Speicherort-Verschlüsselung

Wenn Sie einen Speicherort durch Verschlüsselung schützen, werden alle zu diesem Speicherort geschriebenen Daten verschlüsselt – und alle von dort gelesenen Daten durch den Storage Node wieder transparent entschlüsselt (unter Verwendung eines Speicherort-spezifischen, auf dem Storage Node hinterlegten Codierungsschlüssels). Falls das Speichermedium gestohlen wird oder eine unbefugte Person darauf zugreift, wird der Übeltäter den Inhalt des Speicherortes ohne Zugriff auf den Storage Node nicht entschlüsseln können.

Diese Verschlüsselung hat nichts mit der üblichen Verschlüsselung von Backups zu tun, die über einen Backup-Plan spezifiziert und durch einen Agenten ausgeführt wird. Sollte ein Backup bereits verschlüsselt sein, so wird die Verschlüsselung aufseiten des Storage Nodes noch einmal über die durch den Agenten ausgeführte Verschlüsselung quasi drübergelegt.

So schützen Sie einen Speicherort per Verschlüsselung

  1. Spezifizieren (und bestätigen) Sie ein Kennwort, welches zur Generierung des Codierungsschlüssels werden soll.

    Beim Kennwort wird nach Groß-/Kleinschreibung unterschieden. Das Kennwort wird nur abgefragt, wenn Sie den Speicherort an einen anderen Storage Node anschließen.

  2. Wählen Sie einen der folgenden Verschlüsselungsalgorithmen:

    • AES 128 – die Inhalte des Speicherortes werden mit dem AES-Algorithmus (Advanced Encryption Standard) und einer Tiefe von 128 Bit verschlüsselt.
    • AES 192 – die Inhalte des Speicherortes werden mit dem AES-Algorithmus und einer Tiefe von 192 Bit verschlüsselt.
    • AES 256 – die Inhalte des Speicherortes werden mit dem AES-Algorithmus und einer Tiefe von 256 Bit verschlüsselt.
  3. Klicken Sie auf OK.

Der kryptografische AES-Algorithmus arbeitet im 'Cipher Block Chaining Mode' (CBC) und verwendet einen zufällig erstellten Schlüssel mit einer benutzerdefinierten Größe von 128, 192 oder 256 Bit. Je höher die Schlüsselgröße, desto länger wird das Programm zur Verschlüsselung der am Speicherort gesicherten Backups benötigen, aber desto sicherer sind die Daten dann auch.

Der Codierungsschlüssel wird dann mit AES-256 verschlüsselt, wobei ein SHA-256-Hash-Wert des gewählten Kennworts als Schlüssel dient. Das Kennwort selbst wird nirgendwo auf dem Laufwerk gespeichert, es wird nur der Kennwort-Hash-Wert für Bestätigungszwecke verwendet. Mit dieser zweistufigen Methode sind die Backups vor jedem unberechtigten Zugriff geschützt, aber ein verlorenes Kennwort kann unmöglich wiederhergestellt werden.