PQC KHEPRA MCP Server

offiziell

We need to translate the given text from English to German, preserving the name "PQC KHEPRA MCP Server" if it appears, but the instruction says "Do not include the name unless it appears in the source text." The source text starts with "KHEPRA MCP Server" (without PQC prefix) and later mentions "PQC-01-STIG-V1R1" and "PQC" elsewhere. The name to preserve is "PQC KHEPRA MCP Server" but it doesn't appear exactly in the text. The text has "KHEPRA MCP Server" and later "PQC" separately. So we should not add the full name. We translate the text as is. We need to preserve product names, protocol names, URLs, numbers, technical terms. So "smithery badge", "MCP Registry", "License", "Container", "PQC", "STIG", "CCI", "NIST", "CMMC", "ert_scan", "Godfather Report", "DoD

Dokumentation

KHEPRA MCP Server

smithery badge MCP Registry License Container PQC Live

Souveräne Compliance-Engine mit 36.195 STIG/CCI/NIST/CMMC-Zuordnungen. 72 Tools. v2.0.0.

Luftspaltfähig. Keine Token-Kosten. Führen Sie ert_scan aus → erhalten Sie einen Godfather-Bericht mit geschäftlichen Auswirkungen in Dollar.
Der einzige MCP-Compliance-Server, der auf Ihrer eigenen Hardware läuft – mit dem weltweit ersten DoD PQC STIG integriert.

PQC-01-STIG-V1R1 — Vollständiges Whitepaper →
17 Kontrollen, die CNSA 2.0, FIPS 203/204/205 und die NSA-Sicherheitsempfehlung für MCP vom Mai 2026 abdecken.
Das weltweit erste DoD-artige Post-Quantum-Kryptographie-STIG, einschließlich der ersten PQC-Kontrollen für agentische KI und MCP-Bereitstellungen.

Live gehosteter Endpunkt: https://mcp.souhimbou.ai/sse — keine Installation, Verbindung in 30 Sekunden.
Selbst hosten für souveränen/Luftspalt-Betrieb: Docker oder Binary.


Stufen

StufeLizenzschlüsselToolsTelemetrieAusgehender Datenverkehr
Community❌ Nicht erforderlichpqc_stig + 12 Kern-ToolsOpt-in Dark Crypto IntelNull (souveräner Modus)
Sovereign✅ ErforderlichAlle 72 ToolsNullNull
Pharaoh✅ ErforderlichAlle 72 Tools + Prioritäts-Support + SLANullNull

Community-Stufe ist kostenlos. Führen Sie pqc_stig aus, um die Quantenbereitschaft Ihres Projekts anhand von
PQC-01-STIG-V1R1 – dem weltweit ersten DoD-artigen Post-Quantum-Kryptographie-STIG – zu bewerten, ohne dass ein Lizenzschlüssel erforderlich ist.


Was es tut

KHEPRA MCP verbindet Ihren KI-Assistenten direkt mit einer gehärteten Compliance-Engine. Bitten Sie Claude oder einen beliebigen MCP-Client, ein System zu scannen, Ergebnisse STIG/NIST/CMMC-Kontrollen zuzuordnen und einen führungskräftetauglichen Risikobericht zu erstellen – alles ohne Daten an externe APIs zu senden.

Hauptfunktionen:

  • 36.195 STIG/CCI/NIST 800-53/800-171/CMMC-Zuordnungen (offline, gebündelt)
  • Post-Quantum-kryptografische Attestierung bei jedem Tool-Aufruf (ML-DSA-65 / FIPS 204)
  • Weltweit erstes DoD PQC STIG — 17 Kontrollen, die CNSA 2.0 / FIPS 203/204/205 + agentische KI / MCP abdecken (PQC-01-STIG-V1R1)
  • Godfather-Bericht: Geschäftliche Auswirkungen pro Fundstelle in Dollar (FAIR-Modell)
  • Luftspalt- und SCIF-kompatibel – souveräne/ironbank-Modi führen keine ausgehenden Aufrufe durch
  • Pauschale jährliche Lizenzierung – keine Gebühren pro Token oder Abfrage
  • Läuft auf Ihrer Hardware: vor Ort, DoD, IC, klassifizierte Umgebungen

