IBM introduceert volledig versleuteld z14-mainframe

IBM heeft een nieuw mainframe aangekondigd in de Z-serie. De z14 moet volgens het bedrijf alle soorten gegevens voorzien van encryptie. IBM wil daarmee inspelen op de grote hoeveelheid datalekken in de afgelopen jaren.

IBM claimt dat het mainframe netwerkgegevens, externe apparaten en applicaties kan versleutelen. Daarvoor maakt het bedrijf gebruik van een 'encryptie-engine die alle gegevens van databases, applicaties en clouddiensten continu van volledige encryptie kan voorzien'. Het mainframe moet bovendien in staat zijn om encryptiesleutels aan te maken en weer te verwijderen. Verder is het systeem door gebruik van speciale hardware in staat om een bepaalde sleutel in te trekken als er aanwijzingen zijn dat er onbevoegde toegang plaatsvindt.

Voor de aansturing van de z14 introduceert IBM daarnaast versleutelde api's. Het mainframe draait op 5,2GHz, heeft maximaal 32TB aan geheugen, en ondersteunt twee miljoen Docker-containers en duizend NoSQL-databases. IBM zegt met het mainframe te willen inspelen op het groeiende aantal datalekken, waarbij vaak maar een deel van de gegevens versleuteld blijkt te zijn. Met het nieuwe mainframe zou het niet meer nodig zijn om te kiezen welke gegevens wel en niet versleuteld worden.

Uit de technische specificaties blijkt dat de z14 is voorzien van een cryptografische coprocessor, ook wel Cpacf genoemd. Deze biedt onder meer hardwareversnelling voor versleuteling en hashing, bijvoorbeeld met aes, des en sha.

Reacties (67)

SBTweaker 17 juli 2017 13:01

Kan iemand in een eli5 manier uitleggen wat een mainframe nu eigenlijk is? de definities die ik vindt zijn behoorlijk vaag .

[Reactie gewijzigd door SBTweaker op 23 juli 2024 06:13]

Verwijderd @SBTweaker • 17 juli 2017 13:28

Hm. Ik moest dan weer eerst 'eli5' opzoeken, maar dat terzijde.

De betekenis van een 'mainframe' is eigenlijk een beetje verwaterd. In principe komt het neer op 'de grote centrale computer', waar je met een terminal (of later: een terminal-emulator op je Windows pc) naar toe connecteerde en van daaruit 'in het systeem' kon kijken of schrijven. Dat concept is natuurlijk wel een beetje verouderd.
Je ziet het nog wel eens, op vliegvelden of bij banken. Soms ook nog wel eens bij de politie. Vaak systemen die al heel vroeg geautomatiseerd zijn (jaren '70 vorige eeuw) en waarvan de data zo groot en complex is dat ze er eigenlijk niet meer (voor een acceptabele prijs) vanaf kunnen.

In de praktijk is tegenwoordig natuurlijk heel veel kantoor-computer-werk 'gewoon' client/serverwerk; waarbij een boel servers vanalles doen. Bij een mainframe kan dat in principe ook, maar vaak is het een dedicated onderdeel van de bedrijfsvoering die uitgevoerd wordt door het mainframe. (Denk bijvoorbeeld aan databases of financiële transacties.)

M.a.w.: helemaal helder is de definitie niet.
Als het over een mainframe gaat, is het vaak wel een grote (meestal zwarte) doos van 1 of meerdere racks, waarbij dit volcontinu en uiterst robuust aan het draaien is.

Wellicht dat iemand anders nog wat meer zinnigs toe kan voegen, want mijn verhaal is erg vaag, merk ik zelf...

calvin @Verwijderd • 17 juli 2017 13:42

Z in de Z-series (al jaren de naam voor wat eens mainframe heette) staat voor Zero Downtime. Alles in een Z14 is dubbel uitgevoerd zodat er geen downtime is als er iets kapot mocht gaan. Daarnaast zijn Z-series geoptimaliseerd voor transactionele verwerkingen. 87% van alle creditcard transacties worden nog steeds op Z-series verwerkt.
Daarnaast kun je een Z in honderden partities opsplitsen en zo een hele boel verschillende workloads er op draaien. Virtualisatie bestaat al sinds de jaren 70 op die dingen geloof ik ( veel eerder van VMWare bijvoorbeeld)
Vroeger draaide er alleen Z-Os op, tegenwoordig ook linux. Verder kun je micro partitioning doen op CPU level wat bijdraagt aan het hoge aantal partities met eigen OS dat je kunt draaien.

Mensen die met de groene schermen werken zweren erbij, alles is te doen dmv je keyboard, geen muis nodig en razendsnel maar dit terzijde

coolkil @calvin • 17 juli 2017 18:22

Niks groene schermpjes! alhoewel dit uiteraard nog steeds kan. Je kan ook gewoon Ubuntu, Suse leap of redhat draaien

Verwijderd @coolkil • 17 juli 2017 19:43

Via de console dan. Dat is hetzelfde als een 'groen scherm.'

DarkJack @calvin • 17 juli 2017 17:35

Ook nog aan toevoegen dat IBM intussen de enige vendor nog is die echt grote mainframes nog maakt.

Zelf hebben we een Z series mainframe draaien. Zoals je aanhaalt, draait het ding quasi enkel transactionele dingen. We hebben al veel pogingen gedaan om dingen weg te halen van de mainframe en naar andere systemen zoals RHEL te brengen, immers is een mainframe geen goedkoop beestje met licensing en support bijgerekend. Voor sommige dingen is ons dat gelukt, maar voor onze zware transacties konden we gewoon geen setup met iets anders dan de mainframe maken die dezelfde performantie en stabiliteit had. En da's net een van de additionele kenmerken van een mainframe: belachelijk grote throughput.

Verwijderd @calvin • 17 juli 2017 19:44

Je kan toch ook gewoon paralleliseren van transacties?

coolkil @Verwijderd • 18 juli 2017 23:33

Tuurlijk. Alles kan. De vraag is echter vanaf welk punt het efficiënter en goedkoper is om te kiezen voor een mainframe oplossing.

Verwijderd @coolkil • 19 juli 2017 07:52

Ik denk paralleliseren in bijvoorbeeld AWS een stuk goedkoper is dan een miljoenen kostende mainframe.

coolkil @Verwijderd • 19 juli 2017 08:53

Hangt af van je schaal groote. Draai jij miljoenen transacties op je systemen (denk aan banken) dan gaat paralleliseren heel veel geld kosten.

Ook is er nog zo iets als de performance impact die paralleliseren geeft op x86. Alle io moet door de cpu heen terwijl de coprocessoren dit afvangen op een mainframe en daarnaast, Als je een database draait moet deze ook nog eens in sync gehouden worden over al je nodes wat ontzettend veel overhead geeft.

Dus ja een mainframe is duur. Maar voor een mainframe zijn de kosten ook zeer inzichtelijk. Amazon kan je gigantische bedragen vragen zonder dat je ook maar weet waarvoor.

Dit alles nog los van het feit dat amazon doodleuk mee kan kijken met wat je aan het doen bent

SBTweaker @Verwijderd • 17 juli 2017 13:42

Moet ik het zien als een grote server? of zijn er nog andere dingen wanneer het pas een mainframe genoemd kan worden zoals dat het mogelijk moet zijn om een eigen omgeving te draaien die verbindt met de mainframe (zoals de terminals in je voorbeeld). Ik denk nu steeds aan een server die een database beheert maar volgens mij begrijp ik het daarmee niet goed.

Verwijderd @SBTweaker • 17 juli 2017 14:18

Moet ik het zien als een grote server?

Tja. Eigenlijk wel. Maar niet elke server is een mainframe, om het makkelijker te maken.
Eigenlijk is het een vaag begrip, en volgens mij ook geen strak omlijnde definitie. Het is echter wel een begrip op zich. Zeker de wat oudere IT'ers onder ons weten meteen bij het horen van de term dat er nog iets bijzonders, óf iets heel ouds in de serverruimte staat.
In de praktijk zijn tegenwoordig de meeste mainframes van IBM, maar dat hoeft niet persé, er zijn nog een paar leveranciers over.
Denk in de vorm van 'grote server' niet aan een traditionele x86 based Windows of Linux server, maar denk groot, in de zin van een solide, robuuste omgeving die altijd draait en zeer veel transacties tegelijk aan kan.
Je kunt een mainframe ook onderhouden terwijl de processen doordraaien doordat je onderdelen kunt isoleren en processen kunt verplaatsen.

