FAQ – Häufig gestellte Fragen
Wie funktioniert die Backup-Verschlüsselung bei BAREOS?
BAREOS unterstützt eine Datenverschlüsselung und Signierung mit dem BAREOS File-Daemon auf der Seite des Klienten. Die Verschlüsselung kommt vor dem Senden der Daten an den BAREOS-Server zum Einsatz, wodurch sichergestellt wird, dass der BAREOS-Server nie Zugriff auf unverschlüsselte Informationen hat.
Was die Verschlüsselung nicht leistet:
BAREOS verschlüsselt keine Metadaten wie Datei- und Pfadnamen, Eigentümer und erweiterte Attribute.
Technische Funktionweise der Verschlüsselung:
Die Verschlüsselung und Signierung basiert auf OpenSSL und ist in BAREOS mit Hilfe von privaten RSA-Schlüsseln und selbst signierten öffentlichen x509-Zertifikaten realisiert. Die Kombination dieser beiden Informationen in Form eines Schlüsselpaares nutzt jeder File-Daemon vor dem eigentlichen Datentransfer zur Ver- und Entschlüsselung. Es ist aus diesem Grund besonders wichtig, das Schlüsselpaar sicher an einem zweiten Ort zu verwahren!
Für was benötige ich den URZ-Master Public-Key bei der Verschlüsselung?
Soll eine Verschlüsselung der Datensicherung zur Anwendung kommen, muss immer ein eigenes Schlüsselpaar (siehe Einrichtungshinweise) erzeugt werden. Wird zusätzlich der „urz-master.pub.key“ auf dem BAREOS-Klienten bereitgestellt und in die Konfiguration eingebunden, besteht die Möglichkeit, dass das URZ beim Verlust des eigenen Schlüsselpaars zur Entschlüsselung der Daten im Ausnahmefall bzw. Notfall behilflich sein kann. Dabei muss unbedingt beachtet werden, dass bei einem sehr hohen Schutzbadarf in dem Fall auch Dritte (das URZ) Zugriff auf die Daten haben. Ist dies nicht gewünscht, muss auf diese Zusatzabsicherung für den Schlüsselverlust verzichtet werden!