Schnellstart — Gehosteter Endpunkt (Keine Installation)

Der schnellste Weg zu einem Live-Compliance-Tool in Ihrem KI-Client. Kein Docker, kein Binary, kein Build:

{
  "mcpServers": {
    "khepra": {
      "command": "npx",
      "args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
    }
  }
}

Oder wenn Ihr Client nativen SSE-Transport unterstützt:

https://mcp.souhimbou.ai/sse

Gesundheitscheck: https://mcp.souhimbou.ai/mcp/v1/health

Datenhinweis: Der gehostete Endpunkt läuft im edge-Modus — DAG ist im Speicher und flüchtig. Für persistente, signierte Prüfpfade und Luftspalt-Bereitstellung verwenden Sie die unten stehenden selbst gehosteten Optionen.


Selbst gehostete Installation

Für souveräne/Luftspalt-Bereitstellung: Docker (empfohlen, kein Build erforderlich) oder kompiliertes Binary (schnellster Start, SCIF-bereit). Beide unterstützen dieselben Umgebungsvariablen und alle MCP-Clients.

Wählen Sie Ihren Weg:

MethodeAm besten fürStartzeit
Gehosteter EndpunktSchnellster Start, Cloud-ToolsSofort
DockerDie meisten Benutzer, einfachstes Selbst-Hosting~2s
Kompiliertes BinaryLuftspalt, SCIF, Leistung~300ms

Option A: Docker (Empfohlen)

Erfordert Docker Desktop oder Docker Engine. Das Image ist vorgefertigt und enthält die vollständige Compliance-Datenbank – keine zusätzlichen Downloads im souveränen Modus.

# Pull once
docker pull ghcr.io/nouchix/pqc-khepra-mcp:latest

# Test it (should print the initialize response and exit)
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
  | docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest

Option B: Kompiliertes Binary

Erfordert Go 1.21+ zum Bauen, oder laden Sie einen vorgefertigten Release von GitHub Releases herunter.

git clone https://github.com/nouchix/PQC-Khepra-MCP.git
cd PQC-Khepra-MCP

# Build (cross-compile for your OS)
go build -o khepra-mcp ./cmd/khepra-mcp        # Linux / macOS
go build -o khepra-mcp.exe ./cmd/khepra-mcp    # Windows

# Test the binary
echo '{"jsonrpc":"2.0","method":"initialize","params":{"protocolVersion":"2025-11-25","capabilities":{},"clientInfo":{"name":"test","version":"1.0"}},"id":0}' \
  | KHEPRA_MODE=sovereign ./khepra-mcp

Windows — mit dem Batch-Launcher

Das Repository enthält einen run-mcp.bat-Launcher für Windows. Er verwendet das vorgefertigte Binary (schneller Pfad) und greift automatisch auf go run zurück:

:: run-mcp.bat is already in the repo at the root of PQC-Khepra-MCP
:: Point your MCP client to: cmd /c C:\path\to\PQC-Khepra-MCP\run-mcp.bat

Hinzufügen zu Ihrem KI-Client

Claude Desktop

Speicherort der Konfigurationsdatei:

  • macOS: ~/Library/Application Support/Claude/claude_desktop_config.json
  • Windows: %APPDATA%\Claude\claude_desktop_config.json
  • Linux: ~/.config/Claude/claude_desktop_config.json

Community-Stufe — Docker (macOS / Linux)

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Community-Stufe — Docker (Windows)

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "C:\\Users\\YourName\\.khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Community-Stufe — Binary (Windows, schnellster Start)

{
  "mcpServers": {
    "khepra": {
      "command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
      "args": [],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_NETWORK_POLICY": "lan",
        "MCP_PQC_ENABLED": "true",
        "KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
      }
    }
  }
}