Ook OTAP, (Ontwikkel/Test/Acceptatie/Productie) zoals je dat vanuit 'gewone servers' ook kent is al tientallen jaren gebruikelijk op mainframes, maar dan door processen (en data) te scheiden binnen het mainframe.

Voor het vergelijk met 'een grote server' is ook nog wel een ding relevant: naast dat je via een client data kunt benaderen, kan ook heel de interface vanaf het mainframe worden aangeboden, waarbij dus in principe alle gebruikers (van die interface) dus ook het client-deel dus processen vanaf het mainframe, het mainframe is dan client en server tegelijk en de gebruiker heeft alleen een soort 'afstandsbediening' naar deze interface. Vergelijk dat met hoe je via RDS een desktop zou kunnen aanbieden, maar dan in de praktijk dus meestal via een character-based interface.

(En om de verwarring wordt nog wat groter te maken zou je ook weer 'gewoon' VM's kunnen aanbieden vanaf je mainframe, of dat in de praktijk ook echt veel gedaan wordt vraag ik me af.)

ToolkiT @SBTweaker • 17 juli 2017 14:21

traditioneel was het een grote server die al het rekenwerk deed. Je verbond er een dumbterminal aan (die alleen IO deed) als interface.

Tegenwoordig is model wat verouderd omdat clients veel geavanceerder zijn.
Het beste kan je het zien als een mega server die vaak redundant is uitgerust zodat er geen single points of failure meer zijn (lees: dubbele powersupply, alle disk in RAID, redundant motherboards etc etc)
Databases zijn idd een veel voorkomend gebruik, maar de middle tiers draaien er vaak ook op..
Zie het als een grote all-in-one server die een grote applicatie draait..

Verwijderd @SBTweaker • 17 juli 2017 23:48

Grappige is dat je allengs zo ongeveer alle computers met ofwel een Intel CPU dan wel een AMD CPU door respectievelijk de Intel Management Engine dan wel de Secure Processor van AMD als grafische terminals kunt gaan zien, ongeacht welk OS je op betreffende computers installeert.

jvnknvlgl @Verwijderd • 17 juli 2017 17:05

Wat voor soort processor zit hier dan in? Er staat dat het mainframe op 5.2GHz loopt, maar dat zegt nog niet veel. Gebruiken ze hiervoor een standaardarchitectuur als x86 of POWER, of is alles custom? En hoeveel kernen zou zo'n ding hebben?

coolkil @jvnknvlgl • 17 juli 2017 18:10

Een mainframe speelt een beetje vals op dit gebied. Als ik op het Linux only Mainframe wat ik momenteel aan het inrichten ben met Openstack lscpu uitvoer is de officiële benaming s390x. Echter heeft de machine een bak aan co prosessoren en dat zijn power processors. Die power processors worden gebruikt voor io offloading iets wat bij x86 allemaal afgehandeld wordt door de cpu zelf

S913 @coolkil • 20 juli 2017 23:29

Als je het hebt over het daadwerkelijk I/O subsysteem en de zgn. SAP (System Assist Processor) die de I/O afhandeling weghalen bij de CP's die het rekenwerk doen, dan is dit nog steeds een Z processor, de Power processoren zitten meer richting de fysieke I/O kaarten.

Dreamvoid

IBM
Servers

@jvnknvlgl • 18 juli 2017 00:12

IBM's z-mainframes draaien op POWER cpu's.

Verwijderd @Dreamvoid • 19 juli 2017 10:21

Dat zijn toch geen PowerPC processors hoop ik.

Dreamvoid

IBM
Servers

@Verwijderd • 19 juli 2017 11:21

Jazeker, tenminste: IBM gebruikt de naam "PowerPC" al zeker 10 jaar niet meer, maar ze maken nog steeds server cpu's met de POWER instructieset.

