Der Befehl GENERATE ENCRYPTION KEYPAIR erzeugt ein neues Paar RSA Schlüssel. Über diese Schlüssel lassen sich asymmetrische Operationen zur Verschlüsselung in 4D einrichten, die für den sicheren Datenaustausch über ein Netzwerk erforderlich sind (z.B. mit dem 4D Web Server und den TLS Protokoll).

Hinweis: Müssen Sie Ihre Daten auf der Festplatte verschlüsseln, können Sie die Features zur Verschlüsselung der Datendatei von 4D verwenden. Weitere Informationen dazu finden Sie auf der Seite Daten verschlüsseln. 

Sobald der Befehl ausgeführt ist, enthalten die BLOBs in den Parametern PrivKey und PubKey ein neues Paar Schlüssel zur Verschlüsselung.

Mit dem optionalen Parameter Länge lässt sich die Größe des Schlüssels in Bits festsetzen. Je länger der Schlüssel ist, desto schwieriger lässt sich der Verschlüsselungscode knacken.

Lange Schlüssel benötigen jedoch mehr Zeit zur Ausführung bzw. Beantwortung, insbesondere in einer gesicherten Verbindung.

Ist der Parameter Länge nicht angegeben, wird die Schlüsselgröße standardmäßig auf 512 Bits festgesetzt. Das ist ein guter Kompromiss für das Verhältnis Sicherheit/Effizienz. Für eine höhere Sicherheit können Sie den Schlüssel öfters wechseln, z.B. alle sechs Monate. Sie können auch Schlüssel mit 2048 Bits erstellen, das verlangsamt jedoch den Aufbau der Web Anwendung.

Dieser Befehl erstellt Schlüssel im PKCS Format, die in base64 codiert sind. So kann deren Inhalt ohne Änderung in ein E-Mail kopiert/eingefügt werden. Sobald das Schlüsselpaar erstellt ist, lässt sich ein Textdokument im PEM Format (Privacy Enhanced Mail) herstellen, z.B. mit dem Befehl BLOB TO DOCUMENT. Die Schlüssel können nun an einem sicheren Ort gespeichert werden.

Warnung: Der private Schlüssel sollte immer geheimgehalten werden.

Der Befehl GENERATE ENCRYPTION KEYPAIR verwendet das RSA Verschlüsselungsverfahren. Es beruht auf einem doppelten Verschlüsselungssystem: Einem privaten Schlüssel und einem öffentlichen Schlüssel. Ein öffentlicher Schlüssel kann - wie schon der Name sagt - an Dritte weitergegeben und zum Entschlüsseln von Informationen verwendet werden. Der öffentliche Schlüssel ist mit einem einmaligen privaten Schlüssel verbunden, mit dem die Information verschlüsselt wird. Demzufolge wird der private Schlüssel zum Verschlüsseln und der öffentliche Schlüssel zum Entschlüsseln verwendet, oder umgekehrt. Die mit einem Schlüssel verschlüsselte Information kann nur mit dem anderen Schlüssel entschlüsselt werden.

Die Verschlüsselungsfunktionalitäten des TLS/SSL Protokolls beruhen auf diesem Prinzip. Der öffentliche Schlüssel ist in dem Zertifikat enthalten, das an die Browser gesendet wird. Weitere Informationen dazu finden Sie im Abschnitt WEB SERVICE SET PARAMETER.

Die erste Syntax der Befehle ENCRYPT BLOB und DECRYPT BLOB arbeitet mit demselben Verschlüsselungssystem. Der öffentliche Schlüssel sollte nur auf vertraulicher Basis zugänglich sein. Öffentliche und private Schlüssel von zwei Personen können für die Verschlüsselung auch vermischt werden. Dann kann allein der Empfänger die Information entschlüsseln und allein der Sender diese verschlüsselt haben. Dieses Prinzip ist in der zweiten Syntax von ENCRYPT BLOB und DECRYPT BLOB enthalten.

Siehe Beispiel zum Befehl ENCRYPT BLOB.