Community-Stufe — Binary via Batch-Launcher (Windows)

{
  "mcpServers": {
    "khepra": {
      "command": "cmd",
      "args": ["/c", "C:\\path\\to\\PQC-Khepra-MCP\\run-mcp.bat"],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_NETWORK_POLICY": "lan",
        "MCP_PQC_ENABLED": "true"
      }
    }
  }
}

Sovereign / Pharaoh-Stufe (mit Lizenzschlüssel)

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_LICENSE_KEY",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "-v", "/var/log/khepra:/var/log/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ],
      "env": {
        "KHEPRA_LICENSE_KEY": "YOUR_LICENSE_KEY_HERE"
      }
    }
  }
}

Nach der Bearbeitung starten Sie Claude Desktop neu. Überprüfen Sie unter Einstellungen → Entwickler — Sie sollten khepra mit dem Status wird ausgeführt und allen aufgelisteten Tools sehen.


Cursor

Konfigurationsdatei: .cursor/mcp.json in Ihrem Projektstammverzeichnis oder ~/.cursor/mcp.json global.

Docker (macOS / Linux)

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Binary (macOS / Linux)

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "/path/to/khepra-mcp",
      "args": [],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_MANIFEST_PATH": "/path/to/PQC-Khepra-MCP/manifest.json"
      }
    }
  }
}

Binary (Windows)

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "C:\\path\\to\\PQC-Khepra-MCP\\khepra-mcp.exe",
      "args": [],
      "env": {
        "KHEPRA_MODE": "sovereign",
        "KHEPRA_MANIFEST_PATH": "C:\\path\\to\\PQC-Khepra-MCP\\manifest.json"
      }
    }
  }
}

VS Code (mit GitHub Copilot- oder Cline-Erweiterung)

Konfigurationsdatei: .vscode/mcp.json in Ihrem Projekt oder in den Benutzereinstellungen.

{
  "servers": {
    "khepra": {
      "type": "stdio",
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "${env:HOME}/.khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Oder über die Benutzer-settings.json für die Cline-Erweiterung:

{
  "cline.mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Windsurf

Konfigurationsdatei: ~/.codeium/windsurf/mcp_config.json

{
  "mcpServers": {
    "khepra": {
      "command": "docker",
      "args": [
        "run", "--rm", "-i",
        "-e", "KHEPRA_MODE=sovereign",
        "-v", "/var/lib/khepra:/var/lib/khepra",
        "ghcr.io/nouchix/pqc-khepra-mcp:latest"
      ]
    }
  }
}

Continue.dev

Konfigurationsdatei: ~/.continue/config.json — zum experimental.modelContextProtocolServers-Array hinzufügen:

{
  "experimental": {
    "modelContextProtocolServers": [
      {
        "name": "khepra",
        "transport": {
          "type": "stdio",
          "command": "docker",
          "args": [
            "run", "--rm", "-i",
            "-e", "KHEPRA_MODE=sovereign",
            "ghcr.io/nouchix/pqc-khepra-mcp:latest"
          ]
        }
      }
    ]
  }
}

Cloud / SaaS KI-Tools (Claude.ai, ChatGPT, Gemini, etc.)

Verwenden Sie den Live gehosteten Endpunkt unter mcp.souhimbou.ai — keine Einrichtung erforderlich:

Option 1 — Live gehosteter Endpunkt (empfohlen, keine Einrichtung)

{
  "mcpServers": {
    "khepra": {
      "command": "npx",
      "args": ["-y", "mcp-remote", "https://mcp.souhimbou.ai/sse"]
    }
  }
}

