Verschluesselung at Rest schuetzt Daten gegen physischen Zugriff auf Festplatten oder Datenbanken. Compliance-Anforderung und gesunder Menschenverstand.

Verschluesselungsebenen¶

• Full Disk Encryption: LUKS, BitLocker, FileVault
• File/Volume: dm-crypt, VeraCrypt
• Database: TDE (Transparent Data Encryption)
• Application-Level: Verschluesselung im Code vor dem Speichern
• Cloud: AWS KMS, Azure Key Vault, GCP KMS

LUKS – Linux¶

Festplattenverschluesselung¶

cryptsetup luksFormat /dev/sdb cryptsetup luksOpen /dev/sdb encrypted_disk mkfs.ext4 /dev/mapper/encrypted_disk

Application-Level¶

from cryptography.fernet import Fernet key = Fernet.generate_key() # In KMS speichern! f = Fernet(key) encrypted = f.encrypt(b”sensible Daten”) decrypted = f.decrypt(encrypted)

Wichtigste Erkenntnis¶

Daten auf allen Ebenen verschluesseln – Festplatte, Datenbank, Anwendung. Schluessel im KMS, niemals neben den Daten.