210 - Ist es möglich, die Dateien mit ISP verschlüsselt abzulegen oder zu übertragen?

Verschlüsselte Übertragung per SSL/TLS

Standardmäßig werden alle Metadaten bei der Kommunikation zwischen Client und Server verschlüsselt.

Zusätzlich gibt es einen Client Parameter SSL, welcher auf YES gesetzt werden kann, dann werden auch die Objekte/Objektdaten beim Transport vom Client zum Server verschlüsselt. (Default Wert davon ist NO)

Wenn sie die Verschlüsselung aktivieren, wird sich die CPU Last auf Ihrem System vermutlich merklich erhöhen (am besten testen und beobachten).


Zum Aktivieren der Transportverschlüsselung die Zeile:

SSL  yes 

in die Client-Option-Datei dsm.opt (Windows) oder in die Client-System-Option-Datei dsm.sys (Linux/UNIX/MacOS) hinzufügen.


Diese Einstellung gilt für alle Clients ab der Version 8.1.12 (alle Versionen unter 8.1.15 sind allerdings Security-Technisch sehr gefährdet und sollten nicht verwendet werden). Die neueste von uns empfohlene Version finden Sie immer hier: https://doku.lrz.de/2-isp-installation-1219560066.html


Auf dem Server werden die Objekte dennoch unverschlüsselt abgelegt, dafür benötigen Sie die komplette Verschlüsselung, siehe nächster Punkt.


Daten verschlüsseln

Man kann seine Dateien mittels ISP verschlüsselt sichern. Dazu muss die Verschlüsselung beim ISP Clienten aber erst konfiguriert werden. 
Bedenken Sie dabei, dass ohne das Verschlüsselungspasswort keine Wiederherstellung der verschlüsselten Daten mehr möglich ist. 

Einrichten der Verschlüsselung

Die Einrichtung von SP-Verschlüsselung besteht aus drei Schritten:

  1. Encryption in Client-Option-Datei dsm.opt (Windows) und in Client-System-Option-Datei dsm.sys (Linux) erlauben. Dafür müssen zwei Zeilen eingefügt werden:

    encryptkey <Keytype>
ENCRYPTIONTYPE <Type>

    Keytype hat einen der Werte prompt, save oder generate.
    save gilt nur bei der Nutzung von passwordaccess generate und ist bei der Nutzung von ISP Schedules nötig.
    Type hat einen der Werte AES256, AES128 oder DES56.
    Beispiel:

    passwordaccess generate
encryptkey save
ENCRYPTIONTYPE AES128
  2. In der inclexcl-Datei die Spezifikation für die zu verschlüsselnden Objekte einfügen. Das kann durch include.encrypt <Spezifikation> Einträge geschehen. Beispiel:
    include.encrypt /tmp/Encrypt/*
  3. Starten Sie den ISP Client und sichern Sie eine Datei aus einem der Verzeichnisse, welche verschlüsselt werden soll. Bei der ersten verschlüsselten Sicherung wird ISP das Verschlüsselungspasswort abfragen und in der Datei TSM.PWD verschlüsselt speichern.

Im Fall vom Verlust des Verschlüsselungspasswortes gibt es keine Möglichkeit, die Daten wiederherzustellen. Aus diesem Grund hüten Sie das Verschlüsselungspasswort gut.

Überprüfen der Verschlüsselung

Über die Kommandozeile:

dsmc query backup <Dateispezifikation> -subdir=yes -detail

Beispiel:

dsmc query backup /tmp/Encrypt/d -detail

Dabei werden detaillierte Informationen über die Datei ausgegeben:

Größe Sicher.-Datum Verw.klasse A/I Datei
----- ------------- ----------- --- -----
72 B 25.02.2013 13:44:56 DEFAULT A /tmp/Encrypt/d
Geändert: 25.02.2013 13:35:17 Zugegriffen: 25.02.2013 13:35:17
Komprimiert: NEIN Verschlüsselungstyp: 128-Bit-AES
Vom Client dedupliziert: NEIN

Man sieht in der vorletzten Zeile, das Verschlüsselungstyp aktiv ist.

Größe Sicher.-Datum Verw.klasse A/I Datei
----- ------------- ----------- --- -----
72 B 18.02.2013 13:51:34 DEFAULT A /tmp/Encrypt/d
Geändert: 18.02.2013 13:51:28 Zugegriffen: 18.02.2013 13:49:39
Komprimiert: NEIN Verschlüsselungstyp: Keine

Hier sieht man, dass kein Verschlüsselungstyp gesetzt wurde und das die Datei entsprechend nicht verschlüsselt wurde.

Grafischer Client:

Wählen Sie eine Datei, die Sie verschlüsselt gesichert haben. Mit rechter Maustaste erhalten Sie „Dateiinformationen“ aus dem Menü. Unter anderem wird der Verschlüsselungstyp angezeigt: Verschlüsselungstyp: 128-Bit-AES 
Wenn die oben genannte Einrichtung nicht erfolgreich war, so zeigt ISP, dass kein Verschlüsselungstyp gesetzt wurde indem es Verschlüsselungstyp: NONE anzeigt.