Technische Lösungen für COBOL

Deutsch

English

Redvers Encryption Module

Die Redvers Datenverschlüsselungsroutine „Redvers Encryption Module” bietet Ihren COBOL-Anwendungen Zugriff auf den Advanced Encryption Standard (AES) Algorithmus, um vertrauliche Daten unter Verwendung eines 128, 192 oder 256-Bit Schlüssels sicher verschlüsseln und entschlüsseln zu können.


Merkmale:

Die zu verschlüsselnden Daten können sich in einem einzelnen Feld, in mehreren Feldern oder in einem ganzen Satz befinden. Diese Verschlüsselung auf Feld-Ebene kann dafür verwendet werden, nur schützenswerte Daten zu bearbeiten, wodurch Anwendungsprogramme auf nicht so sensible Daten zugreifen können, ohne zuvor die gesamte Datei oder Datenbank zu ver- oder entschlüsseln.

Das „Redvers Encryption Module” wird von Kunden auf der ganzen Welt genutzt, und läuft auf iSeries/AS400, UNIX, HP, Linux, Fujitsu BS2000, Micro Focus und IBM Mainframe-Systemen. Es wird häufig in Anwendungen genutzt, die dem PCI-Sicherheitsstandard der Kreditkartenindustrie entsprechen.

Laden Sie hier ein White Paper als PDF herunter, das sich mit COBOL AES Verschlüsselung befasst.

Wie sicher ist die AES-Verschlüsselung?

Wir zitieren hier aus einer Beschreibung der US-amerikanischen Staatlichen Standard- und Technologiebehörde „National Institute of Standards and Technology” (NIST):

Aufgrund seiner verbesserten Sicherheit und Effizienz wird AES letztlich den früheren Datenverschlüsselungsstandard (DES) der NIST ablösen, der seit 1977 verwendet wird, und Triple DES, zertifiziert im Jahr 1999. Wenn man einen Rechner bauen könnte, der einen DES-Schlüssel in einer Sekunde entschlüsselt, dann würde dieser Rechner ungefähr 149 Billionen (1.000 Milliarden) Jahre benötigen, um einen 128-Bit AES-Schlüssel zu brechen; das ist länger, als unser Universum existiert. Im Jahr 1997 forderte das NIST die besten Kryptographen der Welt auf, Algorithmen für den neuen Verschlüsselungsstandard einzureichen und dabei zu helfen, die Vorschläge zu evaluieren. Aus dieser vierjährigen Arbeit entstand der neue AES.

Überblick über die Funktionsweise

Die Datenverschlüsselungsroutine „Redvers Encryption Module” besteht aus zwei performanten, einfach einzubindenden COBOL Unterprogrammen, wobei eines für die Verschlüsselung der Daten (RCENCRYP) und das andere für die Entschlüsselung (RCDECRYP) zuständig ist. Diese Unterprogramme können im Batch- oder Onlinemodus aufgerufen werden.

Zu verschlüsselnde Daten (Plaintext) werden an RCENCRYP als Zeichenstring, der im Hauptspeicherbereich der Anwendung gehalten wird, übergeben. RCENCRYP liefert dann den entsprechenden, verschlüsselten String zurück (codierter Text). Verschiedene Parameter, wie Länge des Strings, Geheimhaltungsgrad und Schlüssel werden in einem Kommunikationsblock mit festem Format übertragen.

Die Entschlüsselung geschieht, indem der codierte Text-String an RCDECRYP übergeben wird, zusammen mit dem Kommunikationsblock. RCDECRYP liefert dann den entsprechenden lesbaren Plaintext-String zurück.

Sichere Testdaten können ebenfalls mit dem „Redvers Encryption Module” RCENCRYP auf Grundlage des verschlüsselten Textes erzeugt werden. Alphanumerische Werte werden als Zeichenstrings im Base64-Format und numerische Werte als Ganzzahl zurückgegeben.

Die untenstehende Zeichnung verdeutlicht, wie Ver- und Entschlüsselungsprogramme dazu verwendet werden können, vertrauliche Daten aus einer sicheren Umgebung in eine andere zu transferieren.

Encryption Flowchart

Das „Redvers Encryption Module” nutzt die Standard-AES-Verschlüsselungsroutine, was bedeutet, daß es verschlüsselten Text erzeugen kann, der dann von anderen AES-konformen Routinen entschlüsselt werden kann, und daß es seinerseits Text entschlüsseln kann, der von anderen AES-konformen Routinen erstellt wurde.

Technische Informationen

Die Datenverschlüsselungsroutine „Redvers Encryption Module” (2.1) nutzt den „Advanced Encryption Standard” (AES) Algorithmus, der von den beiden belgischen Kryptographieexperten Vincent Rijmen und Joan Daemen entwickelt wurde. Er ist auch als „Rijndael Algorithmus” bekannt, was sich aus ihren beiden Nachnamen ergibt. Der symmetrische Block-Code nach AES wurde im Jahr 2001 vom National Institute of Standards and Technology (NIST) in der US-amerikanischen FIPS Publication 197 vorgestellt.