S913 @Dreamvoid • 20 juli 2017 23:23

Nope, mainframe draaien zeker niet op Power processoren. Dit zijn geheel eigen Z processoren die een heel andere architectuur hebben dan Power processoren. Momenteel een 10-core chip, maar in een maximale configuratie heb je 170 cores die je zelf kan karakteriseren (CP, IFL. zIIP, ICF of extra SAP's).
Ja, er zitten Power processoren in een mainframe, maar die worden niet voor rekendoeleinden gebruikt (ook niet als de genoemde crypto co-processoren, want die zitten gewoon op de 'Z processor'). Die Power processoren zie je voornamelijk terug in ondersteunende functie zoals I/O kaarten etc.

[Reactie gewijzigd door S913 op 23 juli 2024 06:13]

Frankster @Verwijderd • 17 juli 2017 13:38

Mooie definitie! Mijn toevoeging: mainframes zijn meer bedoeld voor transacties en bewerkingen aan grote databases.

Munters @Frankster • 17 juli 2017 15:05

En voeg betrouwbaarheid toe: als een mainframe draait wordt deze nog maar 1x uitgezet: als de opvolger draait.

karma4 @Verwijderd • 21 juli 2017 16:05

"mainframe" rechtstreeks vertaald: hoofd rek Ofwel de centrale plek waar alles gebeurt.
Kan in een cluster staan gevirtualiseerd of wat dan ook. Stop het in rekjes in datacenters en je hebt het huidige beeld. Zoiets kan op Hal 9000 ljjken even met kleurtjes schuiven.
Je geeft het al aan onbereikbaar en onbegrijpelijke aanduiding voor de afnemer gebruiker.

Inmiddels uiterst modern onder de aanduiding "cloud".

Vanaf de jaren 90 was het modern om gegevens op je eigen machine (personal computer) te zetten de IT dienstverlening zou veel te duur en moeilijk te om applicaties te bouwen zijn. De naam is sterk verbonden aan IBM omdat die overheersend was in de jaren 1960-1990.
Voor je begint met maar één cpu etc. Meerdere cpu's van oudsher. Allerlei aparte machines er om heen aangeduid als controllers met communicatie tussen verre locaties.
Principieel niets nieuws of anders dan wat we tegenwoordig doen.

TheBorg @SBTweaker • 17 juli 2017 13:28

Vroeger was het een centrale computer, bijv. bij een bank, ziekenhuis, verzekeraar, etc. Op de bureaus van de mensen stonden dan domme terminals. Later zijn de domme terminals verdwenen maar de mainframe is gebleven. Bijv. om banktransacties te verwerken of patient gegevens op te slaan.

Tegenwoordig vind ik het nogal een vaag begrip. Toen de eerste mainframe kwam waren er geen 19" servers met veel rekenkracht. Tegenwoordig wel. Kun je dan 5 servers in een rek donderen en het een mainframe noemen? Misschien wel.

Wat ik in de huidige tijd voor me zie bij een mainframe is een totaal over-engineerede 19" rack waar modulair processors en geheugen in gestopt kan worden. Met de bedoeling dat het in theorie zo betrouwbaar is dar het 30 jaar kan draaien zonder 1x te crashen.

Play with Junk heeft fantastische teardowns op YoutTube:
https://www.youtube.com/watch?v=EoznUpL8p5M

DigitalExorcist @TheBorg • 17 juli 2017 19:01

In een rack niet direct, maar een bladecenter zou je op zich kunnen kwalificeren als een mainframe-"light".

Neko Koneko @SBTweaker • 17 juli 2017 14:58

Mainframe is de stad waar de serie Reboot zich afspeelde

Rinzwind 17 juli 2017 12:31

Leuk dat de data geencrypt is, maar voor gebruik moet diezelfde data toch echt leesbaae aangeleverd worden. Als de applicatie lek is, kun je daarom nog steeds de data opvragen lijkt me...

BamSlam_

@Rinzwind • 17 juli 2017 13:31

... maar voor gebruik moet diezelfde data toch echt leesbaae aangeleverd worden.

Het is ook mogelijk om te rekenen met vercijferde data. Homomorfe encryptie heet dat. Daar zijn recent belangrijke stappen in gemaakt. Zie https://www.tno.nl/media/..._met_vercijferde_data.pdf

[Reactie gewijzigd door BamSlam_ op 23 juli 2024 06:13]

ExIT @BamSlam_ • 17 juli 2017 15:07

Dit werkt (nog) niet voor strings. En dat zal ook nog wel even duren, als het al lukt ooit.

