Versions Compared

Old Version 3

changes.mady.by.user SGO

Saved on

compared with

New Version 4

changes.mady.by.user SGO

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Comment: Version published after converting to the new editor



German



Panel


Section


Column
width70%


Panel
titleInformationen zu den verwendeten Verschlüsselungsverfahren in SmartNotes.


Section


Column
width100%

Die zur Authentifizierung gespeicherten Informationen sind Hash und Salt.

Beim Anlegen eines Nutzers hasht der Client das eingegebene Passwort mit einem Salt, welcher u.A. den Benutzernamen enthält (client-seitiges PBKDF2). Dieser Hash wird an den Server gesendet und dort mit dem für den Nutzer in der Datenbank hinterlegten Salt nochmals gehasht (server-seitiges PBKDF2). Bei Anmeldung eines Benutzers wird sein dabei eingegebenes Passwort gehasht und mit dem gespeicherten Hash verglichen. Eine Authentifizierung erfolgt nur dann, wenn die beiden Hashes übereinstimmen. Wenn identische Passwörter eingegeben werden, bleiben die Hash-Werte für verschiedene Benutzer trotzdem unterschiedlich. Dies gilt sogar, wenn die Salt-Werte für zwei Benutzer identisch wären. D.h. es ist nicht möglich, die Datenbankeinträge eines Benutzers auf die eines anderen Benutzers sinnvoll zu übertragen. Der server-seitige Salt besteht aus einer Folge der zufällig gewählten Bytes und wird individuell für jeden Benutzer generiert. Dieses Vorgehen stellt folgende Punkte sicher:

  • Das Passwort wird nie im Klartext an den Server übertragen.
  • Das Passwort wird nie im Klartext in der Datenbank gespeichert.
  • Die an den Server gesendete Information (Hash 1) unterscheidet sich von der zu diesem Benutzer in der Datenbank gespeicherten Information (Hash 2).
  • Der Client erhält keine Kenntnis über die in der Datenbank hinterlegten Werte für Hash oder Salt.
  • Das eingesetzte Verfahren ist Bestandteil der Standard .NET-Bibliotheken.
  • Die Hash-Berechnung ist so gestaltet, dass Brute-Force-Attacken erschwert werden.





Column
width30%


Panel
bgColor#ECECEC

<< Technische Dokumentation




Panel
titlePasswort zur Anmeldung


Section


Column
width100%

SmartNotes speichert die Passwörter der Benutzer in der Datenbank. Die Umwandlung des Passworts in einen Schlüssel erfolgt mit dem Password-Based Key Derivation Function 2 (PBKDF2)Verfahren. Die Beschreibung des angewandten Algorithmus ist hier zu finden.




Panel
titleKommunikation zwischen Client- und Server-Anwendung


Section


Column
width100%

Der Kommunikationskanal wird mit dem  asymmetrischen kryptographischen Verfahren RSA aufgebaut. In dem sogenannten Handshake zu Beginn der Kommunikation wird dabei ein Schlüssel zwischen Client und Server ausgehandelt, welcher im Anschluss für die symmetrische Verschlüsselung mit Advanced Encryption Standard (AES) verwendet wird.  AES verwendet  eine definierte Schlüssellänge von 256 Bit. Bei RSA wird eine Schlüssellänge von 3072 Bit verwendet.

Diese Schlüssel können derzeit nicht über ein Zertifikat festgelegt werden. Wird Single-Sign-On in Verbindung mit Kerberos eingesetzt, so wird der Kerberos Token verwendet, um den AES Schlüssel auszutauschen.


Panel
titleZertifikat (Ab Version 2.8.1.287 bzw. > 2.9.0.88)

Als weitere Möglichkeit der Verschlüsselung haben wir für Kunden mit einem SmartNotes Server außerhalb des eigenen Firmennetzwerks die Verschlüsselung per SSL implementiert.

Client und Server müssen sich hier mit einem gültigen Zertifikat authentifizieren und die Daten werden per SSL verschlüsselt.

Um die SSL Verschlüsselung zu aktivieren, müssen in der Server und Client Config die Schlüssel UseSslForEncryption, SslServerAuthenticationX509CertificateSubjectName und SslClientAuthenticationX509CertificateSubjectName hinterlegt und die entsprechenden Client / Server Zertififikate auf den jeweiligen Maschinen installiert werden.

Zur Umsetzung und bei Fragen wenden Sie sich gerne an unseren Support.





Panel
titleSQL Serververschlüsselung

Zwar ist die Verschlüsselung ein wertvolles Mittel, Sicherheit zu gewährleisten, sollte jedoch nicht für alle Daten oder Verbindungen verwendet werden. Bevor Sie sich dafür entscheiden, Verschlüsselung zu verwenden, prüfen Sie, wie Benutzer auf die Daten zugreifen. Wenn Benutzer über ein öffentliches Netzwerk auf Daten zugreifen, könnte die Datenverschlüsselung die Sicherheit erhöhen. Wenn sich aber der gesamte Zugriff innerhalb einer sicheren Intranetkonfiguration abspielt, ist eine Verschlüsselung möglicherweise nicht erforderlich. Jede Verwendung der Verschlüsselung sollte auch eine Wartungsstrategie für Kennwörter, Schlüssel und Zertifikate einschließen.



Panel
borderColor#666666
bgColor#ECECEC
borderWidth2


Section


Column
width33%

<< Zurück zu - Technische Details --


Column
width34%

Zurück zur Übersicht - SmartNotes --


Column
width33%

Weiter mit -- Lizenzinformationen >>




...