(openPR) ownCloud und Securosys SA ermöglichen ab sofort die Integration von Hardware-Sicherheitsmodulen (HSM) bei der Ver- und Entschlüsselung von Dateien. Der für die Entschlüsselung einer Datei erforderliche Master Key verbleibt hierbei immer im Hardware Sicherheits-Modul. Das bedeutet, dass beim Austausch einer Datei nur der Sender und der Empfänger Zugriff erhalten. Die Integration von HSM´s in ownCloud ermöglicht es, auch Systemadministratoren den Zugriff auf Dateien zu verwehren, die "at Rest", also auf einem externen Device gespeichert sind. Der Master Key, der für die Entschlüsselung notwendig ist, liegt unerreichbar auf dem Hardware-Sicherheitsmodul, das durch spezielle kryptographische Algorithmen vor dem Zugriff geschützt ist. Für Unternehmen, die Hardware-Sicherheitsmodule in ihre Private Cloud integrieren wollen, stellt ownCloud auf seiner Website eine detaillierte Anleitung zur Verfügung.
Mit der Möglichkeit, HSM´s in den Ver- und Entschlüsselungsprozess zu integrieren, bieten ownCloud und Securosys Unternehmen und anderen Organisationen eine weitere sichere Möglichkeit, die Private Cloud-Technologie auch in besonders datenkritischen Szenarien zu nutzen. Der Dateizugriff ist ausschließlich mittels Übertragung individueller „File Keys" an das HSM möglich, die innerhalb des HSM mit dem Masterkey entschlüsselt werden. Die entschlüsselten File Keys werden anschließend an den ownCloud-Server zurückgegeben, wo in der Folge ein spezieller Prozess die eigentlichen Dateien unter Verwendung der entsprechenden entschlüsselten Dateischlüssel öffnet und für den User nutzbar macht. Solange die Integrität des ownCloud-Servers intakt ist, besteht für den Systemadministrator keine Möglichkeit, auf die darauf gespeicherten Inhalte zuzugreifen.
Bei der Speicherung von Daten in externen, professionell betriebenen Rechenzentren besteht für Unternehmen häufig das Risiko, dass Systemadministratoren mit bösen Absichten sich (remote oder physisch) Zugriff auf die gespeicherten Daten verschaffen. Dadurch drohen geschäftliche Schäden (z.B. durch Industriespionage), Reputationsschäden (z.B. durch Verluste von Kundendaten und darauffolgende Berichterstattung) oder regulatorische Konsequenzen (z.B. durch die DSGVO oder andere gesetzliche Vorschriften).
Mehr Performance bei Encription at Rest
In der Regel bergen At-Rest-Verschlüsselungen einen deutlichen Nachteil in Bezug auf die Performance: Jede Verschlüsselungsoperation beansprucht eigene Zyklen und beeinflusst dadurch die Performance der ownCloud. Teilt ein Nutzer z.B. eine größere Menge an Dateien mit einem anderen Nutzer, müssen dem System sehr viele File Keys in kurzer Zeit hinzugefügt werden. Für jede einzelne Datei ist dabei eine separate Anfrage an das HSM erforderlich, was in der Vergangenheit immer sehr viele Ressourcen band. Dieses Problem konnte mit der Entwicklung der HSM-Lösung für Unternehmen von Securosys gelöst werden: Spezielle Funktionen für einen verbesserten Transaction Throughput, Load Balancing und High-Availability-Funktionen (HA) stellen die Funktionalität und die Performance der HSM´s beim Betrieb in großen Infrastrukturen sicher.
Das „Primus HSM” von Securosys lässt sich einfach mit Integration des "Primus PKCS#11"-Providers auf dem ownCloud-Server installieren. Im Anschluss benötigt der HSM-Daemon von ownCloud die Erlaubnis, den Master Key zu generieren, auf dem HSM zu speichern und zu verwenden. Auf der ownCloud-Website finden User eine vollständige Anleitung.
Securosys HSM:
https://www.securosys.com/de/product/primus-hardware-sicherheitsmodul-uebersicht
Detaillierte Instruktionen:
https://doc.owncloud.com/server/admin_manual/configuration/server/security/hsmdaemon/
oder telefonisch unter +41 44 552 31 00.