6 april 2011:

What are the odds that Gentry’s new method will unlock fully homomorphic encryption for practical use? “When I have an idea, its probability of working is usually about one percent,” says Gentry with a chuckle.

Judging by that success rate from the inventor of fully homomorphic encryption himself, DARPA, IARPA, and their contractors will have plenty of work ahead.

Bron: https://www.google.nl/amp...r-cryptos-holy-grail/amp/

ExIT @Rinzwind • 17 juli 2017 12:38

Het kan clientside gedecrypt worden an sich, maar als je endpoint compromised is dan is het inderdaad alsnog weg.

Hoewel de opslag encrypted is, valt er weinig te query-en in encrypted db. Dus reken er maar op dat het geheugen van deze machine naast sleutels ook decrypted gegevens bevat. Dat is altijd de achilleshiel van encryptie.

Enkel een lek dat toegang tot de disk geeft is hiermee dus mogelijk enigsinds afgedekt. Alle andere attack vectors blijven overeind.

Step5 @Rinzwind • 18 juli 2017 12:36

Volgens mij slaat het er op dat wanneer 1 applicatie lek is, je misschien wel bij de andere data kunt, maar dat die op een andere manier encrypted is dus je niks aan die data hebt

Cornelisjuh 17 juli 2017 11:58

Een beetje off-topic, maar wat weerhoudt criminelen ervan om een cpacf te gebruiken om wachtwoorden te bruteforcen?

JackBol @Cornelisjuh • 17 juli 2017 13:08

Er zijn al lang commerciële crypto chips in omloop. De CPACF van IBM is wellicht de eerste waar je van hebt gehoord. Als hackers een hardware brute forcer willen bouwen, kon dat al lang.

Als men overigens stelt dat cryto type X is veilig voor Y jaar, dan is dat al een hypothetisch optimaal scenario. I.e. gecalculeerd met alle bekende weaknesses exploited, op de snelst mogelijke hardware beschikbaar in een voor 'state-actors' betaalbare configuratie.

roflpantoffel @Cornelisjuh • 17 juli 2017 12:06

Het encrypten en decrypten met bekende sleutels gaat natuurlijk een stuk sneller dan het bruteforcen van encrypted data met onbekende sleutels. De cpacf zal hier waarschijnljik ook totaal niet voor geschikt zijn. Plus hij zal wel behoorlijk duur zijn.

itcouldbeanyone @Cornelisjuh • 17 juli 2017 12:12

Niet alles kun je bruteforcen

freaky @itcouldbeanyone • 17 juli 2017 12:22

Je kunt wel degelijk alles bruteforcen.

Of het lukt in een tijdsbestek dat je acceptabel vind is een andere vraag.

Sissors @freaky • 17 juli 2017 13:05

Zaken die met een one-time-pad zijn geencrypt zijn niet te bruteforcen. Verder zijn die niet heel praktisch hoor, maar niet alles is te bruteforcen

freaky @Sissors • 17 juli 2017 14:48

Wellicht dat we over andere OTP's praten, maar die dingen die one-time-codes genereren worden zelf niet gebruikt voor encryptie, ze voegen alleen extra authenticatie laag voor toegang tot die keys toe.

Als iets versleuteld is met een bepaald algoritme en je weet het gebruikte algoritme is het altijd te brute-forcen. Gewoon alle mogelijke keys een keer proberen.

Je moet dus wel de encrypted data hebben en het gebruikte algoritme weten.

MSalters

@freaky • 17 juli 2017 15:22

Dat is iets heel anders. Een One Time Pad is een password wat net zo lang is als de versleutelde data. Om een 4 GB video te versleutelen met een One Time Pad heb je dus een 32 gigabit "password" ndoig, in plaats van een 128 of 256 bits key. Onpraktisch dus, maar wel wiskundig onkraakbaar. Met zoveel passwords kan namelijk elk bronbestand versleuteld worden tot elke mogelijk versleuteld bestand, dus is er geen enkel aantoonbaar verband meer.

freaky @MSalters • 17 juli 2017 15:32

Aantoonbare verbanden zijn handig om dingen te versnellen. Brute forcen is conform je uitleg nog steeds gewoon mogelijk.

