Verschlüsselung
OneOffixx kann sowohl einzelne Einträge wie Passwörter oder ConnectionStrings in Konfigurationen als auch den gesamten Offline-Cache von Windows-Clients verschlüsseln.
Konfiguration
Caution
Einmal verschlüsselte Elemente sind ohne den entsprechenden Sicherheitsschlüssel nicht mehr verwendbar. Der Schlüssel ist in der Datenbank abgelegt.
In OneOffixx-Konfigurationen können schützenswerte Daten verschlüsselt werden. So kann der Vorlagenadministrator die restliche Konfiguration bearbeiten, ohne dass er diese Daten sieht.
Beim Konfigurieren müssen Sie darauf achten, dass der entsprechende Wert verschlüsselbar ist wie z. B. der ConnectionString beim SQL Address Provider. In der globalen Konfiguration funktioniert das mittels Klick auf den Verschlüsselungs-Button:
Ist die Konfiguration lokal an einer Vorlage, muss der entsprechende Text in die Globalen Konfigurationen ausgelagert werden. Dabei kann der Text direkt verschlüsselt werden:
Tip
Der Schlüssel kann im Admin-Dashboard unter Settings → General Settings → SymmetricEncryptionKey verwaltet werden. Achten Sie darauf, dass Sie nach dem Import von Daten zwischen verschieden Datenbanken die Daten neuverschlüsseln oder stellen Sie sicher, dass beide Datenbanken mit dem gleichen Schlüssel konfiguriert sind.
Technische Details
Bei der Verschlüsselung handelt es sich um eine symmetrische Verschlüsselung (AES mit 256-bit Schlüssellänge und jeweils 128-bit Salt). Der Schlüssel ist in der Datenbank hinterlegt. Die Windows-Clients kennen für den Offline-Betrieb den symmetrischen Schlüssel ebenfalls. Dieser wird jeweils mittels der Windows Data Protection API (DPAPI) geschützt (mit 256-bit NONCE als zusätzliche Entropie). Die Sicherheit während des Transits wird durch HTTPS gewährleistet.
Der WebClient, das Office-AddIn und die COM-AddIns erhalten den Schlüssel zu keinem Zeitpunkt.
Windows Clients – Offline-Cache
Der Offline-Cache der Windows Clients kann verschlüsselt abgelegt werden. Das ist empfehlenswert, wenn die Daten nicht anderweitig (z. B. durch BitLocker) geschützt werden. Dazu muss (z. B. via Group Policy) einer der folgenden Registry Keys angelegt werden – wobei der erste Key der Entscheidene ist, falls beide gesetzt sind:
[HKEY_CURRENT_USER\Software\Policies\Sevitec Informatik AG\OneOffixx]
EncryptCache="true"
oder
[HKEY_CURRENT_USER\Software\Sevitec Informatik AG\OneOffixx]
EncryptCache="true"
Ist der Key nicht gesetzt, wird der Cache nicht verschlüsselt.
Note
Wird die Veschlüsselung deaktiviert oder aktiviert, bedeutet das, dass alle betroffenen Windows Clients ihren Offline-Cache neu aufbauen. Daher ist es empfehlenswert, den Key vor der Installation der OneOffixx-Clients zu setzen, um unnötigen Synchronisationsaufwand zu vermeiden.
Technische Details
Bei der Verschlüsselung handelt es sich um eine symmetrische Verschlüsselung (AES mit 256-bit Schlüssellänge und jeweils 128-bit Salt). Der Schlüssel wird von jedem Client beim Erstellen des Cache generiert und mittels der Windows Data Protection API (DPAPI) geschützt (mit 256-bit NONCE als zusätzliche Entropie). Das heisst, dass nur der aktuelle Windows User auf demselben Computer den Schlüssel und damit die Daten entschlüsseln kann.
Note
Die Entschlüsselung kann nur mit bekanntem Schlüssel erfolgen. Kann auf diesen nicht mehr zugegriffen werden (weil z. B. der entsprechende Windows-User gelöscht wurde), sind alle Daten im unwiderruflich verloren. Normalerweise sind jedoch alle Daten auch auf dem Server verfügbar und daher stellt das kein Problem dar. Beachten Sie, dass der verschlüsselte Cache daher nicht auf andere Maschinen/Benutzer verschoben oder kopiert werden kann.