Skip to content

BSI_C5_ZUSAMMENFASSUNG

Jump to bottom Edit New page
GitHub Actions edited this page Jan 2, 2026 · 1 revision

BSI C5 Spaltenverschlüsselung - Kurzzusammenfassung

Datum: 15. Dezember 2025
Dokumenttyp: Executive Summary

Ergebnis der Untersuchung

Die Spaltenverschlüsselung in ThemisDB ist BSI C5-konform

Compliance Score: 95% (18/19 Kriterien erfüllt)

Kernaussagen

1. Technische Konformität

Alle BSI C5 Kryptographie-Kontrollen (CRY-01 bis CRY-06) sind erfüllt:

CRY-01: Kryptographie-Policy - Dokumentiert in security_column_encryption.md
CRY-02: Schlüsselmanagement - KEK/DEK-Hierarchie, Versionierung, Rotation
CRY-03: Data-at-Rest - AES-256-GCM mit 256-bit Schlüsseln
CRY-04: Data-in-Transit - TLS 1.3/1.2 für KMS-Kommunikation
CRY-05: Schlüsselrotation - Lazy Re-Encryption, Dual-Write Pattern
CRY-06: Integrität - GCM Authentication Tags (128-bit)

2. Verwendete Algorithmen

Alle Algorithmen entsprechen BSI TR-02102-1 (Technische Richtlinie):

Verschlüsselung:    AES-256-GCM (AEAD)
Schlüssellänge:     256 bit (32 bytes)
IV-Länge:           96 bit (12 bytes)
Authentication Tag: 128 bit (16 bytes)
Key Derivation:     HKDF-SHA256

3. Sicherheitsmerkmale

Authentifizierte Verschlüsselung (AEAD):

  • Schutz vor Manipulation durch GCM Authentication Tag
  • Einzigartige IVs pro Verschlüsselung (Replay-Schutz)
  • Automatische Tag-Verifikation bei Entschlüsselung

Schlüsselhierarchie:

KEK (Key Encryption Key)
  ↓ verschlüsselt
DEK (Data Encryption Keys)
  ↓ verschlüsselt
Sensitive Daten (Email, SSN, etc.)

Key Versioning:

  • Ermöglicht sanfte Rotation ohne Downtime
  • Alte Daten bleiben 30 Tage entschlüsselbar
  • Lazy Re-Encryption für große Datenmengen

Identifizierte Lücken (Niedrige Priorität)

# Gap BSI C5 Empfehlung Timeline
1 Formale Policy CRY-01 Separates CRYPTOGRAPHY_POLICY.md 1 Monat
2 Audit-Logging CRY-02 Logging für alle Key-Operationen 2 Monate
3 FIPS-Modus CRY-03 Optional für Behörden aktivieren 3 Monate

Wichtig: Alle Lücken sind organisatorischer/dokumentarischer Natur, nicht technischer Natur. Die Sicherheit der Implementierung ist nicht beeinträchtigt.

Performance

┌─────────────────┬──────────┬──────────┐
│ Operation       │ Median   │ p99      │
├─────────────────┼──────────┼──────────┤
│ Encrypt (1KB)   │ 0.5ms    │ 2ms      │
│ Decrypt (1KB)   │ 0.5ms    │ 2ms      │
│ Key Lookup      │ 0.01ms   │ 0.1ms    │
└─────────────────┴──────────┴──────────┘

Bewertung: ✅ Akzeptabel (< 10ms Overhead)

Test-Coverage

Test-Dateien:       7 (test_encryption*.cpp)
Anzahl Tests:       150+
Code Coverage:      ~95%
Komponenten:        FieldEncryption, EncryptedField, KeyProvider

Handlungsempfehlungen

Für Produktiveinsatz (Allgemein)

Technische Implementierung ist produktionsreif
Kein Blocker für BSI C5-Zertifizierung
⚠️ Audit-Logging sollte erweitert werden
⚠️ Formale Dokumentation empfohlen

