Database Encryption System for DBMS Firebird
Система шифрування БД для СУБД Firebird 3 представляє собою набір засобів, які забезпечують конфіденційність збережених даних в одній чи кількох БД СУБД Firebird 3.
До складу системи входить:
-
Розширення для доступу до ключу.
-
Розширення для шифрування БД.
-
Сервер (демон) активації ключів.
-
Клієнт генерації ключів та управління ними. Зберігання ключів здійснюється у захищеному файловому контейнері.
Системи шифрування БД для СУБД Firebird 3 вирішують задачі:
-
Безпечне зберігання та використання секретного ключа шифрування БД у захищеному файловому контейнері, сформованому за участі кількох співробітників, які мають право на активацію ключа доступу до ключа шифрування. Активація доступу до ключа здійснюється завдяки авторизації будь-яких двох учасників генерації ключа шифрування.
-
Можливість зберігання та використання необмеженої кількості захищених файлових контейнерів з ключами шифрування.
-
Шифрування необмеженої кількості БД та забезпечення доступу до зашифрованих даних в автоматичному режимі без участі системного адміністратора.
Застосування
Система шифрування БД для СУБД Firebird 3, успішно застосовується:
-
Для зберігання конфіденційних даних (персональні дані, медичні дані, банківські дані, фінансові та інші) у БД без побоювань фізичного викрадення файлів БД та наступного витоку конфіденційних даних. Такий підхід дозволяє розміщувати БД та СУБД Firebird 3 на віддалених серверах, які не повністю контролюються власниками даних (аутсорсинг).
-
Для зберігання конфіденційних даних (персональні дані, медичні дані, банківські дані, фінансові дані та інші) у БД без побоювань фізичного викрадення файлів у БД та наступного витоку конфіденційних даних, розміщених у хмарній інфраструктурі.
Архітектура
Система шифрування БД для СУБД Firebird 3 дозволяє використовувати різні моделі доступу до даних через активацію, за допомогою файлів налаштувань.
На рисунку наведена модель, у якій лише група адміністраторів прикладної системи (власник даних) володіє можливістю активувати ключ шифрування БД. Однак, обслуговуючий персонал інфраструктури – адміністратор (не власники даних), не мають доступу до даних.
Алгоритми шифрування
В основі всіх продуктів з використанням шифрування входить бібліотека криптографічних примітивів «Шифр+» v 2.1, розробки компанії Сайфер. Дана бібліотека має позитивний експертний висновок, що дозволяє використовувати її для захисту даних, як у банківському, фінансовому, так і в державному секторі.
Для шифрування використовуються наступні алгоритми блочного симетричного шифрування:
-
DEA/DES, TDEA-192.
-
AES-128, AES-192, AES-256 (універсальна реалізація, не залежить від процесору).
-
AES NI-128, AES NI-192, AES NI-256 (для сучасних процесорів Intel, які підтримують розширений набір команд AES NI).
-
ГОСТ 28147-89.
-
ДСТУ 7624:2014, підтримуються ДСТУ 7624:2014-128/128, ДСТУ 7624:2014-128/256, ДСТУ 7624:2014-256/256, ДСТУ 7624:2014-128/512, ДСТУ 7624:2014-512/512.
Крім симетричних шифрів використовується також геш-функції:
-
SHA-1.
-
SHA224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256.
-
ГОСТ 34.311-95.
-
ДСТУ 7564:2014.
Сертифікація
Використовується механізм прозорого шифрування (TDE) простору таблиць БД дозволяє успішно будувати захищені інформаційні системи, які задовольняють вимогам:
-
Комплексної системи захисту інформації (нормативні вимоги Державної служби спеціального зв’язку та захисту інформації України).
-
HIPAA (міжнародні стандарти медичних даних).
-
ISO/IEC 27001:2013 (міжнародні стандарти управління інформаційної безпеки).
-
PCI-DSS (вимоги міжнародних платіжних системи з управління інформаційною безпекою).
-
FERPA.
Додаткові матеріали: