Система шифрования БД для СУБД Firebird

Система шифрования БД для СУБД Firebird 3 представляет из себя набор средств, обеспечивающих конфиденциальность хранимых данных в одной или нескольких БД СУБД Firebird 3.
 
В состав системы входит:
  • Расширение для доступа к ключу.
  • Расширение для шифрования БД.
  • Сервер (демон) активации ключей.
  • Клиент генерации ключей и управления ими. Хранение ключей осуществляется в защищенном файловом контейнере.
Система шифрования БД для СУБД Firebird 3 решаются задачи:
  • Безопасное хранение и использование секретного ключа шифрования БД в защищенном файловом контейнере, сформированного при участии нескольких сотрудников, обладающими правами активацию доступа к ключу шифрования. Активация доступа к ключу осуществляется посредством авторизации любых двух из участников генерации ключа шифрования.
  • Возможность хранить и использовать неограниченное количество защищенных файловых контейнеров с ключами шифрования.
  • Шифрование неограниченного количества БД и обеспечение доступа к зашифрованным данным в автоматическом режиме без участия системного администратора.

Применение

Система шифрования БД для СУБД Firebird 3, успешно применяется:
  • Для хранения конфиденциальных данных (персональные данные, медицинские данные, банковские данные, финансовые данные и др.) в БД без опасения физического похищения файлов БД и последующей утечки конфиденциальных данных. Такой подход позволяет размещать БД и СУБД Firebird 3 на удаленных серверах, которые не полностью контролируются владельцем данных (аутсорсинг).
  • Для хранения конфиденциальных данных (персональные данные, медицинские данные, банковские данные, финансовые данные и др.) в БД без опасения физического похищения файлов БД и последующей утечки конфиденциальных данных, размещенных в облачной инфраструктуре.

Архитектура

Система шифрования БД для СУБД Firebird 3 позволяет использовать различные модели доступа к данным через активацию, посредством файла настроек.
На рисунке представлена модель, в которой лишь группа администраторов прикладной системы (владельцы данных) обладает возможностью активировать ключ шифрования БД. Однако обслуживающий инфраструктуру персонал - администраторы (не владельцы данных), не имеют доступа к данным.

Алгоритмы шифрования

В основе всех продуктов с использованием шифрования составляет библиотека криптографических примитивов Шифр+ v2.0, разработки компании Сайфер. Данная библиотека имеет позитивное экспертное заключение, что позволяет использовать ее для защиты данных, как в банковском, финансовом, так и государственном секторе.
Для шифрования данных используются следующие алгоритмы блочного симметричного шифрования:
  • DEA/DES, TDEA-192
  • AES-128, AES-192, AES-256 (универсальная реализация, не зависит от процессора)
  • AES NI-128, AES NI-192, AES NI-256 (для современных процессоров Intel, которые поддерживают расширенный набор команд AES NI)
  • ГОСТ 28147-89
  • ДСТУ 7624:2014, поддерживаются ДСТУ 7624:2014-128/128, ДСТУ 7624:2014-128/256, ДСТУ 7624:2014-256/256, ДСТУ 7624:2014-128/512, ДСТУ 7624:2014-512/512
Кроме симметричных шифров используются также хеш-функции:
  • SHA-1
  • SHA224, SHA-256, SHA-384, SHA-512, SHA-512/224, SHA-512/256
  • ГОСТ 34.311-95
  • ДСТУ 7564:2014

Сертификация

Использование механизма прозрачного шифрования (TDE) пространства таблиц БД позволяет успешно строить защищенные информационные системы, которые удовлетворяют требованиям:
  • Комплексной системы защиты информации (нормативные требования Госспецсвязи Украины)
  • HIPAA (международные стандарты защиты медицинских данных)
  • ISO/IEC 27001:2013 (международные стандарты управления информационной безопасности)
  • PCI-DSS (требования международных платежных систем по управлению информационной безопасностью)
  • FERPA