logo
english deutsch

Wien, am

Die Crypto-Edition der Datendiebstahlschreck

Optimale Sicherheit zusätzlich durch 1000-fachen SHA512-Hash

Die Entschlüsselung des Hauptschlüssels findet ausschließlich im Arbeitsspeichers des Clients statt

Der Hauptschlüssel ist nur während der Laufzeit der Anwendungen vorhanden

Ver- u. Entschlüsselung ausschließlich am Client, daher keine zusätzliche Serverbelastung

Sichere Client-Verschlüsselung ohne rechenintensive verschlüsselte Verbindung

Die Besonderheit dieser Verschlüsselung liegt darin, dass die Daten nur auf ausgewählter Hardware und auf dieser nur mit einem Kennwort bzw. nur mit zugeteilten Chip-Karten entschlüsselt werden können.

Das bedeutet allgemein

Die Crypto-Edition wird vor allem auf Clients eingesetzt, die ein besonders hohes Sicherheitsrisiko für das Unternehmen darstellen, wenn diese personenbezogene oder betriebsgeheime Daten verwalten. Ein besonders beliebter Einsatzbereich sind Computer, die mobil benutzt und deshalb auch verloren gehen können oder an exponierten Plätzen stehen.

Da der Hauptschlüssel nicht im System des Computers abgebildet ist, können bei einem möglichen Diebstahl auch keine Daten ausgelesen werden, ohne dass man das Passwort kennt oder die richtige Chip-Card zur Verfügung hat.

Sicher verschlüsselt trotz unverschlüsselter Datenverbindung

Die Verschlüsselung erfolgt spaltenweise für die ausgewählten Spalten, die Daten werden in der Datenbank als verschlüsselte Textfelder gespeichert, es wird daher nicht die Verschlüsselung des Datenbank-Systems selbst benutzt.

Dadurch wird ein Performance-Verlust vermieden, da der Server die Daten nicht blockweise entschlüsselt und die entschlüsselten Daten wieder über eine verschlüsselte Verbindung an die Clients senden muss. Die Daten werden ausschließlich auf den betreffenden Clients entschlüsselt. Der AES-256-Bit Hauptschlüssel wird nicht in der Datenbank und auch nicht auf dem Client selbst gespeichert, sondern im Arbeitsspeicher gehalten.

Somit können Datentransfers zum Server auch nicht "belauscht" werden, da nur verschlüsselte Daten versendet werden. Der Hauptschlüssel wird mit Hardware-Informationen des jeweiligen Clients und Passwort sowie ggf. mit Harware-Informationen und einem Zugangscode, der auf einer Chip-Karte gespeichert ist, verschlüsselt. Sowohl das Passwort als auch die Chip-Karte muss nur einmal je Systemneustart eingelesen werden.

Um Brute-Force-Attacken auf Passwörter zu verhindern, wird nicht das Passwort direkt verwendet, sondern der 1000-fache SHA512-Hash berechnet.

Aufgrund dieser Berechnung können nicht mehr als 10 Passwörter pro Sekunde ausprobiert werden – ohne dieses Verfahren könnten zig-tausende Versuche pro Sekunde probiert werden. Dieser Berechnungsvorgang kann nicht abgekürzt werden und bietet somit auch für Passwörter maximale Sicherheit.

Produkt DBMS Schnittstelle Virtual Datamodel
Crypto-Edition je 1 ODBC X
*Chip-Karten sind kein Bestandteil der Crypto-Edition.
Wir kümmern uns aber gerne für Sie darum.

Bild: Admin-Verschlüsselungsoberfläche

Besonderheiten

+) Ver- u. Entschlüsselung ausschließlich am Client, keine Serverbelastung, da dieser nicht ganze Tabellen blockweise ver- bzw. entschlüsseln muss.

+) Manipulationssicherheit von Datensätzen durch verschlüsselten Datensatz-Hash

+) Vier voneinander unabhängige Schlüsselsätze, die mit konstanten Texten vermischt werden und deren SHA256-bit-Hash den AES-Hauptschlüssel für Ihre Datenbank ergeben

+) Hauptschlüssel wird in der Datenbank nicht gespeichert, Entschlüsselung des Hauptschlüssels ausschließlich im Arbeitsspeichers des Clients und nur während der Laufzeit der Anwendungen vorhanden

+) Einbeziehung von stabilen Hardware-Informationen in die Client-spezifische Verschlüsselung des Hauptschlüssels

+) Ver- u. Entschlüsselung nur auf zugelassenen Clients – Absicherung gegen Datendiebstahl

+) Brute-force-Attacken auf das Kennwort durch die ca. 0.1 Sekunden lange Berechnungszeit des finalen Schlüssels extrem erschwert

+) Kein Mehraufwand für Verschlüsselung, da beim Ver- u. Entschlüsseln nur die Speicher- u. Anzeigefunktion nur um einen Verschlüsseln-JA-Parameter erweitert wird

+) Umbenennung von Dateinamen nicht möglich

+) Keine Umstellung Ihrer bereits im Einsatz befindlichen Datenbank notwendig

+) Ändern von Initialisierungskarten und Kennworten für jeweilige Clients jederzeit und einfach möglich

+) als DLL-Dateien verfügbar, somit in sämtlichen Programmiersprachen einsetzbar

+) Spaltenweise Datenverschlüsselung, für gewünschte Spalten und Einbeziehung der DatensatzID u. Spaltennamen für die Verschlüsselung

+) Schnittstelle DB-System: ODBC