Verschlüsselung Von Bändern; Nutzung Der Bandverschlüsselung Durch Bs2000 - Fujitsu BS2000 Handbuch
Vorschau ausblenden
Andere Handbücher für BS2000:
- Sicherheitshandbuch, benutzerhandbuch (105 Seiten) ,
- Betriebsanleitung (78 Seiten)
Inhaltsverzeichnis
Werbung
4.7 Verschlüsselung von Bändern
LTO-Laufwerke, die das Hardware-Feature „Tape Encryption" enthalten, können Daten verschlüsselt auf das Band
schreiben und beim Lesen des Bandes die Daten wieder entschlüsseln.
Die Verschlüsselung auf dem Laufwerk realisiert den Datenschutz auf Bandebene und schützt die Bandinhalte vor
unberechtigtem Lesen. Damit können Bandinhalte vor allem außerhalb des schützenden Betriebs im lokalen Data
Center, z.B. während des Transports, der externen Lagerung und der Bandausleihe gegen Datenmissbrauch
geschützt werden.
Die Ver- und Entschlüsselung übernimmt die Hardware in den Laufwerken. Die Tape Encryption ist schaltbar,
standardmäßig ist sie ausgeschaltet. Die Verschlüsselung wirkt sich nur minimal auf die Zugriffszeiten aus.
Zum Verschlüsseln benötigt das LTO-Laufwerk einen 256 Bit langen Bitstring als
Data-Key
. Mit dem
Verschlüsselungsverfahren AES und dem Data-Key verschlüsselt das Laufwerk die Daten beim Schreiben auf das
Band. Da es sich um ein symmetrisches Verschlüsselungsverfahren handelt, können die Daten beim Lesezugriff
nur mit demselben Data-Key wieder entschlüsselt werden.
Falls die Datenkomprimierung des Laufwerks eingeschaltet ist, werden die Daten beim Schreiben erst komprimiert
und dann verschlüsselt.
Ein virtuelles Band aus einem virtuellen Archivsystem kann nicht verschlüsselt werden.
Nutzung der Bandverschlüsselung durch BS2000
BS2000 und MAREN unterstützen Tape Encryption.
Den erforderlichen Data-Key erzeugt MAREN und liefert ihn an das Laufwerk, das dann die Verschlüsselung
vornimmt. Damit der Bandinhalt wieder entschlüsselt werden kann, bewahrt MAREN den Data-Key in den
Metadaten auf dem Band auf. Zum Schutz gegen unberechtigten Zugriff wird der Data-Key verschlüsselt abgelegt.
Zur Verschlüsselung des Data-Key dient der sogenannte Encryption-Key, den MAREN in einer Key-Box sicher
aufbewahrt.
Wenn ein verschlüsseltes Band gelesen wird, holt MAREN den passenden Encryption-Key aus der Key-Box,
entschlüsselt den Data-Key und liefert ihn an das Laufwerk, das die Banddaten wieder entschlüsselt. Die
Anwendung bestimmt über die Angabe des Volumetyps, ob auf ein verschlüsseltes Band zugegriffen wird.
Jedes Band wird mit einem eigenen Data-Key verschlüsselt. Alle Datenblöcke eines Bandes werden mit demselben
Data-Key verschlüsselt. Bei jeder neuen Reservierung des Bandes wird ein neuer Data-Key vergeben.
Schnittstellen zur Erstellung und Verwaltung von Encryption-Keys stellt MAREN dem Encryption-Key-Administrator
(MAREN-Administrator mit dem Privileg TAPE-KEY-ADMINISTRATION) über das Dienstprogramm MARENEKM
zur Verfügung. Standardmäßig ist dieses Privileg der Systemkennung SYSMAREN zugeordnet.
Encryption-Key
Encryption-Keys erstellt der Encryption-Key-Administrator mit der Anweisung CREATE-ENCRYPTION-KEY. Ein
Encryption-Key setzt sich zusammen aus
Key-Id
und
Key-Value
.
Die Key-Id wird von MAREN vergeben und dient zum Auffinden des Encryption-Keys, der zum Entschlüsseln
benötigt wird. Sie besteht aus insgesamt 18 Zeichen und besitzt folgendes Format:
<prefix>-<date>-<time>
Dabei bedeuten:
85
Werbung
Inhaltsverzeichnis
