Crittografia DB2 IBM i

Crypto Complete protegge i dati sensibili sfruttando una robusta crittografia, integrando la gestione delle chiavi e dell'auditing. Crypto Complete consente di crittografare i campi del database, i backup e i file IFS in modo rapido ed efficace grazie alle sue caratteristiche intuitive ed ad una tecnologia  collaudata.

Questa soluzione innovativa è vitale per proteggere le informazioni confidenziali e consente di essere conformi con gli standard PCI DSS federali cioè HIPAA, Sarbanes-Oxley) e le leggi degli Stati sulla privacy.

  • Cifra automaticamente i campi del database su IBM i (iSeries), senza cambiare le applicazioni
  • Proteggere i numeri di carta di credito (PAN), numeri di conti bancari, numeri di previdenza sociale e altre informazioni di identità personali (PII)
  • Cifra le librerie/oggetti dei System i(crittografia di backup) e i file IFS
  • Crea, gestisce e protegge le chiavi con il Key Manager integrato
  • Ruotare le chiavi senza dover ri-crittografare i dati o dover modificare le applicazioni esistenti
  • Crittografa utilizzando algoritmi forti (AES a 256, AES192, AES128 o TDES)
  • Decifrare i dati solo per utenti autorizzati (sia l'intero dato o il dato mascherato)
  • Tokenizza, cripta e memorizza i dati provenienti da sistemi diversi (ad esempio IBM i, Windows, Linux, Unix, ecc)
  • Produrre relazioni e protocolli di audit completi

Funzionalità principali

Crypto Complete include tutte le funzionalità necessarie per soddisfare i severi requisiti per la crittografia e gestione delle chiavi. Questa robusta soluzione è utilizzata in ambienti mission-critical per proteggere i dati sensibili su IBM i (iSeries), nonché i dati provenienti da sistemi distribuiti. Società di tutto il mondo utilizzano Crypto Completa per proteggere le informazioni riservate sia dagli hacker, esterni, che dagli utenti interni non autorizzati.

Le funzionalità principali di Crypto Complete sono:

  • la cifratura automatica dei campi all'interno dei database IBM i (fisici e tabelle)
  • Crittografia dei file residenti sui sistemi i, oggetti e librerie (crittografia dei backup)
  • Crittografia dei file che si trovano sul File System Integrato (IFS)
  • Tokenizzazione, crittografia e archiviazione dei dati provenienti dai sistemi remoti (IBM i, Windows, Linux, ecc)
  • Gestione integrata delle chiavi con l'amministrazione basata sui ruoli
  • Supporto per le Field Procedure DB2 a partire dal IBM i V7R1 e superiori
  • Crittografia dei campi del database di piccole dimensioni senza richiedere l'espansione degli stessi
  • Crittografia dei campi del database di tipo alfanumerico, numerico, data, ora e timestamp
  • Decrittografia dei campi completamente o parzialemete in chiaro, sulla base di liste di autorizzazione
  • Supporto degli algoritmi di crittografia AES (AES128, AES192, AES256) e TDES
  • Rotazione delle chiavi di crittografia, senza dover ri-crittografare i dati esistenti
  • Menu e comandi IBM i intuitivi con help on-line di tipo testo
  • Chiamate ai programmi e procedure ILE per cifrare/decifrare i dati all'interno delle applicazioni native
  • Store procedure e funzioni SQL per cifrare/decifrare i dati tramite SQL
  • Limita l'accesso ai programmatori ai dati decriptati, anche se hanno l'autorità * ALLOBJ
  • Messaggi di avviso di sicurezza a indirizzi e-mail, message queue, journal e SYSLOG
  • Un sistema completo di auditing e reporting
  • Supporto per più ambienti (data library)

Crypto Complete è installato come programma licenziato per il sistema IBM i e necessita di meno di 75 MB di spazio su disco. Generalmente può essere installato in pochi minuti. I comandi in Crypto Complete dispongono di un help on-line di tipo testo e sono accessibili tramite menu intuitivi nativi IBM i.

Crittografia dei Campi

La crittografia dei campi dei database è sempre stato molto difficile e ha richiesto sempre richiesto molto tempo per l'implementazine sui Sistemi IBM i. In passato, bisognava modificare pesantemente le applicazioni per poter aumentare la dimensione dei campi del database e implementare complicate chiamate API per poter cifrare/decifrare i dati. Al contrario, il design di Crypto Complete consente di cifrare i campi in modo rapido ed efficace grazie alle schermate intuitive e alla tecnologia collaudata.

Con Crypto Completa l'innovativo "Field Encryption Registry", è sufficiente indicare i campi del database da crittografare e i relativi file del database. Quando un campo viene "attivato" nel Registro, Crypto Complite eseguirà una crittografia di massa dei valori correnti del campo. Crypto Complete può quindi crittografare automaticamente i valori del campo su base continuativa, sia quando vengono aggiunti nuovi record al database sia quando i valori dei campi esistenti sono modificati. La funzione di crittografia automatica inserita nel Registro Crittografico dei Campi Crypto Completa elimina la necessità di apportare modifiche ai programmi applicativi per per poter crittografare i dati.
Se le procedure dei campi DB2 (disponibile nei sistemi IBM i V7R1) sono utilizzati con Crypto Complete, i valori possono anche essere automaticamente decriptati senza modifiche dei programmi. In caso contrario, sono necessarie semplici modifiche dei programmi per poter decifrare i dati utilizzando le API di Crypto Complete.

Facoltativamente, è possibile modificare le applicazioni per crittografare i dati invocando da programma (tramite API) le procedure di crittografia e i programmi di Crypto Complete. Crypto Complete include anche le stored procedure e funzioni SQL, che possono essere richiamati da applicazioni native o altri client esterni (ad esempio front-end grafici o web-based) per la cifratura/decifratura.

