暗号化

ファイル暗号化は、AES 256ビットの暗号化キーで、OpenSSLツールキットを使っている。セッショントラフィックは、2048ビットの暗号化キーで、TLSを使っている。

暗号化は、OSに自分をファイルとして見せるPEFS(Portable Encrypting File System)を生成する特許技術に基づいている。 アプリケーションは、保護されていないファイルと保護されたファイルの間に違いがあることに気付かない。

DASBは、ユーザ、デバイス、プロセス/アプリケーション、ネットワーク、ファイルシステムの間の全てのアクセス制御、許可をブローカとして行う。

ファイルが保護される場合、クライエント/エージェントは、元のファイルを新しいPEFSにリアルタイムに移行する。PEFSは、OSに対して、元のファイルとして見える。

- ファイルのコンテンツは、保護のため、PEFSに移行する。各ファイルは、独自の暗号化キーで、独自のPEFSになる。
- PEFSは、静止、移動、使用の全ての場合、保護され続ける。

クライエント/エージェントは、PEFSに対するリクエストを監視し、デバイス、ユーザ、アプリケーション プロセス、ネットワーク等、コンテンツへのアクセスの許可を確保する。

PEFSは、ファイルのリクエストのあった部分を復号し、アプリケーションが使用するため、OSのシステムメモリにリクエストされた情報を送る。

元の保護されていないファイル、保護されたファイル/PEFSは、同じMD5チェックサムを持っている。

コンテンツを見るためのアクセス権はアプリケーションに与えられていると仮定して、ホストのOS、アプリケーションは、元のファイルと保護されたファイルの違いが分からない。 このことが、DASBがどのアプリケーションとも透過的に動作することを可能にしている。

許可されていないアクセスは、ファイルが破損しているというアクセス権エラー、OSエラーとなる。 ファイルは、実際は破損していないが、OSはデータを読むことを許可されない。

PEFSは、元のファイルに比べて、サイズが実際に大きくなっており、自分を識別するため、新しいメタデータを含んでいる。

How are files encrypted?

暗号化キー

DASBは、KMS(キー管理システム)、またはHSM(ハードウェア セキュリティ モジュール)から発行された1つのマスターキーで、KEK(Key-Encryption-Key: キー暗号化キー)を使用する。 DASBで保護されているすべてのファイルは、マスターキーから派生したユニークなキーを使う。

キーは、ローテーションでき、複数のKMS/HSMは統合可能で、あるものが別のものに移行できる。

マスターキーに基づく新しいキーは、すべてのファイルに対して生成される。

ファイルキーは、オフラインアクセスのために、エンドポイントにキャッシュすることができる。 ファイルキーは、OS内の キー チェーンに保存され、ローカル キーへのアクセスは、期限切れに設定でる。

データが不要になった場合、1つのファイル、または一連のファイルは、REST APIを使用して、プログラムにより破棄することができる。

問合せ


【開発元】SecureCircle, LLC https://securecircle.com/
【輸入元】先端技術研究所 http://www.ART-Sentan.co.jp/ KHB16427@nifty.ne.jp 045-978-1292