODE | Nein | sovereign | Bereitstellungsmodus: sovereign, ironbank, hybrid, edge |
KHEPRA_MANIFEST_PATH | Nein | manifest.json | Pfad zur signierten Tool-Manifestdatei |
KHEPRA_HOME | Nein | /var/lib/khepra | Daten- und Compliance-DB-Verzeichnis |
KHEPRA_LOG_DIR | Nein | /var/log/khepra | Protokollverzeichnis |
KHEPRA_DAG_PATH | Nein | ~/.khepra/dag | DAG-Audit-Chain-Speicherpfad |
KHEPRA_AUDIT_LOG_PATH | Nein | ~/.khepra/audit.ndjson | Signierter Audit-Log-Pfad |
KHEPRA_MAX_CONCURRENT | Nein | 5 | Maximale gleichzeitige Tool-Aufrufe pro Agent |
KHEPRA_NETWORK_POLICY | Nein | lan | Netzwerkumfang: lan, none, unrestricted |
MCP_PQC_ENABLED | Nein | true | ML-DSA-65 PQC-Attestierung für alle Antworten aktivieren |
Luftspalt- & SCIF-Bereitstellung
KHEPRA führt keine externen Netzwerkaufrufe im sovereign- und ironbank-Modus durch:
- Lizenz wird offline über eine mit ML-DSA-65 signierte
license.adinkhepra-Datei validiert - Compliance-Datenbanken (36.195 Zuordnungen) sind im Container gebündelt – keine externen Downloads
- Keine Telemetrie, kein Heartbeat, kein ausgehender Datenverkehr – auf Transportebene verifiziert
# Transfer image to air-gapped network
docker save ghcr.io/nouchix/pqc-khepra-mcp:latest | gzip > khepra-mcp.tar.gz
# On air-gapped host:
docker load < khepra-mcp.tar.gz
Hinweis zur Telemetrie: Das
dark_crypto_contribute-Tool (Community-Stufe) sendet anonymisierte kryptografische Algorithmus-Telemetrie an das SouHimBou AI-Geheimdienstnetzwerk nur, wenn es explizit vom Benutzer aufgerufen wird. Es wird niemals automatisch ausgelöst. Im souveränen/ironbank-Modus sind alle Netzwerkaufrufe auf Transportebene grundsätzlich blockiert.
Compliance-Abdeckung
| Framework | Version | Zuordnungen |
|---|---|---|
| STIG (RHEL 9) | V1R3 | Automatisiertes Scannen |
| NIST 800-53 | Rev 5 | 2.120 CCIs |
| NIST 800-171 | Rev 2 | 320 Kontrollen |
| CMMC | Level 3 | Vollständiger Praxissatz |
| FedRAMP | Hoch | Baseline-Scanning |
| PQC-01-STIG-V1R1 | V1R1 | 17 PQC-Kontrollen (CNSA 2.0) |
| Gesamt | 36.195+ Zuordnungen |
Lizenzierung
Pauschale jährliche Lizenzierung — keine Gebühren pro Token oder Abfrage.
| Stufe | Kosten | Lizenzschlüssel | Werkzeuge |
|---|---|---|---|
| Community | Kostenlos | Nicht erforderlich | pqc_stig + 12 Kernwerkzeuge |
| Sovereign | Jährliche Pauschalgebühr | Erforderlich | Alle 34 Werkzeuge, Air-Gap, On-Prem |
| Pharaoh | Jährliche Pauschalgebühr | Erforderlich | Alle 34 Werkzeuge + Prioritäts-Support + SLA |
- Community-Stufe ist dauerhaft kostenlos — leisten Sie einen Beitrag zur Open-Source-PQC-Akzeptanz
- Sovereign/Pharaoh: Kontaktieren Sie [email protected] oder besuchen Sie nouchix.com
Sicherheit
Melden von Schwachstellen
Öffnen Sie keine öffentlichen Issues für Sicherheitslücken.
Melden Sie diese privat über GitHub Security Advisories oder per E-Mail an [email protected].
| SLA | Ziel |
|---|---|
| Bestätigung | 24 Stunden |
| Erste Bewertung | 5 Werktage |
| Patch / Gegenmaßnahme (Kritisch) | 30 Tage |
Wir akzeptieren verschlüsselte Meldungen per PGP (keys/security_contact.asc) und Post-Quantum-Kanälen (Dilithium / ML-DSA-65-Schlüssel in keys/). Siehe SECURITY.md für die vollständige Offenlegungsrichtlinie und ASAF-Ereignistaxonomie.
Sicherheitslage
Einsatz fortschrittlicher Post-Quantum-Kryptographie, luftspaltisolierter Umgebungen und umfassender STIG-Zuordnungen — entwickelt in direkter Übereinstimmung mit den Richtlinien des NSA & ASD Model Context Protocol.
NSA & ASD MCP-Sicherheitsausrichtung
Die NSA und das Australian Signals Directorate (ASD) haben spezifische Bedrohungsvektoren für KI-Systeme veröffentlicht, die mit lokalen Umgebungen interagieren. KHEPRA MCP wurde explizit entwickelt, um jeden identifizierten Vektor zu entschärfen:
| NSA/ASD-Anforderung | KHEPRA-Implementierung |
|---|---|
| Kryptografische Validierung von Werkzeugantworten | ML-DSA-65 (Dilithium)-Signaturen auf allen JSON-RPC 2.0-Nutzdaten |
| Eingabevalidierung & -bereinigung | Parameter-Injection-Resistenz durch strikte JSON-Schema-Validierung |
| Prinzip der geringsten Privilegien für Anmeldeinformationen | Kurzlebige, flüchtige Token, die an bestimmte Aufgabenausführungsfenster gebunden sind |
| Umfassende Audit-Protokollierung | Manipulationssichere Ereignisse, kompiliert in eine unveränderliche DAG-Struktur |
| Ressourcenverbrauchsgrenzen | Ratenbegrenzung + Gegendruck für LLM-Anforderungsschleifen |
| Autorisierungs-Gates für sensible Aktionen | Human-in-the-Loop-Gate für destruktive Zustandsänderungen |
| Umgebungsisolation | Containerisierte Ausführung mit Zero-Egress-Sovereign-Modus |
| Integrität der Software-Lieferkette | Manifest-Pinning für alle geladenen Werkzeuge und Abhängigkeiten |
| Reduzierung der Netzwerkangriffsfläche | Luftspaltfähig — kein Internet-Transit in den Modi sovereign/ironbank |
| Post-Quantum-Resilienz | PQC-signierte DAG-Spur zum Schutz vor Harvest-now-decrypt-later |
Compliance-Zertifizierungen
| Rahmenwerk | Status | Abdeckung |
|---|---|---|
| CMMC Level 2 | ✅ | Automatisiert die Beweissammlung für AU-, CM-, SI-, SC-Domänen |
| NIST SP 800-171 Rev 2 | ✅ | Protokollierung, Nachvollziehbarkeit, Systemintegrität |
| NIST SP 800-53 Rev 5 | ✅ | Kontinuierliche Überwachung (AU-2, SI-4) |
| FIPS 203 (ML-KEM) | ✅ | Schlüsselkapselung für sicheren Transit |
| FIPS 204 (ML-DSA) | ✅ | Digitale Signaturen zur Nutzdatenauthentifizierung |
| NSM-10 PQC-Mandat | ✅ | National Security Memorandum 10-Konformität |
| DFARS 252.204-7012 | ✅ | Unveränderliche forensische Spuren für die Meldung von Cyber-Vorfällen |
| NSA MCP-Sicherheitsrichtlinien | ✅ | Direkte Zuordnung zu allen veröffentlichten KI-Agenten-Bedrohungsminderungen |
Live-Bereitstellung — Physische Edge
Seit dem 12. Mai 2026 kontinuierlich auf eingeschränkter Edge-Hardware in Betrieb, um die Effizienz in souveränen Umgebungen zu beweisen:
- Hardware: Raspberry Pi 2 · 1 GB RAM · 900 MHz ARM · Live Spectrum Router
- SCADA Pod: STM32U585 / QRB2210 · Modbus TCP · MQTT · Zephyr RTOS 3.4+ · Live Dilithium-Signaturverifizierung
- Aktive Kontrollen: 3 offene Ports gesichert · 12 STIG-Verstöße erkannt · 100% Dateiintegritätsüberwachung (AIDE) · 24/7 Dauerbetrieb
Akademische Validierung
| Veranstaltung | Datum | Institution |
|---|---|---|
| UAlbany AI Plus Symposium 2026 — "KHEPRA Protocol: Quantum-Resilient Agentic AI Security Using Cultural Cryptography" | 7. März 2026 | NSA CAE-CDE Institution · 200+ Zuschauer |
| SUNY Albany Cybersecurity Showcase — Erste PQC-Schlüsselzeremonie auf einem Gerät der STM32-Klasse (SCADA Pod) | 12.–13. Mai 2026 | Live-Demo · SCADA-Architekturposter |
USPTO vorläufiges Patent #73565085 — anhängig.
🔒 Iron Bank-Container im DISA-Prüfungsprozess.
Über NouchiX
Von Veteranen geführtes Beratungsunternehmen, das CMMC-, NIST- und STIG-Vorgaben in Executive-Roadmaps übersetzt.
- Vertrieb / Allgemein: [email protected]
- Support: [email protected]
- Website: https://nouchix.com
- Telefon: (518) 304-4450
Entwickelt von SecRed Knowledge Inc. dba NouchiX, Albany, NY.