Mit der Umsetzung des Prinzips „Privacy-by-default“ in TSM/SP, hat IBM in den Versionen ab 7.1.8 bzw. 8.1.2 die Nutzung von SSL/TLS zwingend eingeführt:
Letztendlich werden damit die Vorteile aus Transport- und Client-Verschlüsselung kombiniert und wir bleiben daher bei der bisherigen Empfehlung, die Datenverschlüsselung anstelle der SSL/TLS-Transportverschlüsselung für die Massendaten zu nutzen und sehen folgenden Vorteile
Allerdings gibt es auch ein paar Nachteile:
Umgekehrt verhielte es sich bei der ausschließlichen Nutzung von SSL/TLS als Transportverschlüsselung.
Vorteile:
Nachteile:
Leider gab es mit den TSM-Servern bis Version 8.1.4 Probleme mit dem Einspielen der Zertiftkate. Daher gibt es seit Version 8.1.5 TOFU, also Trust_On_First_Use, d.h. SP-Clients in den Versionen 8.1.5 und neuer akzeptieren bei der ersten Verbindung die Serverzertifikate und installieren sie selbstständig – ohne Eingriff des Nutzers.
Die ganze Wahrheit ist aber, dass es zum einen trotzdem nicht immer funktioniert und es zum zweiten auch Konstellationen mit mehreren Knoten/Clients auf einem Rechner gibt oder diese sich mit mehreren TSM-Servern verbinden. TOFU greift dann leider nur bei der ersten Client-Server-Beziehung.
Wir haben daher die Zertifikate aller GWDG-TSM-Server in unserem GitLab veröffentlicht. Außerdem liegen dort Anleitungen zum Prüfen der bereits installierten Zertifikate und zum manuellen Installieren und Löschen von TSM-Zertifikaten.
Wie zuvor geschrieben, sollten Clients ab Version 8.1.5 die für die Verschlüsselung notwendigen Zertifikate selbstständig einrichten. Sollte dies nicht der Fall sein, müssen Sie manuell installiert werden. Die Anleitungen für Linux und Windows befinden sich im GWDG-GitLab bei den Zertifikaten: https://gitlab-ce.gwdg.de/tsmadm/cert256
Die Verschlüsselung im Client wird über entsprechende Einträge in der dsm.sys
(Linux, MacOS, sonstige Unices und BSDen) bzw. dsm.opt
(Windows) eingerichtet:
ENCRYPTIONType <AES128|AES256>
Voreingestellt ist AES128
, wir empfehlen aber die sicherere AES256
-Verschlüsselung zu wählen.ENCRYPTKey <save|prompt|generate>
Voreingestellt ist save
, d.h. der Schlüssel wird auf dem Client gespeichert. Von prompt
raten wir ausdrücklich ab, da jedes Mal nach dem Passwort gefragt wird – auch beim automatischen Backup. generate
speichert den Schlüssel im TSM-Server und hebelt so das Ziel, die Daten der GWDG nur verschlüsselt zu überlassen aus.INCLUDE.ENCRYPT <Muster>
TSM verschlüsselt auch beim Setzen der zuvor genannten Optionen keine Daten, diese müssen explizit ausgewählt werden, dabei bitte Bedenken, dass jede Partition / jedes Fileshare separat behandelt wird, auch wenn mit VIRTUALMOUNTPOINTS
gearbeitet wird:
Beispiel für Linux in der dsm.sys
* irgendwelche sonstige Optionen VIRTUALMOUNTPOINT /etc INCLUDE.ENCRYPT /* INCLUDE.ENCRYPT /etc/* INCLUDE.ENCRYPT /home/* * irgendwelche weiteren Optionen
Beispiel für Windows in der dsm.opt
* irgendwelche sonstige Optionen INCLUDE.ENCRYPT C:\* INCLUDE.ENCRYPT D:\* INCLUDE.ENCRYPT \\192.168.0.1\irgend-ein-netzlaufwerk-das-gesichert-wird\* * irgendwelche weiteren Optionen