Für Behörden/Regulierte Umgebungen

  1. Formale Kryptographie-Policy erstellen (CRYPTOGRAPHY_POLICY.md)
  2. FIPS 140-2 Modus aktivieren (OpenSSL FIPS-Modul)
  3. Externes Sicherheitsaudit beauftragen (BSI-zertifizierter Auditor)
  4. HSM-Integration für KEK-Speicherung (PKCS#11 Interface bereits vorhanden)

Zusammenfassung der Stärken

  1. Moderne Kryptographie

    • AES-256-GCM (State-of-the-Art AEAD)
    • BSI TR-02102-1 konform
    • Authentifizierte Verschlüsselung

  2. Robustes Schlüsselmanagement

    • Key Hierarchy (KEK/DEK-Separation)
    • Versionierung für sanfte Rotation
    • Pluggable Provider-Architecture (Mock, Vault, HSM)

  3. Umfassende Tests

    • 150+ Unit- und Integration-Tests
    • Performance-Benchmarks
    • Edge-Case-Coverage

  4. Klare Architektur

    • Trust Boundaries definiert
    • Threat Model dokumentiert
    • Security Best Practices implementiert

Referenzen

Vollständiger Bericht:
📄 BSI_C5_COLUMN_ENCRYPTION_COMPLIANCE.md

Implementierungsdokumente:

  • docs/security/security_column_encryption.md (Design)
  • docs/security/security_encryption_strategy.md (Strategie)
  • docs/security/security_key_management.md (Schlüsselverwaltung)
  • docs/compliance/compliance_full_checklist.md (Gesamtübersicht)

BSI-Standards:

  • BSI C5 Katalog (2020)
  • BSI TR-02102-1 (Kryptographische Verfahren)
  • BSI IT-Grundschutz-Kompendium

Fazit: Die Spaltenverschlüsselung in ThemisDB erfüllt alle technischen Anforderungen des BSI C5 und ist für den produktiven Einsatz geeignet. Die identifizierten Verbesserungspotenziale betreffen ausschließlich organisatorische Aspekte und stellen keinen Sicherheitsmangel dar.

Erstellt von: ThemisDB Security Team
Review-Datum: 15. Dezember 2025
Status: ✅ Freigegeben

ThemisDB v1.3.4 | GitHub | Documentation | Discussions | License

Last synced: January 02, 2026 | Commit: 6add659

ThemisDB Dokumentation

Version: 1.3.0 | Stand: Dezember 2025

📋 Schnellstart

🏗️ Architektur

🗄️ Basismodell

💾 Storage & MVCC

📇 Indexe & Statistiken

🔍 Query & AQL

💰 Caching

📦 Content Pipeline

🔎 Suche

⚡ Performance & Benchmarks

🏢 Enterprise Features

✅ Qualitätssicherung

🧮 Vektor & GNN

🌍 Geo Features

🛡️ Sicherheit & Governance

Authentication

Schlüsselverwaltung

Verschlüsselung

TLS & Certificates

PKI & Signatures

PII Detection

Vault & HSM

Audit & Compliance

Security Audits

Gap Analysis

🚀 Deployment & Betrieb

Docker

Observability

Change Data Capture

Operations

💻 Entwicklung

API Implementations

Changefeed

Security Development

Development Overviews

📄 Publikation & Ablage

🔧 Admin-Tools

🔌 APIs

📚 Client SDKs

📊 Implementierungs-Zusammenfassungen

📅 Planung & Reports

📖 Dokumentation

📝 Release Notes

📖 Styleguide & Glossar

🗺️ Roadmap & Changelog

💾 Source Code Documentation

Main Programs

Source Code Module

🗄️ Archive

🤝 Community & Support

Vollständige Dokumentation: https://makr-code.github.io/ThemisDB/

Clone this wiki locally