Oder direkte SSE-URL für Tools, die dies akzeptieren:

https://mcp.souhimbou.ai/sse
Cloud-ToolWo die MCP-URL hinzugefügt wird
Claude.ai (Pro/Team)Einstellungen → Integrationen → MCP-Server
Cursor.cursor/mcp.jsonurl-Feld
OpenAI AssistantsAPI tools-Feld mit type: "mcp"
Glama.aiArbeitsbereich → MCP-Server
Smithery.aiKatalog → Selbst gehosteter Server

Option 2 — mcp-remote-Proxy (lokales Binary hinter der Brücke)

Wenn Sie den souveränen Modus (kein ausgehender Datenverkehr) für ein Cloud-Tool benötigen:

# Install once
npm install -g mcp-remote

# Bridge your local sovereign instance
KHEPRA_MODE=sovereign mcp-remote \
  --server "docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest" \
  --port 3000

# Point cloud tool to:
# http://localhost:3000/sse

Sicherheitshinweis: Im sovereign/ironbank-Modus führt KHEPRA keine ausgehenden Aufrufe durch – nur die Brückenverbindung zum Cloud-Tool überträgt Daten.

Option 3 — Smithery / MCP-Registry (Community-Stufe)

KHEPRA ist auf Smithery.ai und der MCP-Registry gelistet. Cloud-Tools, die Registry-basierte Erkennung unterstützen, können es direkt installieren:

Registry ID: io.github.nouchix/pqc-khepra-mcp

Validierung — Testen Sie Ihre Installation

Führen Sie dies in Ihrem Terminal aus, um zu überprüfen, ob der Server korrekt antwortet:

# Docker
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
  | docker run --rm -i -e KHEPRA_MODE=sovereign ghcr.io/nouchix/pqc-khepra-mcp:latest

# Binary (Linux / macOS)
echo '{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
  | KHEPRA_MODE=sovereign ./khepra-mcp

# Binary (Windows PowerShell)
'{"jsonrpc":"2.0","method":"tools/list","params":{},"id":1}' \
  | & ".\khepra-mcp.exe"

Erwartete Ausgabe: eine JSON-RPC-Antwort, die alle verfügbaren Tools auflistet. Wenn Sie "tools": [...] mit 12+ Einträgen sehen — sind Sie verbunden.

Vollständige Protokollvalidierung (Windows)

# Runs the complete Claude Desktop handshake sequence and validates all responses
.\scripts\test-mcp-handshake.ps1 -BinaryPath ".\khepra-mcp.exe"

# Expected output:
# [PASS] initialize | protocolVersion=2025-11-25 | listChanged=False
# [PASS] tools/list | count=34
# TRL-10 READY - Server passes full Claude Desktop protocol validation

MCP-Tools

Community-Stufe (Kostenlos — Kein Lizenzschlüssel)

pqc_stig — Weltweit erstes DoD PQC STIG ⭐

Bewertet ein Quellcodeverzeichnis anhand von PQC-01-STIG-V1R1: 12 Kontrollen, die CNSA 2.0-Algorithmuszulassung, ML-DSA-65-Schlüsselstärke, ML-KEM-768-Kapselung, hybride Kryptographie, Schlüsselspeicherung, Implementierung in konstanter Zeit und Zertifikatskettenanforderungen abdecken.

pqc_stig(scan_path?: string, profile?: "quick" | "full" | "executive")

Beispiel: "Führen Sie pqc_stig für mein Projekt aus und sagen Sie mir, ob ich CNSA 2.0-konform bin"

nist_map

Ordnen Sie CCI-Identifikatoren oder STIG-Ergebnisse NIST 800-53 Rev 5-Kontrollen zu.

khepra_query_stig

Durchsuchen Sie die 36.195 Zeilen umfassende STIG/CCI/NIST/CMMC-Compliance-Datenbank nach Kontroll-ID.

dark_crypto_contribute (Opt-in)

Tragen Sie anonymisierte kryptografische Algorithmus-Telemetrie zum SouHimBou AI Dark Crypto Intelligence Network bei. Keine PII. Nur Opt-in — wird niemals ohne expliziten Aufruf ausgelöst.