Der AES-Algorithmus wird in Verbindung mit einem von fünf möglichen Vertraulichkeitsmodi genutzt, wie sie von NIST veröffentlicht wurden in der „Special Publication 800-38A”. Diese Modi sind im einzelnen: Electronic Code Book (ECB), Cipher Block Chaining (CBC), Cipher Feed Back (CFB), Output Feed Back (OFB) und Counter (CTR). Die Datenverschlüsselungsroutine „Redvers Encryption Module” unterstützt all diese Vertraulichkeitsmodi.

Verschlüsselung mit erhaltenem Format (auch als Festformatverschlüsselung bezeichnet) wird erreicht, indem einer von fünf zusätzlichen Vertraulichkeitsmodi verwendet wird, was dazu führt, daß jegliche Auswahl numerischer, kleingeschriebener, großgeschriebener, gemischter Zeichensatz oder alphanumerischer verschlüsselter Texte erzeugt werden kann. In all diesen Fällen hat der erzeugte, verschlüsselte Text die selbe Länge wie der zu verschlüsselnde Text, der als Eingabe dient, was die Tokenisierung vertraulicher Daten vereinfacht. Dabei wird der FF2-Algorithmus verwendet, wie er in der NIST Special Publication 800-38G definiert wurde.

Das „Redvers Encryption Module” hält sich vollständig an die Spezifizierungen, die in FIPS PUB 197, Special Publication 800-38A und Special Publication 800-38G festgelegt wurden, und wurde vom Cryptographic Algorithm Validation Program (CAVP) bei NIST validiert - Validierungsnummer 1141.

Die Bestandteile des „Redvers Encryption Module” enthalten keinerlei Information, die dazu verwendet werden könnte, Verschlüsselungscodes oder gar den unverschlüsselten Text zu erlangen. Diese Programme enthalten lediglich Computeranweisungen, die der Umsetzung des allgemein veröffentlichten AES Verschlüsselungsprozesses dienen. Daher können sie in Produktions- und Entwicklungsumgebungen Verwendung finden.

Die Ver- und Entschlüsselung von Daten geschieht unter Verwendung eines 128, 192 oder 256 Bit-Schlüssels (16, 24 oder 32 Zeichen).

Der Hauptspeicher, der von unserer Routine für die vorübergehende Speicherung des unverschlüsselten Textes und des Verschlüsselungscodes verwendet wird, wird mit einem Aufruf von „clean storage” gesäubert, nachdem alle Daten ver- oder entschlüsselt wurden.

Aufgrund des Tatsache, daß COBOL-Daten mit einem Binärfeld enden können, verwendet das „Redvers Encryption Module” die Füllmethode gemäß den Public-Key Cryptography Standards (PKCS#7) (nur in den Vertraulichkeitsmodi ECB, CBC und CFB).

Um die Erzeugung von Testdaten und/oder codiertem Text, der einfach verändert und übertragen werden kann, zu erleichtern, kann codierter Text im base64-Format (definiert in IETF RFC 4648) oder als einfache Ganzzahlen erzeugt werden (es kann dabei zu einigen Verkürzungen kommen).

Die Verschlüsselung geschieht mit einer Geschwindigkeit von 125.000 Bytes pro Sekunde, gemessen im ECB Modus mit einem 256 Bit Schlüssel. Entschlüsselung erfolgt mit 60.000 Bytes pro Sekunde im ECB Modus mit einem 256 Bit Schlüssel. Schnellere Entschlüsselung kann erreicht werden, wenn der CFB, OFB oder CTR-Modus verwendet wird, da in diesen Modi forward cipher für die Entschlüsselung zum Einsatz kommt. Diese Benchmarks wurden gemessen auf einem IBM zSeries Mainframe unter z/OS 1.10.

Laden Sie hier eine kostenlose 30-Tage Demoversion herunter...

PDF-Version:

Wir sind seit 25 Jahren mit COBOL-Lösungen für Sie da (1988 - 2013)

"I have been very pleased with the approach we took and the simplicity of the design to utilize the Redvers Encryption Device."

ADD Systems (USA)



"The encryption device is working beautifully and there are no issues at all."

Teleflora (USA)



"we have now received the seal of approval on the PCI certification."

Datamann (USA)



"There were no problems downloading the files. We've compiled the programs and are encrypting and decrypting data for our tests."

High Touch (USA)



"Everything looks good. I'll relay to management that your product meets our needs."

HCC (USA)



"Nice product. 1000's of encryptions and decryptions to date. No issues."

DGA Fullfilment Services (Canada)