Für Dateiverschlüsselung stehen folgende DVS-Kommandos und Makros zur Verfügung:
Kommando | Bedeutung |
|---|---|
ADD-CRYPTO-PASSWORD | hinterlegt das Crypto-Kennwort zur Entschlüsselung von verschlüsselten Dateien in der Crypto-Kennworttabelle der Task |
DECRYPT-FILE | wandelt verschlüsselte Datei in unverschlüsselte Datei um |
ENCRYPT-FILE | wandelt unverschlüsselte Datei in verschlüsselte Datei um |
REMOVE-CRYPTO-PASSWORD | entfernt das Crypto-Kennwort aus der Crypto-Kennworttabelle der laufenden Task |
Makro | Bedeutung |
DECFILE | wandelt verschlüsselte Datei in unverschlüsselte Datei um |
ENCFILE | wandelt unverschlüsselte Datei in verschlüsselte Datei um |
Verschlüsselung
Mit dem Makro ENCFILE oder dem Kommando ENCRYPT-FILE wird eine unverschlüsselte Datei in eine verschlüsselte Datei umgewandelt. Wird eine bereits verschlüsselte Referenzdatei an Stelle des Crypto-Kennworts angegeben, dann erhält die Datei die gleichen Verschlüsselungsattribute wie die Referenzdatei, insbesondere das gleiche Crypto-Kennwort. Für die Verschlüsselung muss die Datei nur katalogisiert sein.
Bei der Umwandlung einer unverschlüsselten in eine verschlüsselte Datei werden Lese- und/oder Ausführungskennwort (READ-/EXEC-PASSWORD) gelöscht.
Das im Systemparameter festgelegt Verschlüsselungsverfahren (AES oder DES) wird bei der Umwandlung in eine verschlüsselte Datei verwendet und dann an die Datei gebunden.
Die Verschlüsselung ist für eigene Dateien oder für Dateien in Miteigentümerschaft möglich (wie die Berechtigung zum Anlegen einer Datei) und kann nur lokal und nicht über RFA erfolgen.
Achtung!
Ist das Crypto-Kennwort nicht mehr bekannt, ist keine Entschlüsselung des Dateiinhalts möglich! Deshalb sollte das Crypto-Kennwort an einem sicheren Ort hinterlegt werden (siehe auch „Administration der Verschlüsselung" (Einsatz-Szenarien)).
Zugriff auf verschlüsselte Dateien
Das Kommando ADD-CRYPTO-PASSWORD hinterlegt das Crypto-Kennwort in der Crypto-Kennworttabelle der Task. Nur mit dem korrekten Crypto-Kennwort ist das Öffnen einer Datei zum Zugriff auf den unverschlüsselten Inhalt erlaubt.
Beim einfachen Verlagern einer verschlüsselten Datei ist kein Crypto-Kennwort notwendig.
Die Crypto-Kennwörter werden nur in festverschlüsselter Form in der Crypto-Kennworttabelle hinterlegt, und zwar unabhängig vom Systemparameter zum Verschlüsseln von Dateikennwörtern.
Enthält eine Prozedur ein Crypto-Kennwort (z.B. in einem Kommando ADD-CRYPTO-PASSWORD) und soll deswegen für Dritte – insbesondere für den Ausführenden – unleserlich gemacht werden, wird der Einsatz von SDF-P-Compilierung mit automatischer Festverschlüsselung empfohlen (siehe „Verarbeiten von verschlüsselten Dateien in Prozeduren" (Einsatz-Szenarien)).
Zum Einsatz von SDF-P siehe Handbuch „SDF-P“ [17].
Mit dem Kommando REMOVE-CRYPTO-PASSWORD wird ein Crypto-Kennwort aus der Crypto-Kennworttabelle der laufenden Task entfernt. Das Entschlüsseln von Dateien, die mit diesem Crypto-Kennwort verschlüsselt sind, ist dann nicht möglich.
Die Kommandos ADD-/REMOVE-CRYPTO-PASSWORD werden automatisch an alle RFA-Partnerprozesse weitergeleitet.
Entschlüsselung
Mit dem Makro DECFILE oder dem Kommando DECRYPT-FILE wird eine verschlüsselte Datei wieder zu einer unverschlüsselten Datei. Vor dem Aufruf muss das Crypto-Kennwort vorgegeben werden.
Die Entschlüsselung ist für eigene Dateien oder für Dateien in Miteigentümerschaft möglich (wie die Berechtigung zum Anlegen einer Datei) und kann nur lokal und nicht über RFA erfolgen.
Weitere Abhängigkeiten
CONCATENATE-DISK-FILES
Für die Verkettung verschlüsselter SAM-Dateien ist die Vorgabe der Crypto-Kennwörter notwendig (mit ADD-CRYPTO-PASSWORD).
COPY-FILE
Die Verschlüsselungsmerkmale werden – soweit möglich – von der Ausgangsdatei in die Zieldatei übernommen. Der Inhalt der Datei wird eins-zu-eins kopiert. Die Vorgabe des Crypto-Kennworts ist nicht notwendig.
Wenn die Verschlüsselungsmerkmale nicht übernommen werden können, ist die Vorgabe des Crypto-Kennworts notwendig (ADD-CRYPTO-PASSWORD). Das ist z.B. dann der Fall, wenn die Zieldatei nicht verschlüsselt werden kann oder wenn das Ziel eine Dateigeneration mit den einheitlichen Dateischutzattributen der Dateigenerationsgruppe ist.
DELETE-FILE
Es wird eine Dateiselektion abhängig von der Dateiverschlüsselung angeboten, also nach den Werten vom Dateimerkmal ENCRYPTION.
MODIFY-FILE-ATTRIBUTES
Falls eine verschlüsselte Datei einen Katalogeintrag, jedoch noch keinen Speicherplatz hat, darf ihr kein Speicherplatz auf Privatplatte und kein Bandtyp zugewiesen werden. Verschlüsselungsmerkmale können nicht geändert werden. Änderungen des Lese- und Ausführungskennworts werden bei verschlüsselten Dateien ignoriert.
REPAIR-DISK-FILES
Um verschlüsselte ISAM-Dateien reparieren zu können, ist die Vorgabe des zugehörigen Crypto-Kennworts notwendig (ADD-CRYPTO-PASSWORD). Die Dateikopie erhält – soweit möglich – die gleichen Verschlüsselungsmerkmale.
SHOW-FILE
Der Inhalt einer verschlüsselten Datei wird entschlüsselt angezeigt. Hierbei ist die Vorgabe des Crypto-Kennworts notwendig (ADD-CRYPTO-PASSWORD).
SHOW-FILE-ATTRIBUTES
Das Dateimerkmal ENCRYPTION im Abschnitt SECURITY zeigt an, ob und mit welchem Verfahren (AES oder DES) eine Datei verschlüsselt ist. Eine Dateiselektion wird entsprechend dieser Werte angeboten.