De kans dat je de 32 gigabit key gaat vinden binnen nu en zeg 10 miljoen jaar is vrij klein echter. Gezien de lengte van de key zal het al aanzienlijk lang duren om zelfs maar 1 key te testen.

begintmeta @freaky • 17 juli 2017 16:41

Je kan alles 'bruteforcen' inderdaad (je kan nu eenmaal ook geheel zonder onderliggende gegevens een bericht ontsleutelen: je kan het tenslotte gewoon raden.), maar:

bij een one-time pad zal je in principe nooit weten of je erin geslaagd bent het te bruteforcen, theoretisch zou elk resultaat juist kunnen zijn.

[Reactie gewijzigd door begintmeta op 23 juli 2024 06:13]

MSalters

@freaky • 17 juli 2017 16:49

Ik weet niet of je weet wat " brute forcen" betekent. Dat betekent dat je elke mogelijke key probeert, en dan controleert met welke key de decryptie succesvol is. Dat vereist dat je die controle kunt doen. Aangezien een OTP elke mogelijke uitkomst kan produceren kun je dus niet controleren of de decryptie geslaagd is, en dus ook niet of de key correct was.

Voorbeeldje met 1 cijfer. Ik geef je het encryped cijfer, 7. De encryptie methode is originele cijfer plus key, modulo 10. Vertel mij maar wat het originele cijfer was, en wat de key. Misschien wast het 3+4, of 4+3. Of 7+0. Of 0+7.

begintmeta @MSalters • 17 juli 2017 17:59

Hoort controle er wel noodzakelijk bij? De definities die ik heb kunnen vinden laten daarover enige onduidelijkheid bestaan. Een echte controle van welke brute force-resultaten dan ook lijkt normaalgesproken alleen mogelijk als je iets weet over de originele plaintext.

Dat het (vergeleken met gewoon raden zonder welke cyphertext dan ook) weinig zinvol is om een otp-bericht te 'bruteforcen' is mij zoals ook uit mijnvorige post blijkt duidelijk, de enige informatie die het otp-versleutelde bericht toevoegt is de maximale grootte van het onversleutelde bericht. Geillustreerd, als ik weet dat de 16000 bits die ik in handen heb een otp-versleutelde plaintext bevatten (maar niet alle bits hoeven deel uit te maken van het bericht) zal ik als resultaat van mijn bruteforce-aanval een set van 2¹⁶⁰⁰¹-1 mogelijke plaintexts verkrijgen (die ik nog eventueel zou kunnen proberen te filteren&controleren op plausibiliteit etc, als het aantal niet de spuigaten zou uitlopen, wat het natuurlijk snel doet)

[Reactie gewijzigd door begintmeta op 23 juli 2024 06:13]

Wim-Bart @MSalters • 17 juli 2017 19:02

Het is nog veel leuker. Er zijn situaties te bedenken waarbij het gekraakte document niet het originele is. Grappig om te bedenken dat ontsleuteling met verkeerde key in theorie een voor mensen valide resultaat kan genereren.

itcouldbeanyone @freaky • 17 juli 2017 12:39

Niet als je een complete library nodig hebt voor het decrypten,

Waarom word ik nu gemind ?

[Reactie gewijzigd door itcouldbeanyone op 23 juli 2024 06:13]

mrtl 17 juli 2017 12:07

Het enige systeem dat te vertrouwen is, is er een die je zelf bouwt. Je data toevertrouwen aan een gesloten systeem als deze IBM is eigenlijk precies niet wat je wil.

bozk @mrtl • 17 juli 2017 12:23

Of je dan genoeg expertise hebt binnen je eigen team, om z'n mainframe neer te zetten is even een 2de.
Het bouwen van eigen systemen is niet altijd verstandig, zo kun jij meer menselijke fouten maken dan een IBM die een eigen cyber/test/build/etc team heeft. (even nog de aantal jaren ervaring achterwegen gelaten)
Laat iedereen zijn expertise uitoefenen.

Xanaroth @mrtl • 17 juli 2017 12:22

Mensen zijn over het algemeen geheel niet te vertrouwen dat ze goed met data om gaan, dus wat dat betreft is het in ieder geval dat 'iets' meer is dan 'niets' om problemen te voorkomen.