Sovereign / Pharaoh-Stufe

ert_scan

Enterprise Risk & Threat-Scan über STIG, NIST 800-53, NIST 800-171, CMMC und FedRAMP. Liefert einen Godfather-Bericht mit geschäftlichen Auswirkungen in Dollar.

ert_scan(target: string, frameworks?: string[], output_format?: "godfather" | "json" | "csv")

Beispiel: "Führen Sie ert_scan auf /etc aus und erstellen Sie einen Godfather-Bericht"

stig_check

Automatisierter RHEL-09-STIG-V1R3-Compliance-Scan für ein Live-System oder einen Konfigurationspfad.

cmmc_assess

Vollständige CMMC Level 1, 2 oder 3-Bewertung mit Gap-Analyse und POA&M-Erstellung.

godfather_report

Erstellen Sie einen Godfather-Bericht für Führungskräfte aus früheren Scan-Ergebnissen: Top-10-Ergebnisse, sortiert nach Dollar-Exposition, Sanierungs-ROI und geschäftlichen Auswirkungen nach dem FAIR-Modell.

+ 20 zusätzliche Tools

agent_record, dag_attestation, flight_export, khepra_get_dag_chain, nhi_inventory, acp_status, owasp_agent_assess, khepra_export_attestation, khepra_export_poam, khepra_get_compliance_score, ert_crypto, ert_readiness, stig_benchmark, ir_analysis, vuln_hunter, sbom_generate, threat_model, khepra_query_threat_intel, discover_assets und mehr.


Der Godfather-Bericht

Im Gegensatz zu Compliance-Scannern, die eine Wand von CVEs ausgeben, übersetzt KHEPRA die Ergebnisse in die Sprache, die Führungskräfte interessiert:

Finding: RHEL-09-212030 — No FIPS-validated crypto on /etc/ssh
Severity: CAT I (HIGH)
Business Impact: $2.4M estimated breach exposure (FAIR model)
Remediation Cost: $800 (4 hours engineer time)
ROI: 3,000x

Jeder Fund enthält Kontroll-ID, Framework-Zuordnung, geschäftliche Auswirkungen in Dollar, geschätzte Sanierungskosten und ROI.


Bereitstellungsmodi

ModusLuftspaltAusgehender DatenverkehrTelemetrieAnwendungsfall
sovereign✅ JaNullNullVor Ort, SCIF, klassifiziert (STANDARD)
ironbank✅ JaNullNullDoD/IC-Produktion, nur FIPS
hybrid❌ NeinLANNullEdge + Cloud-Koordination
edge❌ NeinUnbeschränktNullVollständig zustandsloses SaaS

Einstellung über die Umgebungsvariable KHEPRA_MODE. Unbekannte Werte werden beim Start abgelehnt und fallen auf sovereign zurück (fail-closed).


Umgebungsvariablen

VariableErforderlichStandardBeschreibung
KHEPRA_LICENSE_KEYNur Sovereign/PharaohLizenzschlüssel. Die Community-Stufe läuft ohne. Erhältlich bei nouchix.com
KHEPRA_MODENeinsovereignBereitstellungsmodus: sovereign, ironbank, hybrid, edge
KHEPRA_MANIFEST_PATHNeinmanifest.jsonPfad zur signierten Tool-Manifestdatei
KHEPRA_HOMENein/var/lib/khepraDaten- und Compliance-DB-Verzeichnis
KHEPRA_LOG_DIRNein/var/log/khepraProtokollverzeichnis
KHEPRA_DAG_PATHNein~/.khepra/dagDAG-Audit-Chain-Speicherpfad
KHEPRA_AUDIT_LOG_PATHNein~/.khepra/audit.ndjsonSignierter Audit-Log-Pfad
KHEPRA_MAX_CONCURRENTNein5Maximale gleichzeitige Tool-Aufrufe pro Agent
KHEPRA_NETWORK_POLICYNeinlanNetzwerkumfang: lan, none, unrestricted
MCP_PQC_ENABLEDNeintrueML-DSA-65 PQC-Attestierung für alle Antworten aktivieren

