(v2.3) Nastavení - Konfigurace - Šifrování dat
Aplikace od verze 2.0 podporuje funkci šifrování uložených dat. Jelikož je jednou z hlavních funkcí aplikace kontrola přenášených souborů pomocí detekčních nástrojů, jako jsou anti-viry a sandboxy, musí nejprve pro nově nahrané soubory proběhnout tyto nastavené kontroly a až potom dojde k zašifrování uložených dat.
Sekce nastavení pro konfiguraci šifrování obsahuje následující položky:
Stav
Zde je zobrazeno, zda je funkce šifrování pro nové zásilky aktivní, či nikoli.
Statistika šifrování zásilek
Zde je zobrazena tabulka informující administrátora o počtu zásilek v následujících stavech:
Nezašifrované zásilky - zásilky, u kterých nebylo šifrování použito. Pokud je jich více než 0, je zde rovněž k dispozici tlačítko:
Zašifrovat všechny zásilky - spustí jednorázovou akci pro zašifrování všech aktuálně nezašifrovaných zásilek pomocí společného klíče serveru. V závislosti na objemu šifrovaných zásilek může tato operace trvat velmi dlouho.
Zašifrované zásilky (klíčem serveru) - zásilky, které byly úspěšně zašifrovány pomocí společného klíče serveru. Pokud je jich více než 0, je zde rovněž k dispozici tlačítko:
Dešifrovat všechny zásilky - spustí jednorázovou akci pro dešifrování všech aktuálně zašifrovaných zásilek pomocí klíče serveru. V závislosti na objemu zašifrovaných zásilek může tato operace trvat velmi dlouho.
Zašifrované zásilky (heslem zásilky) - zásilky, které byly úspěšně zašifrovány pomocí klíče odvozeného z hesla zásilky (zadaného uživatelem). Toto heslo a klíč není nikde uloženo.
(De)šifrování selhalo - zásilky, u jejichž šifrování či dešifrování nastala chyba. Ve správně fungující aplikaci by neměly žádné takové existovat. Pokud nějaké existují, měl by administrátor prověřit stav aplikace (logy, zásilky, úložiště, atd.) a odstranit problém, případně kontaktovat podporu.
Nastavení šifrování
Šifrovat nové zásilky
Pokud je funkce zapnutá, jsou data každé nové zásilky po ukončení kontrol detekčními nástroji zašifrována. A to buď společným klíčem serveru, nebo unikátním klíčem zásilky odvozeným z hesla zásilky, viz nastavení níže.
(výchozí: zapnuto)
Anonymní uživatelé mohou zásilky šifrovat heslem
Povoluje anonymním (nepřihlášeným) uživatelům šifrovat odeslané zásilky heslem. Data zásilek šifrovaných heslem nejsou přístupná nikomu, kdo heslo nezná, ani administrátorovi. K zašifrování dojde po dokončení kontrol detekčními nástroji. Funguje pouze, pokud je zapnuté šifrování nových zásilek.
(výchozí: NE)
Registrovaní uživatelé mohou zásilky šifrovat heslem
Povoluje registrovaným (přihlášeným) uživatelům šifrovat odeslané zásilky heslem. V režimu "jen vybraní" se řídí nastavením odpovídajícího práva uživatelům. Data zásilek šifrovaných heslem nejsou přístupná nikomu, kdo heslo nezná, ani administrátorovi. K zašifrování dojde po dokončení kontrol detekčními nástroji. Funguje pouze, pokud je zapnuté šifrování nových zásilek.
(výchozí: ANO)
Seznam klíčů šifrujících klíče (KEK)
Každá zásilka má vlastní data šifrující klíč (DEK). Tento klíč je uložen společně s daty zásilky a je zašifrován pomocí jednoho nebo více klíčů šifrujících klíče (KEK). Tato část nastavení umožňuje spravovat klíče šifrující klíče (KEK).
V níže uvedené tabulce je seznam všech KEK, které aplikace zná a používá. Minimálně jeden musí existovat, aby mohla funkce správně pracovat. Jeden výchozí s názvem “local” je vytvořen automaticky. Tlačítkem “Přidat” nad tabulkou je možné vytvořit nový KEK. Klíčů KEK může existovat více a v takovém případě se používají všechny (DEK je šifrován pomocí více různých KEK). U každého z klíčů v tabulce je k dispozici:
Název - pojmenování klíče, nemá žádný vliv na funkci, jen pro přehlednost.
Typ - zatím je podporován pouze typ “místní klíč”, který je uložen v databázi aplikace. V budoucnu jsou plánovány další typy klíčů uložené jinde (např. externí KMS nebo HSM).
Od verze 2.3 existují dva typy místních klíčů: ECIES - starý a dosluhující a HPKE - nový a doporučený. Pro nové instalace se automaticky použije nový doporučený typ klíče. Starší instalace budou nadále využívat původní ECIES, pokud administrátor toto nezmění. Doporučujeme zvážit přechod na nový typ i u starších instalací (přidáním nového a v dalších kroku odebráním starého klíče).
Použití klíče - kolik zásilek je aktuálně tímto klíčem zašifrovaných / celkem zašifrovaných zásilek.
Stav:
připraven: klíč bez aktivní běžící operace.
probíhá přidávání k zásilkám: klíč s běžící operací přidávání k zašifrovaným zásilkám.
probíhá odebírání od zásilek: klíč s běžící operací odebírání od zašifrovaných zásilek.
Akce:
ikona + : Přidá tento KEK ke všem zašifrovaným zásilkám. K dispozici pouze, pokud existují zašifrované zásilky bez tohoto klíče.
ikona - : Odebere tento KEK od všech zašifrovaných zásilek. K dispozici pouze, pokud existují zašifrované zásilky tímto klíčem.
ikona Koše: Smaže tento KEK z aplikace. K dispozici pouze, pokud tento klíč není aktuálně použit k šifrování žádné zásilky. Nelze smazat klíč, který je používán, neboť by tím došlo ke ztrátě dat zásilek.
Více o šifrování
Další informace o šifrování dat v aplikaci je možné nalézt zde: Šifrování dat v aplikaci SOFiE .