Sichere Verschlüsselung erfordert in irgendeiner Art und Weise einen Schlüssel, z.B. ein Passwort oder ein Hardware-Token. Dies funktioniert recht gut mit einem Gerät, skaliert aber nicht besonders gut. Insbesondere im Cloud-Umfeld oder bei DevSecOps-Containern funktionieren Passwörter nur bedingt. Hier kommt automatisierte Ver-/Entschlüsselung ins Spiel. Mit Clevis/Tang lässt sich Policy-basierte Verschlüsselung umsetzen. So kann man z.B. in der Network Based Disk Encryption Volumes mittels LUKS verschlüsseln und den Schlüssel zur Entschlüsselung beim booten von einem Server abholen. Damit lassen sich tausende von Volumes in einem RZ automatisiert booten, obwohl die Festplatten verschlüsselt sind. Aber auch andere Szenarien im Secrets Management für DevSecSop sind denkbar.
Der Vortrag stellt die Kryptographie in diesem System vor und zeigt Einsatzszenarien dafür auf.
Ein besonderes Augenmerk liegt hierbei auf der Sicherheitsarchitektur der Kryptographie.