Verschlüsselung von Amazon-Redshift-Datenbanken - Amazon Redshift
Verbesserungen des Verschlüsselungsprozesses für höhere Leistung und VerfügbarkeitVerschlüsselung mit AWS KMSVerschlüsselung mithilfe von Hardware-SicherheitsmodulenRotation der Verschlüsselungsschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verschlüsselung von Amazon-Redshift-Datenbanken

Sie können in Amazon Redshift die Datenbankverschlüsselung für Ihre Cluster aktivieren, um Data-at-Rest besser zu schützen. Wenn Sie die Verschlüsselung für einen Cluster aktivieren, werden die Datenblöcke und die Metadaten des Systems für den Cluster und Snapshots des Clusters verschlüsselt.

Sie können die Verschlüsselung aktivieren, wenn Sie Ihren Cluster starten, oder Sie können einen unverschlüsselten Cluster so ändern, dass er die Verschlüsselung AWS Key Management Service (AWS KMS) verwendet. Dazu können Sie entweder einen AWS-verwalteten Schlüssel oder einen vom Kunden verwalteten Schlüssel verwenden. Wenn Sie Ihren Cluster ändern, um die AWS KMS Verschlüsselung zu aktivieren, migriert Amazon Redshift Ihre Daten automatisch auf einen neuen verschlüsselten Cluster. Aus dem verschlüsselten Cluster erstellte Snapshots sind ebenfalls verschlüsselt. Sie können auch einen unverschlüsselten Cluster in einem verschlüsselten Cluster migrieren, indem Sie den Cluster anpassen und die Option Encrypt database (Datenbank verschlüsseln) wählen. Weitere Informationen finden Sie unter Ändern der Verschlüsselung von Clustern.

Die Verschlüsselung in Amazon Redshift ist zwar optional, wir empfehlen jedoch, sie für Cluster mit sensiblen Daten zu aktivieren. Beachten Sie außerdem, dass für Ihre Daten möglicherweise Richtlinien oder Vorschriften gelten, die eine Verschlüsselung obligatorisch machen. Beispielsweise enthalten der Payment Card Industry Data Security Standard (PCIDSS), der Sarbanes-Oxley Act (SOX), der Health Insurance Portability and Accountability Act (HIPAA) und andere derartige Vorschriften Richtlinien für den Umgang mit bestimmten Arten von Daten.

Amazon Redshift verwendet eine Schlüsselhierarchie, um die Datenbank zu verschlüsseln. Sie können entweder AWS Key Management Service (AWS KMS) oder ein Hardware-Sicherheitsmodul (HSM) verwenden, um die Verschlüsselungsschlüssel der obersten Ebene in dieser Hierarchie zu verwalten. Der Prozess, den Amazon Redshift zur Verschlüsselung verwendet, richtet sich danach, wie Sie Schlüssel verwalten. Amazon Redshift integriert sich automatisch mit AWS KMS , aber nicht mit einemHSM. Wenn Sie eine verwendenHSM, müssen Sie Client- und Serverzertifikate verwenden, um eine vertrauenswürdige Verbindung zwischen Amazon Redshift und Ihrem HSM zu konfigurieren.

Verbesserungen des Verschlüsselungsprozesses für höhere Leistung und Verfügbarkeit

Verschlüsselung mit Knoten RA3

Aktualisierungen des Verschlüsselungsprozesses für RA3 Knoten haben die Benutzererfahrung erheblich verbessert. Während des Vorgangs können sowohl Lese- als auch Schreibabfragen ausgeführt werden, wobei die Verschlüsselung weniger Leistungseinbußen verursacht. Außerdem wird die Verschlüsselung viel schneller abgeschlossen. Die aktualisierten Prozessschritte umfassen einen Wiederherstellungsvorgang und die Migration von Cluster-Metadaten zu einem Zielcluster. Die verbesserte Erfahrung gilt beispielsweise für Verschlüsselungstypen wie AWS KMS. Bei Datenvolumen im Petabyte-Bereich wurde die Dauer des Vorgangs von Wochen auf Tage reduziert.

