Was ist Verschlüsselung im Ruhezustand?

Daten im Ruhezustand bezeichnen alle persistent gespeicherten Daten, im Gegensatz zu Daten in der Übertragung (die sich über ein Netzwerk bewegen) oder Daten in Verwendung (die im Speicher verarbeitet werden). Verschlüsselung im Ruhezustand schützt vor Bedrohungen wie gestohlenen Festplatten, unberechtigtem Datenbankzugriff, kompromittierten Backup-Bändern und Cloud-Speicherpannen.

Verschlüsselung im Ruhezustand kann auf verschiedenen Ebenen implementiert werden. Festplattenvollverschlüsselung (wie BitLocker oder LUKS) verschlüsselt alles auf einem Laufwerk. Verschlüsselung auf Datenbankebene (wie TDE) verschlüsselt Datendateien transparent. Verschlüsselung auf Anwendungsebene verschlüsselt Daten, bevor sie in einen Speicher geschrieben werden, und gibt der Anwendung volle Kontrolle darüber, wer die Schlüssel hält.

Die entscheidende Frage bei der Verschlüsselung im Ruhezustand ist, wer die Schlüssel hält. Wenn derselbe Server, der die verschlüsselten Daten speichert, auch die Entschlüsselungsschlüssel beherbergt, offenbart eine vollständige Serverkompromittierung alles. Der robusteste Ansatz trennt Schlüsselverwaltung und Datenspeicherung vollständig, sodass die Kompromittierung des Speichers allein nicht ausreicht, um die Daten zu lesen.

Wie Vaulted Verschlüsselung im Ruhezustand verwendet

Vaulted bietet von Design her Verschlüsselung im Ruhezustand. Geheimnisse werden mit AES-256-GCM im Browser verschlüsselt, bevor sie an den Server gesendet werden, und als Geheimtext in Redis gespeichert. Der Verschlüsselungsschlüssel erreicht den Server nie – er lebt ausschließlich im URL-Fragment. Das bedeutet: Die in Redis ruhenden Daten sind mit Schlüsseln verschlüsselt, die an einem völlig anderen Ort existieren (dem geteilten Link). Das schafft eine starke Trennung zwischen verschlüsseltem Speicher und Schlüsselmaterial.