Microsoft Double Key Encryption (kurz DKE) für M365 Office Anwendungen hilft Unternehmen, ihre hochsensiblen Dokumente zu schützen. HarpoCrypt ist ein Softwareprodukt der BDO Cyber Security, mit dem Unternehmen das verwendete Schlüsselmaterial verwalten und sicher Hardware basierte Schlüsselverwaltung (HSM) unabhängig innerhalb des Produkts Vault vom Softwarehersteller Hashicorp aufbewahren können. Zusätzlich bietet HarpoCrypt das Service-Modul für die Integration von DKE an.
Basierend auf der von BDO Cyber Security entworfenen Architektur kontrolliert das Unternehmen nicht nur die Schlüssel, sondern auch den Dienst, der die Schlüssel verwaltet.
Durch die Implementierung der Microsoft Open Source Quelldatei für den DKE-Dienst, die Bereitstellung von einheitlichen APIs, der Verwendung von REST und einer Webbenutzeroberfläche wurde HarpoCrypt in C# auf Basis der Plattform ASP.NET Core entwickelt.
Komponenten
HarpoCrypt verfügt über unterschiedliche Controller, die einen leichten Wechsel zu einer Microservice Architektur ermöglichen, welche die Anfragen verarbeiten und dem User die notwendigen API-Endpunkte zur Verfügung stellt. Das bietet den Vorteil, dass je nach Anforderung, die Methode eines Abfrageprozessors nur die erforderlichen Daten zur Verfügung gestellt werden. Mit der DKE-Komponente werden dem Benutzer die öffentlichen Informationen über den Doppelverschlüsselungsschlüssel zur Verfügung gestellt. Um bei einer möglichen Korruption des Schlüssels schnell zu reagieren, kann mit dem Modul ein neuer Schlüssel einfach, sicher und schnell dem Dienst zur Verfügung gestellt werden.
Authentifizierung
Die Authentifizierung bei HarpoCrypt erfolgt mithilfe der Microsoft Identity Platform und Azure Active Directory oder via OAuth 2.0. Da dies weitverbreitete Methoden in der Microsoft Welt sind, knüpfen wir an bereits vorhandene Prozesse beim Kunden an. Somit können konfigurierte Rollen und Gruppen mit wenig Aufwand, integriert und um die speziell definierte Security Administrator Gruppe erweitert werden, um den Zugriff auf die sensiblen Daten zu verwalten.
Key Storage
Mit Vault bietet Hashicorp eine Open Soruce als auch Enterprise Version an, zur sicheren Aufbewahrung und Verwaltung von Geheimnissen an. Alle Daten werden im Key-Value-Format verschlüsselt und im konfigurierten Storage-Backend gesichert. Durch die weitverbreitete Nutzung im Cloud Native Security Bereich wird Vault bei vielen Unternehmen als HSM Ersatz und Secrets Management genutzt.
Key Lifecycle Management
Die Schlüsselverwaltung übernimmt alle Vorgänge, die für die Erstellung, den Schutz und die Kontrolle von kryptografischen Schlüsseln erforderlich sind. Zusätzlich verwaltet und erstellt HarpoCrypt das zweite Schlüsselpaar für die DKE Verschlüsselung.
HarpoCrypt selbst bietet ein Webinterface zur leichten Verwaltung und Administration der Anwendung durch Mitarbeiter des Kunden, zur Automatisierung ist es möglich HarpoCrypt via CLI oder REST zu nutzen.