Volltextindex und Sicherheit

[Casopeia]

Hallo,

ich stehe gerade vor dem Problem, dass der User einen Volltextindex auf einer Datenbank mit sehr sensitiven Daten erstellen möchte, am liebsten auf dem Server.

Wenn ich nun in der Administrator Hilfe nachlese, steht da folgendes:
 

Ein Volltextindex stellt unverschlüsselten einfachen Text dar; daher kann jeder Benutzer mit Zugriff auf den Server die Datei lesen. Ein Benutzer kann möglicherweise Text lesen, der zuvor verschlüsselt war.

Wenn ich die Datei auf dem Filesystem öffne, kann ich allerdings nicht lesen. Wie ist es möglich, die vom Volltextindex erstellten Dateien zu lesen?

Gruss Gabi

[WernerMo]

Hallo,

1. glaube ich nicht, dass die User Zugriff aufs Filesystem des Domino haben.
2. wenn ich mir die Dateien ansehe, kann ich dort nichts brauchbares finden.

Allerdings würde mich die Originalstelle der Hilfe in English interessieren, die bei dier mit "..kann jeder Nutzer mit Zugriff auf den Server die Datei lesen".
Wo genau hast Du das in der Hilfe gefunden?

Gruß Werner
Ich bin zwar kein Sicherheitsspezialist, aber ich sehe keine großen Gefahren.

[koehlerbv]

Die Aussage ist sehr theoretisch, jedoch aus sicherheitstechnischer Sicht doch sehr relevant: Der FTI wird natürlich in einer Form dargestellt, die zunächst aussieht wie "Uhlen un Orpen". Wer aber die Technik, die für diese B-Trees verwendet wird, kennt und eine Software schreibt, welche ... und so weiter ... der findet dann schon Begriffe wieder, die in der DB zu finden sind. Nochmals schwieriger wird es, zu analysieren, welche gefundenen Begriffe zusammen gehören (wie zum Beispiel "Hans Mustermann" und "8.750,00 EUR").
A-Bär: Auch wenn der Inhalt der FTI-Files chaotisch aussieht - er liegt aus Notes-Sicht unverschlüsselt vor.

Folgende Frage steht aber auch: Wer kann sich denn Zugriff zum Filesystem des Domino verschaffen? Gib einem guten Analysten Zugriff auf alle unverschlüsselten Daten - was meinst Du, was der da an brauchbaren Informationen über Eure Organisation noch heraus holt!!

Bernhard

[Casopeia]

Danke für eure schnellen Antworten.

Im Moment diskutieren wir darüber ob es sicherer ist, die Dateien zu verschlüsseln und der Server.id den Schlüssel zu geben, damit der Server den Volltext index erstellen kann, was jedoch bedeutet, dass auch die Administr

Die Daten in der Datenbank sollen auf jeden Fall verschlüsselt werden. Im Moment diskutieren wir über 2 Zenarios:
1) server.id bekommt den Schlüssel und kann den Volltextindex auf dem Server erstellen. Das bedeutet jedoch auch, dass jeder Administrator an die Daten kommt und unsere Security Manager misstraut jedem Administrator
oder ob es
2) sicherer ist, dass jeder User eine lokale Replika erstellt und dort den Volltextindex erstellt und somit die Dateien Klartext auf dem Rechner liegen.

Der Text in der englischen Hilfe lautet übrigens:

A full-text index file is unencrypted plain text; therefore, anyone with access to the server can read the file. A user may be able to read text that was previously encrypted.

[MartinG]

Unglaublich   -    was ist denn das für eine Firma die den Administratoren so misstraut

[koehlerbv]

Gabi, irgendwie sehe ich nicht mehr durch: Der FTI ist plain text. Da ist nix mit Schlüssel - nur für das Entschlüsseln verschlüsselter Felder.

Der lokale FTI kann natürlich tatsächlich eine Alternative sein, wenn man für das Verschlüsseln von Bereichen der HD selbst wiederum ein Verschlüsselungsprogramm verwendet.
Die damit verbundenen Nachteile sind natürlich wiederum eine Betrachtung wert.

Bernhard

[MartinG]

Jeder Admin hat doch lokalen Zugriff auf jeden Festplatte - sollte er IMHO zumindest haben um sinnvoll arbeiten zu können?

Ich denke dieses Problem ist quasi unlösbar, ausser man schaltet FT komplett ab...

Klar kann man auch lokale Festplatten verschlüsseln - aber ohne Hintertür für den Admin ist das administrativ superheikel.....

[WildVirus]

Guten Abend allerseits,

das ist ein gerne diskuttiertes Thema "Wie sehr vertraue / mißtraue ich meinen Admins". Die gleiche Frage stellt sich auch bei den Pförtnern, die haben i.d.R. den Hauptschlüssel 

Solange es bei einem gesunden Mißvertrauen bleibt, ist es in Ordnung. Nicht jeder Admin muss alles können. Aber es wird immer einen geben, der fast alles kann.

Wir diskutieren solche Themen auch gerne - dann aber i.d.R. unter dem Gesichtspunkt: Wie weit muss jeder Admin berechtigt werden. Was braucht noch und was nicht mehr. Wo lässt sich gesundes Mißtrauen durch effektive Kontrollen unterstützen.

Z.B. nutzen wir meistens zwei Benutzerkennungen, eine für die normale Tätigkeit und -sofern jemand das überhaupt macht- eine für sensible/kritische Aufgaben. Und wenn dann noch eine Trennung zwischen Betriebssystem- und Notesteam besteht, dann besteht für letztere i.d.R. keine zwingende Notwendigkeit, ständig auf Dateiebene zuzugreifen. Es lässt sich wirklich fast alles ohne diese Berechtigung realisieren.


Jetzt aber zum Thema "Wie sicher ist der Volltextindex ? Hier hat die IBM http://publib.boulder.ibm.com/infocenter/domhelp/v8r0/index.jsp?topic=/com.ibm.help.domino.admin.doc/DOC/H_HOW_INDEXING_ENCRYPTED_FIELDS_AFFECTS_SECURITY_OVER.html auch was gemeldet:

   Security and full-text indexes for single databases
   
   When you create a full-text index for a single database, selecting the option "Index encrypted fields" can compromise 
   system security in the following ways:

    * Search results might display a list of all documents that contain a specific word or phrase, even in encrypted fields. 
      The user won't be able to read the field but will know that the document contains the word or phrase. For example, the 
      Employee form in the Personnel database contains the encrypted field Salary. Any user can search the full-text index 
      for "50,000," and documents that contain that figure are included in the search results. However, the user cannot read
      the contents of the field without the encryption key.
    * A full-text index file is unencrypted plain text; therefore, anyone with access to the server can read the file. A user 
      may be able to read text that was previously encrypted.
    * The encryption key, which is part of the server ID, is active for all databases on the server. If you index a different 
      database and do not deselect "Index encrypted fields," any fields using that encryption key are compromised.

Mit "access to the server" ist m.E. hier von IBM der direkte Festplattenzugriff gemeint, nicht der Zugriff via Notes-Client. Und den direkten Zugriff haben nur Admins.

Mein Fazit:

• gesundes Mißtrauen ist angebracht, aber auch Vertrauen bei sensibler Tätigkeit (sonst ist einer Fehl am Platz
• Festplattenzugriff nur für den, der sie wirklich benötigt
• Volltextindes ja, aber nur mit Verschlüsselung

Hope it helps,
CU und nice WE
Axel