Data encryption system for DBMS Firebird

Модуль шифрування даних для СУБД Firebird 3 вбудовується в застосування сторонніх розробників та дозволяє забезпечити конфіденційність даних цього застосування, які зберігаються у БД в СУБД Firebird 3 від несанкціонованого доступу.
В склад модуля входить:
  • Розширення для СУБД Firebird 3 для доступу до ключа шифрування.
  • Розширення для СУБД Firebird шифрування БД.
  • Клієнтська бібліотека, яка вбудовується в сторонні застосування.
Модуль шифрування даних для СУБД Firebird 3 здійснює активацію особистого ключа шифрування БД та здатен, за вимогою:
  • Запустити процес первинного повного шифрування всієї БД.
  • Отримати поточний статус зашифрування/розшифрування БД.
  • Здійснити шифрування даних, одразу при додаванні, оновленні та видаленні даних.
  • Управління модулем доступно через клієнтські бібліотеки.
Модуль шифрування даних для СУБД Firebird 3 підтримує роботу:
  • Серверну версію СУБД Firebird 3.
  • Вбудовану (Embedded) версію СУБД Firebird 3.
Розширення при цьому легко інтегрується в СУБД Firebird 3 чи використовується на рівні з клієнтською бібліотекою Firebird 3.

Застосування

Модуль шифрування даних на базі СУБД Firebird 3, успішно застосовується:
  • Для зберігання конфіденційних, попередньо встановлених даних, які розповсюджуються за підпискою.
  • Для зберігання конфіденційних даних користувача у клієнті Інтернет-банкінгу та Клієнт-банкінгу.
Доступ до даних можливий з використанням особистого ключа, що надає можливість розповсюджувати дані у захищеному вигляді без побоювань, щодо порушення їх конфіденційності.
Клієнтські бібліотеки легко інтегруються в основне застосування, що дозволяє забезпечити конфіденційність даних в уже існуючі рішення без суттєвих змін.

Архітектура

Модуль дозволяє використовувати різні моделі доступу до даних через активацію, за допомогою файлу налаштувань.
На рисунку, представлена модель, у якій лише суперкористувач наділений правами активувати ключ шифрування. Інші користувачі мають доступ до зашифрованих даних, лише після активації ключа шифрування суперкористувачем. Даний режим роботи підтримується СУБД Firebird 3 у режимі SuperServer.

Module-encrypt-data-Module-superuser_en.png (30 KB)

На рисунку, представлена модель, у якій користувач володіє власним особистим ключем шифрування. Даний режим роботи підтримується СУБД Firebird 3 у режимі SuperServer, Classic, SuperClassic.

Module-encrypt-data-Module_en.png (34 KB)

Алгоритми шифрування

В основі всіх продуктів з використанням шифрування входить бібліотека криптографічних примітивів «Шифр+» v 2.1, розробки компанії Сайфер. Дана бібліотека має позитивний експертний висновок, що дозволяє використовувати її для захисту даних, як у банківському, фінансовому, так і в державному секторі.
Для шифрування використовуються наступні алгоритми блочного симетричного шифрування:
  • DEA/DES, TDEA-192.
  • AES-128, AES-192, AES-256 (універсальна реалізація, не залежить від процесору).
  • AES NI-128, AES NI-192, AES NI-256 (для сучасних процесорів Intel, які підтримують розширений набір команд AES NI).
  • ГОСТ 28147-89.
  • ДСТУ 7624:2014, підтримуються ДСТУ 7624:2014-128/128, ДСТУ 7624:2014-128/256, ДСТУ 7624:2014-256/256, ДСТУ 7624:2014-128/512, ДСТУ 7624:2014-512/512.
Крім симетричних шифрів, використовуються також геш-функції:
  • SHA-1.
  • SHA224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
  • ГОСТ 34.311-95.
  • ДСТУ 7564:2014.

Сертифікація

Використовується механізм прозорого шифрування (TDE) простору таблиць БД дозволяє успішно будувати захищені інформаційні системи, які задовольняють вимогам:
  • Комплексної системи захисту інформації (нормативні вимоги Державної служби спеціального зв’язку та захисту інформації України).
  • HIPAA (міжнародні стандарти медичних даних).
  • ISO/IEC 27001:2013 (міжнародні стандарти управління інформаційної безпеки).
  • PCI-DSS (вимоги міжнародних платіжних системи з управління інформаційною безпекою).
  • FERPA.