Hallo Felix,

das klingt dermaßen verschwurbelt, dass die Idee aus dem Dunstkreis von Schule zu kommen scheint. Liege ich da richtig?

Nein, einfach ein "ganz normales" Industrieunternehmen, nur eben mit Kollegen mit verrückten Ideen.

Die Daten müssen in jedem Fall schon komplett unleserlich in der Datenbank gespeichert sein, damit auch Administratoren die daten nicht aus der Tabelle lesen können.

Das wird schwierig. Wenn es da Administratoren gibt, können die auf alles zugreifen. Wenn der gemeinsame Schlüssel für die Admins nicht erreichbar sein darf, dann darf er auch nicht auf dem Server gespeichert werden.

Für einen für jeden Benutzer individuellen Passwortresor habe ich es so gelöst, dass der Mitarbeiter ein Masterkennwort eingibt, das nicht gespeichert wird. Mit diesem verschlüsselt er seine eigentlichen Passwörter. Wenn er sein Masterpasswort vergisst, sind die Daten nicht mehr (in sinnvoller Zeit) zu retten. Aber der Admin kann auch nichts mehr sehen.

Bei zwei Leuten funktioniert es auch, wenn sie sich das Masterpasswort austauschen, aber mit mehreren Leuten und unterschiedlichen Berechtigungen klappt das nicht mehr.

Mit privatem Schlüssel und n öffentlichen Schlüsseln der jeweils Berechtigten ist es auch schwierig. Vorallem wenn einer wechselt.

Warum dürfen die Admins die Daten nicht einsehen können?

Im aktuellen Fall soll es bspw. um Gehälter gehen. Und die gehen auch den Admin nichts an.

LG Klaus