User Tools

Site Tools


de:doc:rfc_pgp-encrypting-sensible-data-with-pgp

Verschlüsseln sensibler Daten mit PGP

OOBD Team S. Koehler
Anforderung zur Kommentierung:4
Obsolete: -
Kategorie: Draft Standard Jan 2013

Status dieser Nachricht

Diese Nachricht versorgt Dich mit Informationen wie die PGP Datenverschlüsselung in OOBD implementiert ist. Die Verteilung dieser Nachricht ist unbeschränkt.

Copyright (C) OOBD Team (2013). Alle Rechte vorbehalten.

Einleitung

Diese Nachricht beschreibt nur die technische Einbindung, sie ist keine Einführung in PGP noch eine in Datenverschlüsselung als solches. Mehr Informationen erhälst Du in der Referenzenliste.

Konzept

PGP ist ein weitverbreitetes und ausführlich getestetes System zur Ent- und Verschlüsselung von Daten. Aber es mit seinem normalen Setup zu benutzen, bedeutet das die Verschlüsselung durch den Ersteller ( Skriptentwickler ) bis hinunter zu dem Endanwender einige Unzulänglichkeiten ergibt:

  • Jeder Entwickler muss jeden Nutzer und seine Nutzerrechte kennen
  • Um jedes Datenfile für jeden Nutzer einzelnd zu verschlüsseln, bedürfte es einer großen Anzahl von Dateien (Skripte mal Nutzer) welche betreut werden müssten
  • Alle Nutzer müssten von mir separat mit Ihren Dateien versorgt werden

Um diese Limitierungen zu umfassen, nutzt OOBD einen anderen Ansatz:

  • Es verschlüsselt die Daten nicht pro Nutzer, sondern anstelle dieses per “Nutzergruppe”
  • Eine Zentrale Autorität kontrolliert, welcher Nutzer Zugang zu welcher Nutzergruppe hat

Die drei Rollen in OOBD

Das OOBD Sicherheitskonzept teilt sich in drei verschiedene Rollen auf:

  1. Der Nutzer: Der Nutzer ist einer von vielen Nutzern, welcher die OOBD Skripte benutzen möchte
  2. Der Entwickler: Der Entwickler stellt die verschlüsselten Daten (Skripte) zur Verfügung
  3. Der Schlüsselmeister: Der Schlüsselmeister kontrolliert, welcher Nutzer berechtigt ist, welche Daten (Skripte) zu benutzen

Die Nutzergruppen

Jedes Datenfile gehört zu einer Nutzergruppe. Dies wird praktisch durch die Verzeichnisse in dem Skriptrepository realisiert, in welchem Diese abgelegt sind. Die Verzeichnisnamen repäsentieren dabei die Nutzergruppen

Initiale Einstellungen

Nutzereinstellungen

  1. Der Nutzer erzeugt mit irgendeinem PGP - Werkzeug sein persönliches Schlüsselpaar.
  2. Dann importiert er seinen geheimen Schlüssel in seinen OOBD Installation und sendet seinen öffentlichen Schlüssel zu dem Schlüsselmeister.

Initiale Einstellungen des Schlüsselmeisters

  1. Der Schlüsselmeister erzeugt ein Schlüsselpaar für jede Nutzergruppe mit einer applikationsspezifischen geheimen Passphrase
  2. Er versorgt die Entwickler mit einem öffentlichen Schlüsselbund der Nutzergruppen.

Nutzerspezifische Einstellungen des Schlüsselmeisters

Für jeden Nutzer:

  1. Für alle Nutzergruppen zu denen der Nutzer autorisiert ist, extrahiert der Schlüsselmeister die geheimen Schlüssel der Nutzergruppen in ein kleines Schlüsselfile
  2. Dann verschlüsselt er dieses mit dem öffentlichen Nutzerschlüssel und sendet dies zu dem Nutzer.
  3. Der Nutzer importiert dann dieses Gruppenfile in seine OOBD Applikation

Datenverschlüsselung

  • Die Dateien werden verschlüsselt durch die Entwickler
  • Die Verzeichnisse in denen die Dateien liegen definieren die Nutzergruppe
  • Die Datei wird verschlüsselt mit dem öffentlichen Schlüssel der assoziierten Nutzergruppe

Datennutzung (=Entschlüsselung)

Wenn der Nutzer ein Skript benutzen möchte, geschehen folgende Dinge innerhalb der Applikation

  1. Die Datei, welche die geheimen Schlüssel der Nutzergruppen enthält, wird mit Hilfe des geheimen Schlüssels des Nutzers und seiner Passphrase geöffnet
  2. Dann wird das Skript, welches benutzt werden soll, mit dem nutzergruppenspezfischen geheimen Schlüssel (welcher im ersten Teil zugreifbar gemacht wurde) und der applikationsspezifischen Passphrase geöffnet.

Implementierungsdetails

Sicherheitsüberlegungen

Dieses RFC-Dokument zeigt Sicherheitsaspekte auf. Sein Bedürfnis danach sicherzustellen, daß die geheimen Schlüssel und besonders die beiden Passphrasen gegen unautorisierten Zugriff und Reverseengineering geschützt sind.

Referenzen

Adresse des Autors

Steffen Koehler

Telefon: +49 172 410 35 98
EMail:steffen@koehlers.de

Anhang

Copyright (C) OOBD Team (2012). All Rights Reserved.

This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the OOBD Team organizations, except as needed for the purpose of developing standards in which case the procedures for copyrights defined in the Standards process must be followed, or as required to translate it into languages other than English.

The limited permissions granted above are perpetual and will not be revoked by the OOBD Team or its successors or assigns.

This document and the information contained herein is provided on an “AS IS” basis and THE OOBD TEAM DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.“ Relation to other RFCs

Updates

Obsoletes

Obsoleted-by

Updated-by

Kontakt

Verteilerlisten

Die OOBD-RFC Ankündigungen werden durch die oobd-commit-messages@googlegroups.com mailingliste verteilt.

Um diese zu nutzen (oder sich davon abzumelden) benutze https://groups.google.com/forum/?hl=de&fromgroups=#!forum/oobd-commit-messages

This website uses cookies for visitor traffic analysis. By using the website, you agree with storing the cookies on your computer.More information
de/doc/rfc_pgp-encrypting-sensible-data-with-pgp.txt · Last modified: 2014/09/13 22:21 by wsauer