Document toolboxDocument toolbox

(v2.3) Nastavení - Konfigurace - Šifrování dat

Aplikace od verze 2.0 podporuje funkci šifrování uložených dat. Jelikož je jednou z hlavních funkcí aplikace kontrola přenášených souborů pomocí detekčních nástrojů, jako jsou anti-viry a sandboxy, musí nejprve pro nově nahrané soubory proběhnout tyto nastavené kontroly a až potom dojde k zašifrování uložených dat.

Sekce nastavení pro konfiguraci šifrování obsahuje následující položky:

Stav

Zde je zobrazeno, zda je funkce šifrování pro nové zásilky aktivní, či nikoli.

Statistika šifrování zásilek

Zde je zobrazena tabulka informující administrátora o počtu zásilek v následujících stavech:

  • Nezašifrované zásilky - zásilky, u kterých nebylo šifrování použito. Pokud je jich více než 0, je zde rovněž k dispozici tlačítko:

    • Zašifrovat všechny zásilky - spustí jednorázovou akci pro zašifrování všech aktuálně nezašifrovaných zásilek pomocí společného klíče serveru. V závislosti na objemu šifrovaných zásilek může tato operace trvat velmi dlouho.

  • Zašifrované zásilky (klíčem serveru) - zásilky, které byly úspěšně zašifrovány pomocí společného klíče serveru. Pokud je jich více než 0, je zde rovněž k dispozici tlačítko:

    • Dešifrovat všechny zásilky - spustí jednorázovou akci pro dešifrování všech aktuálně zašifrovaných zásilek pomocí klíče serveru. V závislosti na objemu zašifrovaných zásilek může tato operace trvat velmi dlouho.

  • Zašifrované zásilky (heslem zásilky) - zásilky, které byly úspěšně zašifrovány pomocí klíče odvozeného z hesla zásilky (zadaného uživatelem). Toto heslo a klíč není nikde uloženo.

  • (De)šifrování selhalo - zásilky, u jejichž šifrování či dešifrování nastala chyba. Ve správně fungující aplikaci by neměly žádné takové existovat. Pokud nějaké existují, měl by administrátor prověřit stav aplikace (logy, zásilky, úložiště, atd.) a odstranit problém, případně kontaktovat podporu.

Nastavení šifrování

Šifrovat nové zásilky

Pokud je funkce zapnutá, jsou data každé nové zásilky po ukončení kontrol detekčními nástroji zašifrována. A to buď společným klíčem serveru, nebo unikátním klíčem zásilky odvozeným z hesla zásilky, viz nastavení níže.

(výchozí: zapnuto)

Anonymní uživatelé mohou zásilky šifrovat heslem

Povoluje anonymním (nepřihlášeným) uživatelům šifrovat odeslané zásilky heslem. Data zásilek šifrovaných heslem nejsou přístupná nikomu, kdo heslo nezná, ani administrátorovi. K zašifrování dojde po dokončení kontrol detekčními nástroji. Funguje pouze, pokud je zapnuté šifrování nových zásilek.

(výchozí: NE)

Registrovaní uživatelé mohou zásilky šifrovat heslem

Povoluje registrovaným (přihlášeným) uživatelům šifrovat odeslané zásilky heslem. V režimu "jen vybraní" se řídí nastavením odpovídajícího práva uživatelům. Data zásilek šifrovaných heslem nejsou přístupná nikomu, kdo heslo nezná, ani administrátorovi. K zašifrování dojde po dokončení kontrol detekčními nástroji. Funguje pouze, pokud je zapnuté šifrování nových zásilek.

(výchozí: ANO)

Seznam klíčů šifrujících klíče (KEK)

Každá zásilka má vlastní data šifrující klíč (DEK). Tento klíč je uložen společně s daty zásilky a je zašifrován pomocí jednoho nebo více klíčů šifrujících klíče (KEK). Tato část nastavení umožňuje spravovat klíče šifrující klíče (KEK).

V níže uvedené tabulce je seznam všech KEK, které aplikace zná a používá. Minimálně jeden musí existovat, aby mohla funkce správně pracovat. Jeden výchozí s názvem “local” je vytvořen automaticky. Tlačítkem “Přidat” nad tabulkou je možné vytvořit nový KEK. Klíčů KEK může existovat více a v takovém případě se používají všechny (DEK je šifrován pomocí více různých KEK). U každého z klíčů v tabulce je k dispozici:

  • Název - pojmenování klíče, nemá žádný vliv na funkci, jen pro přehlednost.

  • Typ - zatím je podporován pouze typ “místní klíč”, který je uložen v databázi aplikace. V budoucnu jsou plánovány další typy klíčů uložené jinde (např. externí KMS nebo HSM).

    • Od verze 2.3 existují dva typy místních klíčů: ECIES - starý a dosluhující a HPKE - nový a doporučený. Pro nové instalace se automaticky použije nový doporučený typ klíče. Starší instalace budou nadále využívat původní ECIES, pokud administrátor toto nezmění. Doporučujeme zvážit přechod na nový typ i u starších instalací (přidáním nového a v dalších kroku odebráním starého klíče).

  • Použití klíče - kolik zásilek je aktuálně tímto klíčem zašifrovaných / celkem zašifrovaných zásilek.

  • Stav:

    • připraven: klíč bez aktivní běžící operace.

    • probíhá přidávání k zásilkám: klíč s běžící operací přidávání k zašifrovaným zásilkám.

    • probíhá odebírání od zásilek: klíč s běžící operací odebírání od zašifrovaných zásilek.

  • Akce:

    • ikona + : Přidá tento KEK ke všem zašifrovaným zásilkám. K dispozici pouze, pokud existují zašifrované zásilky bez tohoto klíče.

    • ikona - : Odebere tento KEK od všech zašifrovaných zásilek. K dispozici pouze, pokud existují zašifrované zásilky tímto klíčem.

    • ikona Koše: Smaže tento KEK z aplikace. K dispozici pouze, pokud tento klíč není aktuálně použit k šifrování žádné zásilky. Nelze smazat klíč, který je používán, neboť by tím došlo ke ztrátě dat zásilek.

Více o šifrování

Další informace o šifrování dat v aplikaci je možné nalézt zde: Šifrování dat v aplikaci SOFiE .