I campi dei database dei sistemi IBM i possono essere protetti con Crypto Complete utilizzando algoritmi di crittografia AES e TDES. Entrambi questi algoritmi seguono gli standard (non proprietari) e le specifiche pubblicate dagli Stati Uniti National Institute of Standards and Technology (NIST). AES e TDES sono ampiamente utilizzati per la protezione dei dati altamente sensibili e conformi agli standard PCI DSS, HIPAA e le leggi sulla privacy nazionali.

Per la crittografia AES, è possibile scegliere tra le lunghezze delle chiavi di AES128, AES192 e AES256.
È possibile crittografare quasi tutti i campi del database IBM DB2 con Crypto Complite.

Esempi dei Campi di Crittografia:

  • Numeri di carta di credito (PAN)
  • Numeri di sicurezza sociale
  • Numeri di conto bancario
  • Informazioni relative alla salute
  • salari
  • Dati finanziari

I Campi del database crittografati sono protetti con chiavi di crittografia dei dati (DEK) che sono gestiti dal sistema integrato di Crypto Complete per la gestione delle chiavi. Solo gli utenti autorizzati avranno la possibilità di decodificare i dati e ottenere l'accesso ai valori completi o mascherati. La decrittografia dei dati può essere completamente sottoposta ad Audit con Crypto Complete, che registrerà l'id utente, data, ora, informazioni sulle operazioni effettuate e la chiave utilizzata.

DB2 Field Procedures

Le Procedure sui Campi DB2 (FieldProcs) sono state introdotte nella versione IBM i 7.1 in primo luogo per aiutare a semplificare i progetti di crittografia dei campi. Un FieldProc può essere posizionato su qualsiasi campo del database DB2, compresi gli alfanumerici, decimali compressi, decimale a zone, campi numerici firmati, data e ora. I FieldProcs offrono due vantaggi rispetto ai trigger del database: FieldProcs consente di modificare i dati (dal programma di uscita) su una operazione di "Read". Ciò consentirà di decodificare automaticamente il valore del campo prima che venga restituito all'utente o all'applicazione. Non è quindi necessario apportare modifiche alle applicazioni per decrittografare i dati, cio conssente ridurre drasticamente i tempi di implementazione per adottare la crittografia a livello di campo.

I FieldProcs consentono di memorizzare la versione 'codificata' (criptata) del campo all'interno del file esistente. Ciò consente di crittografare tipologie di campo non-alfa (numerici, data, ora) senza dover poi memorizzare i valori crittografati in un file separato.

Mentre IBM a consentito questa tipologia di accesso al database con FieldProcs, ha però lasciata al cliente o a soluzioni di terze parti (come Crypto Complete) di creare i programmi FieldProc per eseguire funzioni di crittografia/decrittografia.

Crypto completa semplifica la creazione e la gestione di FieldProcs grazie ai comandi innovativi di Crittografia del Registro dei Campi di sistema e le sue schermate. Essa codifica e decodifica i valori dei campi (tramite i FieldProcs) fornendo al contempo la piena integrazione con le Policy e controlli di sicurezza di Crypto Complete, la gestione delle chiavi e dell'audit per soddisfare rigorosi requisiti di conformità.

Sulla base di elenchi di autorizzazione assegnato ai campi, gli utenti possono avere un accesso completo, limitato, con valori mascherati, o gli può essere negato l'accesso.

Gestione delle Chiavi

Crittologia a chiave simmetrica (conosciuta anche come chiave segreta o crittografia a chiave privata) è una forma di crittologia in cui la stessa chiave può essere utilizzata per crittografare e decrittografare i dati.

La chiavi simmetriche deve essere sufficentemente robusta per l'applicazione che la dovrà utilizzare. Poiché la robustezza della chiave simmetrica è determinata dalla sua lunghezza, più lunga è la chiave, più è difficile poterla rompere anche da parte di computer molto performanti. In Crypto Complete le chiavi simmetriche possono essere generati fino a 256 bit di lunghezze per fornire un elevato livello di protezione.

I valori chiave simmetrica deve essere tenuta segreta per evitare la decrittografia non autorizzata di dati sensibili. I controlli devono quindi esistere per tutelare la riservatezzae l'accesso alle chiavi simmetriche. Crypto completa fornisce un approccio integrato e un completo sistema simmetrico di gestione delle chiavi per stabilire i controlli, che è fondamentale per raggiungere gli standard di conformità stringenti, quali PCI DSS.

Il sistema simmetrico Crypto Complete per la gestione delle chiavi consente alle aziende di:

  • Stabilire le policy dei criteri su come le chiavi simmetriche possono essere create e utilizzate
  • Indicare quali utenti possono creare e gestire chiavi simmetriche
  • Generare casualmente chiavi simmetriche forti
  • Proteggere le chiavi simmetriche utilizzanodo chiavi di crittografia master
  • Doppio Controllo - Proteggere la ricreazione di una chiave di crittografia master richiedendo passphrase da 2 a 8 utenti
  • Organizzare le chiavi simmetriche in uno o più archivi principali
  • Limitare l'accesso ai Magazzini delle chiavi utilizzando le authority IBM i sugli oggetti
  • Limitare il recupero dei reali valori della chiave simmetrica
  • Fornisce la separazione delle funzioni (cioè al creatore di una chiave simmetrica può essere impedito l'utilizzare della stessa per cifrare e/o decrittografare i dati)
  • Controllo gli utenti che possono utilizzare chiavi simmetriche per crittografare e decrittografare i dati
  • Produrre log di audit dettagliati

Crypto Complete fornisce un'architettura di sicurezza multi-livello per proteggere le chiavi simmetriche su IBM i.

Per maggiori informazioni su Crypto Complete