Wenn Sie vor der Verschlüsselung Ihres Clusters weiterhin Datenbank-Workloads ausführen möchten, können Sie die Leistung verbessern und den Prozess beschleunigen, indem Sie Knoten mit elastischer Größenanpassung hinzufügen. Sie können die elastische Größenanpassung nicht verwenden, wenn die Verschlüsselung läuft. Verwenden Sie sie daher vor dem Verschlüsseln. Beachten Sie, dass das Hinzufügen von Knoten in der Regel zu höheren Kosten führt.

Verschlüsselung mit anderen Knotentypen

Wenn Sie einen Cluster mit DC2 Knoten verschlüsseln, können Sie keine Schreibabfragen ausführen, wie dies bei RA3 Knoten der Fall ist. Es können nur Leseabfragen ausgeführt werden.

Nutzungshinweise zur Verschlüsselung mit Knoten RA3

Die folgenden Erkenntnisse und Ressourcen helfen Ihnen, sich auf die Verschlüsselung vorzubereiten und den Prozess zu überwachen.

  • Ausführen von Abfragen nach dem Start der Verschlüsselung – Nach dem Start der Verschlüsselung sind Lese- und Schreibvorgänge innerhalb von etwa fünfzehn Minuten verfügbar. Wie lange es dauert, bis der vollständige Verschlüsselungsprozess abgeschlossen ist, hängt von der Datenmenge im Cluster und den Workload-Ebenen ab.

  • Wie lange dauert die Verschlüsselung? – Wie lange die Verschlüsselung Ihrer Daten dauert, hängt von mehreren Faktoren ab: Dazu gehören die Anzahl der laufenden Workloads, die verwendeten Rechenressourcen sowie die Anzahl und die Art der Knoten. Wir empfehlen, die Verschlüsselung zunächst in einer Testumgebung durchzuführen. Als Faustregel gilt: Wenn Sie mit Datenvolumen im Petabyte-Bereich arbeiten, kann es wahrscheinlich 1–3 Tage dauern, bis die Verschlüsselung abgeschlossen ist.

  • Woher weiß ich, dass die Verschlüsselung abgeschlossen ist? — Nachdem Sie die Verschlüsselung aktiviert haben, bestätigt der Abschluss des ersten Snapshots, dass die Verschlüsselung abgeschlossen ist.

  • Zurücksetzen der Verschlüsselung – Wenn Sie den Verschlüsselungsvorgang rückgängig machen müssen, ist es am besten, die Wiederherstellung anhand des letzten Backups durchzuführen, das vor der Initiierung der Verschlüsselung erstellt wurde. Sie müssen alle neuen Updates (Aktualisierungen/Löschungen/Einfügungen) nach dem letzten Backup erneut anwenden.

  • Durchführen einer Tabellenwiederherstellung – Beachten Sie, dass Sie eine Tabelle aus einem unverschlüsselten Cluster nicht in einem verschlüsselten Cluster wiederherstellen können.

  • Verschlüsselung eines Clusters mit einem Knoten – Die Verschlüsselung eines Clusters mit einem Knoten ist mit Leistungseinschränkungen verbunden. Dieser Vorgang dauert länger als die Verschlüsselung eines Clusters mit mehreren Knoten.

  • Erstellen eines Backups nach der Verschlüsselung – Wenn Sie die Daten in Ihrem Cluster verschlüsseln, wird erst dann ein Backup erstellt, wenn der Cluster vollständig verschlüsselt ist. Der Zeitaufwand dafür kann variieren. Die für das Backup benötigte Zeit kann je nach Clustergröße Stunden bis Tage betragen. Nach Abschluss der Verschlüsselung kann es zu einer Verzögerung kommen, bevor Sie ein Backup erstellen können.

    Beachten Sie, dass Tabellen oder Materialized Views, die mit erstellt wurden, BACKUP NO nicht beibehalten werden, da während des Verschlüsselungsvorgangs ein Vorgang ausgeführt wird. backup-and-restore Weitere Informationen finden Sie unter CREATETABLEoder CREATEMATERIALIZEDVIEW.

Themen

Verschlüsselung mit AWS KMS

Wenn Sie sich AWS KMS für die Schlüsselverwaltung mit Amazon Redshift entscheiden, gibt es eine vierstufige Hierarchie von Verschlüsselungsschlüsseln. Bei diesen Schlüsseln handelt es sich in hierarchischer Reihenfolge um den Stammschlüssel, einen Cluster-Verschlüsselungsschlüssel (CEK), einen Datenbank-Verschlüsselungsschlüssel (DEK) und Datenverschlüsselungsschlüssel.

Wenn Sie Ihren Cluster starten, gibt Amazon Redshift eine Liste der Cluster zurück AWS KMS keys , die Ihr AWS Konto erstellt hat oder zu deren Verwendung Ihr Konto berechtigt ist. AWS KMS Sie wählen einen KMS Schlüssel aus, der als Stammschlüssel in der Verschlüsselungshierarchie verwendet werden soll.

Standardmäßig verwendet Amazon Redshift Ihren Standardschlüssel als Root-Schlüssel. Ihr Standardschlüssel ist ein AWS verwalteter Schlüssel, der für Ihr AWS Konto zur Verwendung in Amazon Redshift erstellt wurde. AWS KMS erstellt diesen Schlüssel, wenn Sie zum ersten Mal einen verschlüsselten Cluster in einer AWS Region starten und den Standardschlüssel wählen.

Wenn Sie den Standardschlüssel nicht verwenden möchten, müssen Sie einen separat vom Kunden verwalteten KMS Schlüssel haben (oder erstellen), AWS KMS bevor Sie Ihren Cluster in Amazon Redshift starten. Vom Kunden verwaltete Schlüssel gewähren Ihnen größere Flexibilität, einschließlich der Möglichkeit, eine Zugriffssteuerung zu erstellen, zu rotieren, zu deaktivieren und zu definieren sowie die Verschlüsselungsschlüssel zu prüfen, um Ihre Daten besser zu schützen. Weitere Informationen zum Erstellen von KMS Schlüsseln finden Sie unter Creating Keys im AWS Key Management Service Developer Guide.

Wenn Sie einen AWS KMS Schlüssel von einem anderen AWS Konto verwenden möchten, müssen Sie über die Berechtigung zur Verwendung des Schlüssels verfügen und seinen Amazon-Ressourcennamen (ARN) in Amazon Redshift angeben. Weitere Informationen zum Zugriff auf Schlüssel finden Sie unter Steuern des Zugriffs auf Ihre Schlüssel im AWS Key Management Service Entwicklerhandbuch. AWS KMS

Nachdem Sie einen Root-Schlüssel ausgewählt haben, fordert Amazon Redshift an, einen Datenschlüssel AWS KMS zu generieren und ihn mit dem ausgewählten Root-Schlüssel zu verschlüsseln. Dieser Datenschlüssel wird wie CEK in Amazon Redshift verwendet. AWS KMS exportiert das Verschlüsselte CEK nach Amazon Redshift, wo es intern auf der Festplatte in einem vom Cluster getrennten Netzwerk gespeichert wird, zusammen mit der Zuteilung des KMS Schlüssels und dem Verschlüsselungskontext für. CEK Nur das Verschlüsselte CEK wird nach Amazon Redshift exportiert; der KMS Schlüssel bleibt drin AWS KMS. Amazon Redshift leitet die verschlüsselten Daten auch CEK über einen sicheren Kanal an den Cluster weiter und lädt sie in den Arbeitsspeicher. Dann ruft Amazon Redshift AWS KMS zum Entschlüsseln auf CEK und lädt das Entschlüsselte in den SpeicherCEK. Weitere Informationen zu Zuschüssen, Verschlüsselungskontext und anderen AWS KMS verwandten Konzepten finden Sie unter Konzepte im AWS Key Management Service Entwicklerhandbuch.

Als Nächstes generiert Amazon Redshift nach dem Zufallsprinzip einen Schlüssel, der als der verwendet wird, DEK und lädt ihn in den Speicher des Clusters. Das Entschlüsselte CEK wird verwendet, um das zu verschlüsselnDEK, das dann über einen sicheren Kanal vom Cluster weitergeleitet wird, um intern von Amazon Redshift auf einer Festplatte in einem vom Cluster getrennten Netzwerk gespeichert zu werden. Wie bei der CEK werden sowohl die verschlüsselte als auch die entschlüsselte Version von in den DEK Speicher des Clusters geladen. Die entschlüsselte Version von DEK wird dann verwendet, um die einzelnen Verschlüsselungsschlüssel zu verschlüsseln, die für jeden Datenblock in der Datenbank nach dem Zufallsprinzip generiert werden.

Wenn der Cluster neu gestartet wird, beginnt Amazon Redshift mit den intern gespeicherten, verschlüsselten Versionen von CEK undDEK, lädt sie erneut in den Speicher und ruft dann erneut auf, AWS KMS um sie CEK mit dem KMS Schlüssel zu entschlüsseln, damit sie in den Speicher geladen werden können. Das Entschlüsselte CEK wird dann verwendet, um es DEK erneut zu entschlüsseln, und das Entschlüsselte DEK wird in den Speicher geladen und verwendet, um die Datenblockschlüssel nach Bedarf zu ver- und entschlüsseln.

Weitere Informationen zum Erstellen von Amazon Redshift Redshift-Clustern, die mit AWS KMS Schlüsseln verschlüsselt sind, finden Sie unterErstellen eines Clusters.

Kopieren von AWS KMS—verschlüsselten Snapshots in eine andere Region AWS

AWS KMS Schlüssel sind spezifisch für eine AWS Region. Wenn Sie das Kopieren von Amazon Redshift-Snapshots in eine andere AWS Region aktivieren und der Quell-Cluster und seine Snapshots mit einem Root-Schlüssel von verschlüsselt sind AWS KMS, müssen Sie eine Genehmigung für Amazon Redshift konfigurieren, um einen Root-Schlüssel in der Zielregion zu verwenden. AWS Dieser Zuschuss ermöglicht es Amazon Redshift, Snapshots in der Zielregion zu verschlüsseln. AWS Weitere Informationen zum regionenübergreifenden Kopieren von Snapshots finden Sie unter Einen Snapshot in einen anderen kopieren AWS Region.

Anmerkung

Wenn Sie das Kopieren von Snapshots aus einem verschlüsselten Cluster und deren Verwendung AWS KMS für Ihren Root-Schlüssel aktivieren, können Sie Ihren Cluster nicht umbenennen, da der Clustername Teil des Verschlüsselungskontextes ist. Wenn Sie Ihren Cluster umbenennen müssen, können Sie das Kopieren von Snapshots in der AWS Quellregion deaktivieren, den Cluster umbenennen und dann das Kopieren von Snapshots erneut konfigurieren und aktivieren.

Der Prozess zum Konfigurieren der Berechtigung zum Kopieren von Snapshots sieht wie folgt aus.

  1. Gehen Sie wie folgt vor, um in der AWS Zielregion eine Genehmigung für Snapshot-Kopien zu erstellen:

    • Wenn Sie noch keinen AWS KMS Schlüssel haben, den Sie verwenden können, erstellen Sie einen. Weitere Informationen zum Erstellen von AWS KMS Schlüsseln finden Sie unter Schlüssel erstellen im AWS Key Management Service Entwicklerhandbuch.

    • Geben Sie einen Namen für die Berechtigung zum Kopien von Snapshots an. Dieser Name muss in dieser AWS Region für Ihr AWS Konto eindeutig sein.

    • Geben Sie die AWS KMS Schlüssel-ID an, für die Sie den Zuschuss erstellen. Wenn Sie keine Schlüssel-ID angeben, wird die Berechtigung für Ihren Standardschlüssel übernommen.

  2. Aktivieren Sie in der AWS Quellregion das Kopieren von Snapshots und geben Sie den Namen des Snapshot-Kopierzuschusses an, den Sie in der AWS Zielregion erstellt haben.

Dieser vorherige Vorgang ist nur erforderlich, wenn Sie das Kopieren von Snapshots mit Amazon Redshift oder API aktivieren. AWS CLI SDKs Wenn Sie die Konsole verwenden, stellt Amazon Redshift den richtigen Workflow zum Konfigurieren der Berechtigung bereit, wenn Sie das regionenübergreifende Kopieren von Snapshots aktivieren. Weitere Informationen zum Konfigurieren von regionenübergreifenden Snapshot-Kopien für AWS KMS-verschlüsselte Cluster unter Verwendung der Konsole finden Sie unter Konfiguration einer regionsübergreifenden Snapshot-Kopie für eine AWS KMS— verschlüsselter Cluster.

Bevor der Snapshot in die AWS Zielregion kopiert wird, entschlüsselt Amazon Redshift den Snapshot mithilfe des Stammschlüssels in der AWS Quellregion und verschlüsselt ihn vorübergehend erneut mit einem zufällig generierten RSA Schlüssel, den Amazon Redshift intern verwaltet. Amazon Redshift kopiert dann den Snapshot über einen sicheren Kanal in die AWS Zielregion, entschlüsselt den Snapshot mit dem intern verwalteten RSA Schlüssel und verschlüsselt den Snapshot dann erneut mit dem Stammschlüssel in der Zielregion. AWS

Verschlüsselung mithilfe von Hardware-Sicherheitsmodulen

Wenn Sie es nicht AWS KMS für die Schlüsselverwaltung verwenden, können Sie ein Hardware-Sicherheitsmodul (HSM) für die Schlüsselverwaltung mit Amazon Redshift verwenden.

Wichtig

HSMVerschlüsselung wird für DC2 RA3 Knotentypen nicht unterstützt.

HSMssind Geräte, die eine direkte Steuerung der Schlüsselgenerierung und -verwaltung ermöglichen. Sie bieten eine höhere Sicherheit, da die Schlüsselverwaltung getrennt von den Anwendungs- und Datenbankebenen erfolgt. Amazon Redshift unterstützt AWS CloudHSM Classic für die Schlüsselverwaltung. Der Verschlüsselungsprozess ist anders, wenn Sie stattdessen HSM zur Verwaltung Ihrer Verschlüsselungsschlüssel verwenden. AWS KMS

Wichtig

Amazon Redshift unterstützt nur AWS CloudHSM Classic. Wir unterstützen den neueren AWS CloudHSM Service nicht.

AWS CloudHSM Classic ist für Neukunden geschlossen. Weitere Informationen finden Sie unter Cloud HSM Classic-Preise. AWS CloudHSM Classic ist nicht in allen AWS Regionen verfügbar. Weitere Informationen zu den verfügbaren AWS Regionen finden Sie AWS in der Regionentabelle.

Wenn Sie Ihren Cluster für die Verwendung eines konfigurierenHSM, sendet Amazon Redshift eine Anfrage an den, um einen Schlüssel HSM zu generieren und zu speichern, der CEK als verwendet werden soll. Im Gegensatz AWS KMS dazu exportiert der HSM das jedoch nicht CEK nach Amazon Redshift. Stattdessen generiert Amazon Redshift die nach dem Zufallsprinzip DEK im Cluster und übergibt sie HSM an den, der verschlüsselt werden soll. CEK Das HSM gibt das Verschlüsselte DEK an Amazon Redshift zurück, wo es mit einem zufällig generierten internen Root-Schlüssel weiter verschlüsselt und intern auf der Festplatte in einem vom Cluster getrennten Netzwerk gespeichert wird. Amazon Redshift lädt auch die entschlüsselte Version des In-Speichers DEK in den Cluster, sodass der zum Verschlüsseln und Entschlüsseln der einzelnen Schlüssel für die Datenblöcke verwendet werden DEK kann.

Wenn der Cluster neu gestartet wird, entschlüsselt Amazon Redshift die intern gespeicherten, doppelt verschlüsselten Daten DEK mithilfe des internen Stammschlüssels, um die intern gespeicherten Daten wieder in den Zustand -verschlüsselt zu versetzen. DEK CEK Das CEK -encrypted DEK wird dann an das HSM zu entschlüsselnde und zurück an Amazon Redshift übergeben, wo es erneut in den Speicher geladen werden kann, um es mit den einzelnen Datenblockschlüsseln zu verwenden.

Konfiguration einer vertrauenswürdigen Verbindung zwischen Amazon Redshift und einem HSM

Wenn Sie sich HSM für die Verwaltung Ihres Clusterschlüssels entscheiden, müssen Sie eine vertrauenswürdige Netzwerkverbindung zwischen Amazon Redshift und Ihrem HSM konfigurieren. Hierzu müssen Client- und Serverzertifikate konfiguriert werden. Die vertrauenswürdige Verbindung wird verwendet, um die Verschlüsselungsschlüssel zwischen HSM und Amazon Redshift während Verschlüsselungs- und Entschlüsselungsvorgängen zu übergeben.

Amazon Redshift erstellt anhand eines nach dem Zufallsprinzip erzeugten privaten und öffentlichen Schlüsselpaars ein öffentliches Clientzertifikat. Dieses Schlüsselpaar wird verschlüsselt und intern gespeichert. Sie laden das öffentliche Client-Zertifikat herunterHSM, registrieren es in Ihrem und weisen es der entsprechenden HSM Partition zu.

Sie stellen Amazon Redshift die HSM IP-Adresse, den HSM Partitionsnamen, das HSM Partitionspasswort und ein öffentliches HSM Serverzertifikat zur Verfügung, das mit einem internen Root-Schlüssel verschlüsselt wird. Amazon Redshift schließt den Konfigurationsprozess ab und überprüft, ob eine Verbindung zum hergestellt werden kann. HSM Wenn dies nicht möglich ist, wird der Cluster in den HSM Status INCOMPATIBLE _ versetzt und der Cluster wird nicht erstellt. Wenn dies der Fall ist, müssen Sie den unvollständigen Cluster löschen und den Vorgang wiederholen.

Wichtig

Wenn Sie Ihren Cluster so ändern, dass er eine andere HSM Partition verwendet, überprüft Amazon Redshift, ob er eine Verbindung mit der neuen Partition herstellen kann, überprüft jedoch nicht, ob ein gültiger Verschlüsselungsschlüssel vorhanden ist. Um diese andere Partition verwenden zu können, müssen Sie Ihre Schlüssel in die neue Partition replizieren. Wenn der Cluster neu gestartet wird und Amazon Redshift keinen gültigen Schlüssel findet, schlägt der Neustart fehl. Weitere Informationen finden Sie unter Schlüssel übergreifend replizieren. HSMs

Wenn Amazon Redshift nach der Erstkonfiguration keine Verbindung zu dem herstellen kannHSM, wird ein Ereignis protokolliert. Weitere Informationen zu diesen Ereignissen finden Sie unter Amazon-Redshift-Ereignisbenachrichtigungen.

Rotation der Verschlüsselungsschlüssel

Sie können in Amazon Redshift Verschlüsselungsschlüssel für verschlüsselte Cluster rotieren. Wenn Sie den Schlüsselrotationsprozess starten, rotiert Amazon Redshift die CEK für den angegebenen Cluster und für alle automatisierten oder manuellen Snapshots des Clusters. Amazon Redshift rotiert auch die DEK für den angegebenen Cluster, kann die DEK für die Snapshots jedoch nicht rotieren, solange sie intern in Amazon Simple Storage Service (Amazon S3) gespeichert und mit dem vorhandenen verschlüsselt sind. DEK

Während der Rotation wird der Cluster bis zum Abschluss in den KEYS Status ROTATING _ versetzt. Zu diesem Zeitpunkt kehrt der Cluster in den Status zurück. AVAILABLE Amazon Redshift verarbeitet die Entschlüsselung und Neuverschlüsselung während der Schlüsselrotation.

Anmerkung

Bei Snapshots ohne Quellcluster können die Schlüssel nicht rotiert werden. Wenn Sie einen Cluster löschen möchten, überlegen Sie zuerst, ob für die zugehörigen Snapshots die Schlüssel rotiert werden müssen.

Da der Cluster während des Rotierens der Schlüssel kurzweilig nicht verfügbar ist, sollten Sie die Schlüssel nur so oft rotieren, wie es die Anforderungen an Ihre Daten erforderlich machen, oder wenn Sie den Verdacht haben, dass die Schlüssel möglicherweise kompromittiert wurden. es hat sich als Methode bewährt, zu überprüfen, welche Arten von Daten gespeichert werden, und zu planen, wie häufig die Schlüssel zur Verschlüsselung dieser Daten rotiert werden sollen. Die Häufigkeit von Schlüsselrotationen richtet sich nach Ihren Unternehmensrichtlinien zur Datensicherheit, nach den Industriestandards für sensible Daten sowie nach der erforderlichen Konformität gegenüber geltenden Vorschriften. Stellen Sie sicher, dass in Ihrem Plan ein sorgfältig abgewogen wird zwischen Sicherheitsanforderungen einerseits und Aspekten der Verfügbarkeit Ihres Clusters andererseits.

Weitere Hinweise zum Drehen von Schlüsseln finden Sie unterRotierende Verschlüsselungsschlüssel.