Sichere Freigabe von vertraulichen Daten

Zoho Vault ermöglicht Ihnen die sichere Freigabe von vertraulichen Daten an vertrauenswürdige Mitarbeiter Ihres Unternehmens. Der Freigabeprozess wurde so entwickelt, dass die höchsten Standards der Informationssicherheit und des Datenschutzes eingehalten werden.

Der Freigabeprozess nutzt sowohl die Host-Proof-Hosting- als auch die RSA-Verschlüsselung. Öffentliche und private RSA-Schlüssel werden für jeden Benutzer im Unternehmen generiert. Der Unternehmensadministrator und die Benutzer "schütteln sich die Hände", um diesen Freigabeprozess zu initiieren. Während dieses Handshake, der einen einmaligen Vorgang darstellt, werden die Schlüssel zwischen Administrator und Benutzern freigegeben. Alle Schlüsselerzeugungs- und Freigabeprozesse finden im Hintergrund statt, ohne dass manuelles Eingreifen erforderlich ist. Wenn Sie sich dafür interessieren, wie der Freigabeprozess abläuft, lesen Sie hier weiter:

Schritt 1:

Wenn sich ein Administrator bei Zoho Vault anmeldet, wird ein öffentlich-privates RSA-Schlüsselpaar für ihn erstellt. Zusätzlich dazu wird ein neuer Schlüssel mit dem Namen "Unternehmensschlüssel" erstellt. Beim "Unternehmensschlüssel" handelt es sich um einen AES-256-Bit-Schlüssel, der für jedes Unternehmen einzigartig ist. Der private Schlüssel des Unternehmensadministrators wird mit der Passphrase des Unternehmensadministrators verschlüsselt und in der Zoho Vault-Datenbank gespeichert. Der "Unternehmensschlüssel" wird mit dem öffentlichen RSA-Schlüssel ebenfalls verschlüsselt und in der Datenbank gespeichert. Zoho Vault speichert also nur die verschlüsselten Schlüssel "Privater Schlüssel – Unternehmensadministrator" und "Unternehmensschlüssel". Dem Host-Proof-Hosting-Modell entsprechend wird die Passphrase des Unternehmensadministrators nicht auf dem Server gespeichert. Sie ist lediglich im Arbeitsspeicher des Unternehmensadministrators abgelegt.

Schritt 2:

Wenn sich ein Unternehmensbenutzer bei Zoho Vault anmeldet, wird ein öffentlich-privates RSA-Schlüsselpaar für ihn erstellt. Der private Schlüssel des Benutzers wird mit seiner Passphrase verschlüsselt und in der Zoho Vault-Datenbank gespeichert.

Schritt 3:

Wenn der Unternehmensadministrator einen Handshake mit dem Unternehmensnutzer vollzogen hat, wird der in der Datenbank gespeicherte verschlüsselte Unternehmensschüssel abgerufen und zuerst durch den privaten Schlüssel des Unternehmensadministrators entschlüsselt. Dann wird der Unternehmensschlüssel durch den öffentlichen RSA-Schlüssel des Benutzers verschlüsselt, und dieser neue verschlüsselte Unternehmensschlüssel wird für den Benutzer freigegeben und auf dessen Speicher in der Datenbank abgelegt. Dieser Prozess wird für jeden Zoho Vault-Benutzer durchgeführt.

Schritt 4:

Wenn der Benutzer vertrauliche Daten freigeben möchte, wird zuerst der private Schlüssel des Benutzers, der verschlüsselt in der Datenbank gespeichert ist, abgerufen und mit der Benutzerpassphrase entschlüsselt. Dann wird der durch den Administrator für den Benutzer freigegebene verschlüsselte Unternehmensschlüssel abgerufen. Der verschlüsselte Unternehmensschlüssel wird mit dem privaten Schlüssel des Benutzers entschlüsselt. Das freizugebende Passwort wird jetzt mit dem Unternehmensschlüssel verschlüsselt.

Passwortfreigabe – Ereignisablauf

Angenommen, Benutzer "ABC" ist Administrator des Unternehmens und möchte ein vorhandenes Passwort für fünf andere Unternehmensbenutzer, A1, A2, A3, A4 und A5, freigeben.

Wie können A1, A2, A3, A4 und A5 Passwörter abrufen?

Was passiert, wenn ein freigegebenes Passwort geändert wird?

Angenommen, A1 ändert das Passwort.

Wichtiger Hinweis:

Wie Sie bereits durch den obigen Ablauf erfahren haben, wird der Unternehmensschlüssel, der für die Verschlüsselung/Entschlüsselung vertraulicher Daten verwendet wird, während einer Freigabe im Browser abgelegt. Technisch ist es also möglich, dass eine technisch sehr versierte Person den Unternehmensschlüssel abrufen kann, wenn sie bei Zoho Vault angemeldet ist. Der Schlüssel kann jedoch nur genutzt werden, wenn der Inhaber Zugriff auf die Zoho Vault-Datenbank erhält. Da die Zoho-Rechenzentren den neuesten Sicherheitsnormen entsprechen, ist dies nahezu unmöglich. Da Zoho Vault mit der Host-Proof-Hosting-Technologie arbeitet, ist es selbst für Zoho unmöglich, auf den Unternehmensschlüssel zuzugreifen.