Verder als je data belangrijk genoeg is dat je encryptie overal toepast en dan nog zorgen maakt, houdt niets je tegen om bijvoorbeeld het zorgvuldig op te slaan (niet publiekelijk toegankelijk ergens, maar altijd achter toegangscodes). Dan maakt het 'hoe' vanzelf minder uit. Moeten ze EN het IBM systeem kraken EN achterhalen welke van de sleutels bij het bestand hoort EN het bestand krijgen EN de toegangscodes achterhalen...

Het is niet veel anders dan je eigen log-ins zoals bij de bank, als je maar genoeg lagen van bescherming/autorisatie hebt maakt de kwaliteit van elk individueel onderdeel steeds minder uit omdat het te moeilijk wordt alle losse componenten bij elkaar te krijgen.

rjmno1 @Xanaroth • 17 juli 2017 14:10

Ja dat klopt maar volgens mij is dit antwoord van ibm voor wat de laatste tijd aan de hand is.
Met name in rusland (oakraine) wat het dit jaar weer raak.Ik kan me best voorstellen dat een bank dit soort servers gaat bestellen alleen al de beveileging ervan.Of de database van en af ander groot warenhuis wat zaken doet op internet.Het is net als bitlokker maar dan gegoten in een groter jasje.Ik vind het goed dat ze dat soort dingen nu echt gaan beveiligen.Hopelijk hebben ze ook iets voor een ddos aanval.En inderdaad je moet dus een sleutel hebben voordat je bij de bestanden kan komen.Het heeft volgens mij ook met de hiarchie te maken, en het licht eraan wat voor een besturingssytem er geinstallerd op is.
Hiearchie bedoel ik met server admin , user ,en gewoon admin inlog.
sommige restricties kunnen bij je login acount toegevoegd worden.
Plus dit ding heeft ook nog een hardware-matige chip speciaal voor het versleutelen
van de bestanden.

[Reactie gewijzigd door rjmno1 op 23 juli 2024 06:13]

familyman @mrtl • 17 juli 2017 12:34

Het systeem is zo gesloten dat je het OS niet eens op geïnstalleerd krijgt - dan kun je dus ook vertrouwen dat de data er niet afkomt :-)

Korben 17 juli 2017 13:29

Deze biedt onder meer hardwareversnelling voor versleuteling en hashing, bijvoorbeeld met aes, des en sha.

DES? Serieus? DES is al bijna 20 jaar onveilig en al meer dan 10 jaar lang wordt DES afgeraden; in plaats daarvan wordt AES aangeraden en/of verplicht.

angelina @Korben • 17 juli 2017 14:17

DES is inderdaad onveilig verklaard. Triple DES, oftewel 3DES nog niet. De Cpacf ondersteunt beide varianten. Triple DES is 3 keer DES uitvoeren dus DES implementatie hebben ze sowieso nodig maar je kunt je inderdaad afvragen wie dat nog gaat gebruiken en of dat in de documentatie wordt afgeraden.

JackBol @angelina • 17 juli 2017 15:37

3DES is ook broken. Er zijn verschillende collision attacks bekend. Je kan er nog omheen werken door regelmatig te re-keyen of block mode te disablen, maar dat is meer oplappen dan veilig maken.

kwakzalver 17 juli 2017 12:13

Heeft IBM toch weer relatief snel op de markt gereageerd.
Een prima oplossing om adaptieve encryptie toe te voegen aan de totaaloplossing.
Zal geheid een nieuwe trend worden. Oracle kan niet achterblijven en dit ook gaan ontwikkelen.

Security moet ergens beginnen en is een verzameling van beveiligingsprotocollen/toepassingen.
Door ook direkt op de Mainframe te encrypteren voeg je een extra laag bescherming toe.

Als dit aanslaat zal dit zijn vervolg ook krijgen in de rest van het IBM aanbod (i,p & x Series)
en wellicht wordt het ook gemeengoed voor de gewone consument.

Tenzij regeringen 'backdoors' gaan verplichten. Dan is elke vorm van encryptie een wassen neus geworden.

AEIOU 17 juli 2017 11:57

Zitten er backdoors in IBM systemen zoals deze? Want dan zou dit product nutteloos kunnen zijn voor een aantal mensen.

