Verschlüsselung

Übersicht

Alle Daten, die in unserem STACKIT Object Storage gespeichert werden, sind im Ruhezustand mit AES256 verschlüsselt. Zusätzlich haben Sie die Optionen, serverseitige Verschlüsselung (SSE) oder serverseitige Verschlüsselung mit vom Kunden bereitgestellten Schlüsseln (SSE-C) zu verwenden.

Serverseitige Verschlüsselung

Die serverseitige Verschlüsselung bietet Ihnen die Möglichkeit, Objekte während des Uploads zu verschlüsseln. Wenn Sie eine S3-Anfrage zum Speichern eines Objekts stellen, verschlüsselt das Storage-Backend das Objekt automatisch mit einem eindeutigen Schlüssel. Die Verschlüsselungsschlüssel werden vom Storage-Backend verwaltet.

Um ein Objekt während des Uploads mit einem eindeutigen Schlüssel zu verschlüsseln, können Sie den folgenden Header verwenden:

x-amz-server-side-encryption

SSE wird für die folgenden Operationen unterstützt:

• PUT Object
• PUT Object - Copy
• Initiate Multipart Upload

Server-Side Encryption mit vom Kunden bereitgestellten Schlüssel

SSE-C bietet die Möglichkeit, ein Objekt mit einem eindeutigen Schlüssel zu verschlüsseln, den Sie selbst verwalten.

Um SSE-C zu nutzen, müssen Sie die folgenden Header verwenden:

• x-amz-server-side-encryption-customer-algorithm
  • Verschlüsselungsalgorithmus. Der Wert muss AES256 sein.
• x-amz-server-side-encryption-customer-key
  • Verschlüsselungsschlüssel, der zum Verschlüsseln oder Entschlüsseln des Objekts verwendet wird. Muss 256 Bit groß und Base64-kodiert sein.
• x-amz-server-side-encryption-customer-key-md5
  • MD5-Digest Ihres Verschlüsselungsschlüssels, um sicherzustellen, dass Ihr Verschlüsselungsschlüssel korrekt übertragen wurde. Muss 128 Bit groß und Base64-kodiert sein.

SSE-C wird für die folgenden Operationen unterstützt:

• GET Object
• PUT Object
• PUT Object - Copy
• HEAD Object
• Initiate Multipart Upload
• Upload Part
• Upload Part - Copy

Beachten Sie bei der Verwendung von SSE-C, dass das ETag nicht die MD5-Summe der Objektdaten ist.

Wenn Sie Customer-Provided Keys verwenden, liegt die Verantwortung für die Verwaltung dieser Schlüssel vollständig bei Ihnen.

Diese beinhaltet:

• Sie müssen die Zuordnung zwischen Schlüsseln und Objekten selbst nachverfolgen.
• Wenn die Versionierung aktiviert ist, wird empfohlen, für jede Version einen eindeutigen Schlüssel zu verwenden. Sie müssen die Zuordnung zwischen Objektversionen und Schlüsseln selbst verwalten.
• Die Schlüssel müssen von Ihnen selbst rotiert werden.

WIR SPEICHERN DEN SCHLÜSSEL NICHT AUF UNSEREM SYSTEM. WENN SIE DEN SCHLÜSSEL VERLIEREN, VERLIEREN SIE IHR OBJEKT!

Beispiele:

Serverseitige Verschlüsselung

Um ein Objekt mit s3cmd hochzuladen und es automatisch mit einem vom Storage-Backend verwalteten Schlüssel zu verschlüsseln, geben Sie beim Upload die Option “—server-side-encryption” an:

s3cmd put ./my-encrypted-object s3://directory1 --server-side-encryption

Wenn Sie immer serverseitige Verschlüsselung verwenden möchten, können Sie einfach die folgende Zeile zu ~/.s3cfg hinzufügen:

server_side_encryption = true