Amazon rüstet Verschlüsselung für Cloud-Speicher nach

Kunden von Amazons Cloud-Speicher S3 können in Zukunft ihre Daten auf dem Server transparent ver- und entschlüsseln. Zusätzliche Kosten fallen dafür nicht an. Die Verschlüsselung wird durch eine eigene HTTP-Header-Zeile eingeschaltet, die bei den zum Speichern verwendeten PUT- und POST-Requests angegeben sein muss.

Der PUT-Prozess, wenn eine Datei serverseitig in Amazons S3 abgelegt werden soll. Amazon kümmert sich auch um das Schlüsselmanagement.
Bild: Amazon Web Services Blog Beim Lesen per GET entschlüsselt S3 die Daten automatisch. Dazu verwendet es den beim Speichern vom Dienst erzeugten Schlüssel, den ein Master-Key schützt. Als Krypto-Algorithmus kommt AES-256 zum Einsatz. Alle beteiligten Schlüssel bleiben auf den Amazon-Servern. Die Verschlüsselung greift nur auf den S3-Servern selbst, während der Übertragung von und nach dort sind die Daten dadurch nicht geschützt.

Ganz unumstritten ist Amazons Methode der serverseitigen Verschlüsselung nicht. Zwar verwendet Amazon für jedes zu verschlüsselnde Objekt einen eigenen Schlüssel, der im Anschluss über einen Masterkey ebenfalls verschlüsselt wird – jedoch werden diese Schlüssel gänzlich von Amazon verwaltet. Wenn das Schlüsselmanagement ausfällt oder kompromittiert wird (oder vielleicht vom Blitz getroffen), dann ist ein Zugriff auf die verschlüsselten Daten nicht mehr möglich. Zumindest schützt das System davor, dass Einbrecher in Amazons Serverfarm Zugriff auf die Daten bekommen könnten. Jeff Bar, Web Services Evangelist für Amazon, weist darauf hin, dass die verwendeten Schlüssel keinesfalls "einfach so herumliegen" würden. (rl) / (ck)