Luftspalt- & SCIF-Bereitstellung

KHEPRA führt keine externen Netzwerkaufrufe im sovereign- und ironbank-Modus durch:

  • Lizenz wird offline über eine mit ML-DSA-65 signierte license.adinkhepra-Datei validiert
  • Compliance-Datenbanken (36.195 Zuordnungen) sind im Container gebündelt – keine externen Downloads
  • Keine Telemetrie, kein Heartbeat, kein ausgehender Datenverkehr – auf Transportebene verifiziert
# Transfer image to air-gapped network
docker save ghcr.io/nouchix/pqc-khepra-mcp:latest | gzip > khepra-mcp.tar.gz

# On air-gapped host:
docker load < khepra-mcp.tar.gz

Hinweis zur Telemetrie: Das dark_crypto_contribute-Tool (Community-Stufe) sendet anonymisierte kryptografische Algorithmus-Telemetrie an das SouHimBou AI-Geheimdienstnetzwerk nur, wenn es explizit vom Benutzer aufgerufen wird. Es wird niemals automatisch ausgelöst. Im souveränen/ironbank-Modus sind alle Netzwerkaufrufe auf Transportebene grundsätzlich blockiert.


Compliance-Abdeckung

FrameworkVersionZuordnungen
STIG (RHEL 9)V1R3Automatisiertes Scannen
NIST 800-53Rev 52.120 CCIs
NIST 800-171Rev 2320 Kontrollen
CMMCLevel 3Vollständiger Praxissatz
FedRAMPHochBaseline-Scanning
PQC-01-STIG-V1R1V1R117 PQC-Kontrollen (CNSA 2.0)
Gesamt36.195+ Zuordnungen

Lizenzierung

Pauschale jährliche Lizenzierung — keine Gebühren pro Token oder Abfrage.

StufeKostenLizenzschlüsselWerkzeuge
CommunityKostenlosNicht erforderlichpqc_stig + 12 Kernwerkzeuge
SovereignJährliche PauschalgebührErforderlichAlle 34 Werkzeuge, Air-Gap, On-Prem
PharaohJährliche PauschalgebührErforderlichAlle 34 Werkzeuge + Prioritäts-Support + SLA
  • Community-Stufe ist dauerhaft kostenlos — leisten Sie einen Beitrag zur Open-Source-PQC-Akzeptanz
  • Sovereign/Pharaoh: Kontaktieren Sie [email protected] oder besuchen Sie nouchix.com

Sicherheit

Melden von Schwachstellen

Öffnen Sie keine öffentlichen Issues für Sicherheitslücken.

Melden Sie diese privat über GitHub Security Advisories oder per E-Mail an [email protected].

SLAZiel
Bestätigung24 Stunden
Erste Bewertung5 Werktage
Patch / Gegenmaßnahme (Kritisch)30 Tage

Wir akzeptieren verschlüsselte Meldungen per PGP (keys/security_contact.asc) und Post-Quantum-Kanälen (Dilithium / ML-DSA-65-Schlüssel in keys/). Siehe SECURITY.md für die vollständige Offenlegungsrichtlinie und ASAF-Ereignistaxonomie.


Sicherheitslage

Einsatz fortschrittlicher Post-Quantum-Kryptographie, luftspaltisolierter Umgebungen und umfassender STIG-Zuordnungen — entwickelt in direkter Übereinstimmung mit den Richtlinien des NSA & ASD Model Context Protocol.