Mezz0 @AEIOU • 17 juli 2017 12:39

admin/admin

Verwijderd @Mezz0 • 17 juli 2017 14:06

Op mainframe zal dit eerder QSECOFR/QSECOFR zijn ;-)

N8w8 @AEIOU • 17 juli 2017 17:39

Zijn voorganger de Z13, had iig wel degelijk een backdoor, dus belangrijk idd om daarop te letten.
Sowieso was die nodig om I/O kaarten e.d. in te kunnen pluggen aan de achterkant, maar ook om waterkoeling te installeren.
Je kon nog wel kiezen tussen wel of geen slot op de backdoor, dus het hoeft niet per se meteen nutteloos te zijn.
Het is wel te kraken helaas, maar goed, in de praktijk maakt wel of geen backdoor nauwelijks verschil, voor een goeie betonschaar.

Iblies @AEIOU • 17 juli 2017 12:01

Waarschijnlijk wel,
maar dat kun je hardwarematig oplossen.

Fysieke toegang is dan vereist.

SuperDre 17 juli 2017 18:08

interessant natuurlijk, maar toch ook gevaarlijk, want wat te doen als dus zulke sleutels ingetrokken worden en dus door een fout de data niet meer te lezen is. Dat is het grootste probleem, je hebt je data dan mooi encrypted om kwaadwillende niet deze zomaar te kunnen laten lezen, maar als er ook maar iets kleins fout gaat, ben je zelf ook de klos dat je de data niet kunt lezen. Denk dan dat ik liever heb dat kwaadwillende mn data kunnen lezen dan dat ik zelf ook niet meer bij mn data kan. het is in iedergeval een moeilijk onderwerp/keuze.

Verwijderd 17 juli 2017 19:38

IBM kennende zal dit wel een extreem prijskaartje krijgen. Ik zie de verkoopwaarde niet van dit systeem, z/OS dat is legacy in het exreme. De hardware is top, maar de root van de software is legacy en zorgt ervoor dat deze systemen totaal niet geschikt zijn voor online 7x24 transactie verkeer.

Wereldwijd is men dan ook bezig deze systemen uit te faseren, een zeer goede zaak.

Dreamvoid

IBM
Servers

@Verwijderd • 18 juli 2017 00:14

Deze dingen worden idd niet aan nieuwe klanten verkocht, maar aan bestaande gebruikers.

calvin @Verwijderd • 18 juli 2017 10:29

Jouw opmerking laat wel zien dat je geen idee hebt waar je het over hebt @Verwijderd
87% van alle creditcard transacties worden nog steeds op mainframes verwerkt, in realtime.

kijk eens naar https://nl.wikipedia.org/...ction_Processing_Facility en ik quote

" TPF is misschien wel het meest onderschatte besturingssysteem. Het wordt gebruikt door de grootste niet-militaire systemen ter wereld en er het is zo snel dat het niet te vergelijken is met enig ander transactiesysteem."

Verwijderd @calvin • 19 juli 2017 16:52

Thanks, maar dat is dus precies wat ik bedoel. Credit card transacties zijn geen online transacties, verificatie en autorisatie (saldo e.d.) wordt op andere systemen gedaan. Zo'n TPF is niks meer dan een ouderwets boekingsysteem (ponskaarten). Je bent echt gek om voor dit systeem te kiezen, veel te duur en daarnaast veel te complex.

calvin @Verwijderd • 19 juli 2017 16:59

zoals ik zei, je hebt geen idee waar je het over hebt.... ga maar eens goed bestuderen, zul je zien dat Z systemen nog steeds onverslaanbaar zijn in transacties per seconde en de cost per transactie.

Verwijderd @calvin • 24 juli 2017 16:10

Nee dank je, ik heb helaas al genoeg ervaring met Z systemen. Duur, traag en hetgeen wat men roept (DB integriteit bij calamiteiten, snel, goedkoop) heb ik nog geen klant gezien waar ze dit kunnen waarmaken. Bijna geen enkele bank maakt gebruik van een Z system voor hun ONLINE transacties. Men gebruikt het soms als DB maar ook dat is een slechte keuze, DB2 is zeer beperkt.

Op dit item kan niet meer gereageerd worden.

IBM introduceert volledig versleuteld z14-mainframe

Lees meer

Reacties (67)

Sorteer op:

Weergave: