Модуль шифрования данных для СУБД Firebird
Модуль шифрования данных для СУБД Firebird 3 встраивается в сторонние приложения и позволяет обеспечить конфиденциальность данных этого приложения, которые хранятся в БД в СУБД Firebird 3 от несанкционированного доступа.
В состав модуля входит:
-
Расширение для СУБД Firebird 3 для доступа к ключу шифрования.
-
Расширение для СУБД Firebird шифрования БД.
-
Клиентская библиотека, которая встраивается в сторонние приложения.
Модуль шифрования данных для СУБД Firebird 3 выполняет активацию секретного ключа шифрования БД и способен, по требованию:
-
Запустить процесс первичного полного шифрования всей БД.
-
Получить текущий статус процесса зашифровывания/расшифровывания БД.
-
Производить шифрование данных «на лету» при добавлении, обновлении и удалении данных.
-
Управление модулем доступно через клиентские библиотеки.
Модуль шифрования данных для СУБД Firebird 3 поддерживает работу:
-
Серверную версию СУБД Firebird 3.
-
Встраиваемую (Embedded) версию СУБД Firebird 3.
Расширения при этом легко интегрируются в СУБД Firebird 3 или используются наряду с клиентской библиотекой Firebird 3.
Применение
Модуль шифрования данных на базе СУБД Firebird 3, успешно применяется:
-
Для хранения конфиденциальных предустановленных данных настольных приложений, которые распространяются по подписке.
-
Для хранения конфиденциальных данных пользователя в клиенте Интернет-банкинга и Клиент-банкинга.
Доступ к данным возможен с использованием секретного ключа, что даёт возможность распространять данные в защищённом виде без опасений нарушения их конфиденциальности.
Клиентские библиотеки легко интегрируются в основное приложение, что позволяет обеспечить конфиденциальность данных в уже существующих решениях без существенных изменений.
Архитектура
Модуль позволяет использовать различные модели доступа к данным через активацию, посредством файла настроек.
На рисунке представлена модель, в которой лишь суперпользователь обладает правами активировать ключ шифрования. Остальные пользователи имеют доступ к зашифрованным данным, лишь после успешной активации ключа шифрования суперпользователем. Данный режим работы поддерживается СУБД Firebird 3 в режиме SuperServer.
На рисунке представлена модель, в которой каждый пользователь обладает собственным секретным ключом шифрования. Данный режим работы поддерживается СУБД Firebird 3 в режиме SuperServer, Classic, SuperClassic.
Алгоритмы шифрования
В основе всех продуктов с использованием шифрования составляет библиотека криптографических примитивов «Шифр+» v 2.1, разработки компании Сайфер. Данная библиотека имеет позитивное экспертное заключение, что позволяет использовать ее для защиты данных, как в банковском, финансовом, так и государственном секторе.
Для шифрования данных используются следующие алгоритмы блочного симметричного шифрования:
-
DEA/DES, TDEA-192.
-
AES-128, AES-192, AES-256 (универсальная реализация, не зависит от процессора).
-
AES NI-128, AES NI-192, AES NI-256 (для современных процессоров Intel, которые поддерживают расширенный набор команд AES NI).
-
ГОСТ 28147-89.
-
ДСТУ 7624:2014, поддерживаются ДСТУ 7624:2014-128/128, ДСТУ 7624:2014-128/256, ДСТУ 7624:2014-256/256, ДСТУ 7624:2014-128/512, ДСТУ 7624:2014-512/512.
Кроме симметричных шифров используются также хеш-функции:
-
SHA-1.
-
SHA224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
-
ГОСТ 34.311-95.
-
ДСТУ 7564:2014.
Сертификация
Использование механизма прозрачного шифрования (TDE) пространства таблиц БД позволяет успешно строить защищенные информационные системы, которые удовлетворяют требованиям:
-
Комплексной системы защиты информации (нормативные требования Госспецсвязи Украины).
-
HIPAA (международные стандарты защиты медицинских данных).
-
ISO/IEC 27001:2013 (международные стандарты управления информационной безопасности).
-
PCI-DSS (требования международных платежных систем по управлению информационной безопасностью).
-
FERPA.