NSA & ASD MCP-Sicherheitsausrichtung

Die NSA und das Australian Signals Directorate (ASD) haben spezifische Bedrohungsvektoren für KI-Systeme veröffentlicht, die mit lokalen Umgebungen interagieren. KHEPRA MCP wurde explizit entwickelt, um jeden identifizierten Vektor zu entschärfen:

NSA/ASD-AnforderungKHEPRA-Implementierung
Kryptografische Validierung von WerkzeugantwortenML-DSA-65 (Dilithium)-Signaturen auf allen JSON-RPC 2.0-Nutzdaten
Eingabevalidierung & -bereinigungParameter-Injection-Resistenz durch strikte JSON-Schema-Validierung
Prinzip der geringsten Privilegien für AnmeldeinformationenKurzlebige, flüchtige Token, die an bestimmte Aufgabenausführungsfenster gebunden sind
Umfassende Audit-ProtokollierungManipulationssichere Ereignisse, kompiliert in eine unveränderliche DAG-Struktur
RessourcenverbrauchsgrenzenRatenbegrenzung + Gegendruck für LLM-Anforderungsschleifen
Autorisierungs-Gates für sensible AktionenHuman-in-the-Loop-Gate für destruktive Zustandsänderungen
UmgebungsisolationContainerisierte Ausführung mit Zero-Egress-Sovereign-Modus
Integrität der Software-LieferketteManifest-Pinning für alle geladenen Werkzeuge und Abhängigkeiten
Reduzierung der NetzwerkangriffsflächeLuftspaltfähig — kein Internet-Transit in den Modi sovereign/ironbank
Post-Quantum-ResilienzPQC-signierte DAG-Spur zum Schutz vor Harvest-now-decrypt-later

Compliance-Zertifizierungen

RahmenwerkStatusAbdeckung
CMMC Level 2Automatisiert die Beweissammlung für AU-, CM-, SI-, SC-Domänen
NIST SP 800-171 Rev 2Protokollierung, Nachvollziehbarkeit, Systemintegrität
NIST SP 800-53 Rev 5Kontinuierliche Überwachung (AU-2, SI-4)
FIPS 203 (ML-KEM)Schlüsselkapselung für sicheren Transit
FIPS 204 (ML-DSA)Digitale Signaturen zur Nutzdatenauthentifizierung
NSM-10 PQC-MandatNational Security Memorandum 10-Konformität
DFARS 252.204-7012Unveränderliche forensische Spuren für die Meldung von Cyber-Vorfällen
NSA MCP-SicherheitsrichtlinienDirekte Zuordnung zu allen veröffentlichten KI-Agenten-Bedrohungsminderungen

Live-Bereitstellung — Physische Edge

Seit dem 12. Mai 2026 kontinuierlich auf eingeschränkter Edge-Hardware in Betrieb, um die Effizienz in souveränen Umgebungen zu beweisen:

  • Hardware: Raspberry Pi 2 · 1 GB RAM · 900 MHz ARM · Live Spectrum Router
  • SCADA Pod: STM32U585 / QRB2210 · Modbus TCP · MQTT · Zephyr RTOS 3.4+ · Live Dilithium-Signaturverifizierung
  • Aktive Kontrollen: 3 offene Ports gesichert · 12 STIG-Verstöße erkannt · 100% Dateiintegritätsüberwachung (AIDE) · 24/7 Dauerbetrieb

Akademische Validierung

VeranstaltungDatumInstitution
UAlbany AI Plus Symposium 2026"KHEPRA Protocol: Quantum-Resilient Agentic AI Security Using Cultural Cryptography"7. März 2026NSA CAE-CDE Institution · 200+ Zuschauer
SUNY Albany Cybersecurity Showcase — Erste PQC-Schlüsselzeremonie auf einem Gerät der STM32-Klasse (SCADA Pod)12.–13. Mai 2026Live-Demo · SCADA-Architekturposter

USPTO vorläufiges Patent #73565085 — anhängig.
🔒 Iron Bank-Container im DISA-Prüfungsprozess.


Über NouchiX

Von Veteranen geführtes Beratungsunternehmen, das CMMC-, NIST- und STIG-Vorgaben in Executive-Roadmaps übersetzt.

Entwickelt von SecRed Knowledge Inc. dba NouchiX, Albany, NY.