Database Encryption System for DBMS Firebird

Система шифрування БД для СУБД Firebird 3 представляє собою набір засобів, які забезпечують конфіденційність збережених даних в одній чи кількох БД СУБД Firebird 3.
До складу системи входить:
  • Розширення для доступу до ключу.
  • Розширення для шифрування БД.
  • Сервер (демон) активації ключів.
  • Клієнт генерації ключів та управління ними. Зберігання ключів здійснюється у захищеному файловому контейнері.
Системи шифрування БД для СУБД Firebird 3 вирішують задачі:
  • Безпечне зберігання та використання секретного ключа шифрування БД у захищеному файловому контейнері, сформованому за участі кількох співробітників, які мають право на активацію ключа доступу до ключа шифрування. Активація доступу до ключа здійснюється завдяки авторизації будь-яких двох учасників генерації ключа шифрування.
  • Можливість зберігання та використання необмеженої кількості захищених файлових контейнерів з ключами шифрування.
  • Шифрування необмеженої кількості БД та забезпечення доступу до зашифрованих даних в автоматичному режимі без участі системного адміністратора.

Застосування

Система шифрування БД для СУБД Firebird 3, успішно застосовується:
  • Для зберігання конфіденційних даних (персональні дані, медичні дані, банківські дані, фінансові та інші) у БД без побоювань фізичного викрадення файлів БД та наступного витоку конфіденційних даних. Такий підхід дозволяє розміщувати БД та СУБД Firebird 3 на віддалених серверах, які не повністю контролюються власниками даних (аутсорсинг).
  • Для зберігання конфіденційних даних (персональні дані, медичні дані, банківські дані, фінансові дані та інші) у БД без побоювань фізичного викрадення файлів у БД та наступного витоку конфіденційних даних, розміщених у хмарній інфраструктурі.

Архітектура

Система шифрування БД для СУБД Firebird 3 дозволяє використовувати різні моделі доступу до даних через активацію, за допомогою файлів налаштувань.
На рисунку наведена модель, у якій лише група адміністраторів прикладної системи (власник даних) володіє можливістю активувати ключ шифрування БД. Однак, обслуговуючий персонал інфраструктури – адміністратор (не власники даних), не мають доступу до даних.

Crypto-system-CryptoSystem_en.png (46 KB)

Алгоритми шифрування

В основі всіх продуктів з використанням шифрування входить бібліотека криптографічних примітивів «Шифр+» v 2.1, розробки компанії Сайфер. Дана бібліотека має позитивний експертний висновок, що дозволяє використовувати її для захисту даних, як у банківському, фінансовому, так і в державному секторі.
Для шифрування використовуються наступні алгоритми блочного симетричного шифрування:
  • DEA/DES, TDEA-192.
  • AES-128, AES-192, AES-256 (універсальна реалізація, не залежить від процесору).
  • AES NI-128, AES NI-192, AES NI-256 (для сучасних процесорів Intel, які підтримують розширений набір команд AES NI).
  • ГОСТ 28147-89.
  • ДСТУ 7624:2014, підтримуються ДСТУ 7624:2014-128/128, ДСТУ 7624:2014-128/256, ДСТУ 7624:2014-256/256, ДСТУ 7624:2014-128/512, ДСТУ 7624:2014-512/512.
Крім симетричних шифрів використовується також геш-функції:
  • SHA-1.
  • SHA224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
  • ГОСТ 34.311-95.
  • ДСТУ 7564:2014.

Сертифікація

Використовується механізм прозорого шифрування (TDE) простору таблиць БД дозволяє успішно будувати захищені інформаційні системи, які задовольняють вимогам:
  • Комплексної системи захисту інформації (нормативні вимоги Державної служби спеціального зв’язку та захисту інформації України).
  • HIPAA (міжнародні стандарти медичних даних).
  • ISO/IEC 27001:2013 (міжнародні стандарти управління інформаційної безпеки).
  • PCI-DSS (вимоги міжнародних платіжних системи з управління інформаційною безпекою).
  • FERPA.

Додаткові матеріали: