Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly
Loading...

{{viewport.spaceProperty.prod}}

Verschlüsselung bei der Datenübertragung

&pagelevel(4)&pagelevel

openFT bietet für openFT-Partner die Möglichkeit, die Protokolldaten, die der File Transfer zum Verbindungsaufbau und zur Auftragsbearbeitung verschickt und empfängt, zu verschlüsseln. Die beteiligten Partner handeln die Verschlüsselung, den Verschlüsselungsalgorithmus und den verwendeten Schlüssel beim Verbindungsaufbau aus.

openFT verwendet für die Verschlüsselung nach Möglichkeit das Verfahren RSA/AES mit einer AES-Schlüssellänge von 256 Bit. Bei der Kopplung zu älteren Partnern kann auch RSA/AES mit AES-Schlüssellänge von 128 Bit bzw. RSA/DES zum Einsatz kommen. Es wird jeweils das sicherste, von beiden Partner unterstützte Verfahren verwendet. Um sie Sicherheit zu erhöhen, können Sie zusätzlich per Betriebsparameter eine RSA-Mindestschlüssellänge und/oder eine AES-Mindestschlüssellänge einstellen (Kommando MODIFY-FT-OPTIONS, Operand KEY-LENGTH=).

openFT verschlüsselt automatisch die Auftragsbeschreibungsdaten, sofern beide Partner diese Funktionalität unterstützen, im lokalen System ein RSA-Schlüsselpaarsatz existiert und die Verschlüsselung nicht explizit abgeschaltet wurde (Kommando MODIFY-FT-OPTIONS ...,KEY-LENGTH=(RSA-MINIMUM=0)). Mit dem Kommando SHOW-FT-OPTIONS können Sie überprüfen, welche Schlüssellänge aktuell verwendet wird (Ausgabeparameter KEY-LEN). Sie können die gewünschte Schlüssellänge des RSA-Schlüssels per Betriebsparameter einstellen (Kommando MODIFY-FT-OPTIONS, Operand KEY-LENGTH). Der Standardwert nach Installation ist 2048.

Mit dem Kommando CREATE-FT-KEY-SET muss der FT-Verwalter zumindest einen Schlüsselpaarsatz erzeugen, auf dessen Basis diese Verschlüsselung durchgeführt wird. Alternativ kann er auch ein Schlüsselpaar der konfigurierten Schlüssellänge mit IMPORT-FT-KEY importieren.

Wenn zusätzlich zu den Auftragsbeschreibungsdaten auch Dateiinhalte bei der Übertragung von openFT verschlüsselt werden sollen, dann muss auf beiden beteiligten File Transfer Systemen die optionale Komponente openFT-CR installiert sein.

Ist eines der beiden Systeme nicht zur verschlüsselten Dateiübertragung bereit, wird der Auftrag mit FTR2051 (Verschlüsselung der Benutzerdaten für diesen Auftrag nicht möglich) oder mit FTR2113 (keine Verschlüsselung im fernen System möglich) abgelehnt.

openFT-CR ist aus rechtlichen Gründen nicht in allen Staaten verfügbar.

Wenn im BS2000 zusätzlich zu openFT-CR das Subsystem CRYPT installiert und gestartet ist, verschlüsselt openFT den Dateiinhalt nicht selbst, sondern lässt die Verschlüsselung von CRYPT durchführen.

Verschlüsselung erzwingen

Die Verschlüsselung der Dateiinhalte ist optional und wird normalerweise beim Übertragungsauftrag angefordert. Sie können aber auch per Betriebsparametereinstellung eine Verschlüsselung erzwingen (Pflicht-Verschlüsselung). Dazu verwenden Sie im Kommando MODIFY-FT-OPTIONS den Operanden ENCRYPTION-MANDATORY.

Die Pflicht-Verschlüsselung kann differenziert eingestellt werden (nur Inbound, nur Outbound oder alle Aufträge). Die Einstellungen gelten für Dateiübertragungsaufträge über das openFT-Protokoll und für Administrationsaufträge. Inbound FTP-Aufträge und FTAM-Aufträge werden abgelehnt, da keine Verschlüsselung unterstützt wird. Dateimanagement wird unabhängig von den Einstellungen weiterhin unverschlüsselt durchgeführt. Zusätzlich gilt:

  • Ist die Outbound-Verschlüsselung aktiviert, dann wird bei einem Outbound-Auftrag der Dateiinhalt verschlüsselt, auch wenn im Auftrag selber keine Verschlüsselung angefordert wurde. Wenn der Partner keine Verschlüsselung unterstützt (z.B. weil sie ausgeschaltet ist oder openFT-CR nicht installiert ist), dann wird der Auftrag abgelehnt.

  • Ist die Inbound-Verschlüsselung aktiviert und soll ein unverschlüsselter Inbound-Auftrag bearbeitet werden, dann wird dieser Auftrag abgelehnt.