Verschlüsselungsalgorithmen

Sicherheit bildete schon während der Konzeptionierung stets einen der elementarsten Grundpfeiler, an dem sich alle weiteren Anforderungen orientieren und messen mussten. Auch parallel zur Entwicklungsphase wurden die theoretischen Konzepte von externen Sicherheitsunternehmen in Bezug auf Machbarkeit, sowie auf die Einhaltung von IT-Sicherheitsstandards geprüft. Erst auf Basis dieser Erkenntnisse wurden letztendlich Prototypen entwickelt, welche die Blaupause für das jetzige Password Safe in der Version 8 bilden. Folgende Verschlüsselungstechniken und Algorithmen kommen derzeit zum Einsatz:

  • AES 256
  • PBKDF2 mit 100.000 Iterationen für die Bildung von Benutzer Hashes
  • PBKDF2 mit 1.000 Iterationen für die Hashes der Passwörter innerhalb der Datenbank
  • RSA 4096 für Private- und Public-Key Verfahren

Angewandte kryptografische Verfahren

Die Containerverschlüsselung der Passwörter basiert auf den genannten Algorithmen. Jeder Container hat einen eigenen, zufällig generierten Salt. Jedes Passwort, jeder Benutzer und jede Rolle besitzt ein eigenes Schlüsselpaar. Bei der Gewährung von Freigaben über Benutzer und Rollen finden hierarchische Verschlüsselungen der Passwörter innerhalb der Datenbank Anwendung. Zusätzlich nutzt Password Safe zum Ziele maximaler Sicherheit unter anderem die nachfolgenden kryptografischen Verfahren:

  • Bei AD-Anbindung Wahl zwischen Ende-zu-Ende Verschlüsselung (E2EE – sicherster Modus) oder Masterkey Verfahren
  • Schutz der Serverschlüssel per Hardware Sicherheitsmodul (HSM) über PKCS#11
  • Brute-Force Schutz beim Login mit automatischer Sperre der anfragenden Clients
  • Zertifikatsschutz bei der Nutzung von Anwendungen
  • Zertifikatsabfrage bei Client/Server Verbindung. Optional auch mit eigener CA.
  • Secure Sockets Layer (SSL) auf dem neusten Standard
  • Passwörter werden erst dann verschlüsselt zum Client transportiert, wenn diese im Vorfeld explizit angefragt wurden. Mehr…

Von uns getestete Security Hardwarekomponenten:

HSM:

  • SafeNet Luna SA – HSM mit Netzwerkanbindung
  • SafeNet Luna PCI-E – Embedded-HSM

Zwei-Faktor-Authentifizierung:

  • SafeNet eToken Pass
  • RSA SecureID 700
  • Google Authenticator

War das hilfreich?

Ja Nein
You indicated this topic was not helpful to you ...
Could you please leave a comment telling us why? Thank you!
Thanks for your feedback.