Un modo semplice per crittografare i file su Linux e decrittografarli su Windows?

12

Abbiamo bisogno di un processo di crittografia per backup di dati molto preziosi. Questi dati verranno archiviati su un filesystem distribuito, quindi anche con le autorizzazioni impostate correttamente, non è fuori dalla portata che questi dati vengono copiati o letti. Sto cercando un metodo abbastanza semplice per crittografare gli archivi tar e solo averli leggibili da tre persone.

Dopo molte ricerche, vorrei sapere se GPG può essere utilizzato con chiavi di lunghezza ragionevole (chiavi pub / priv) o se uno schema di crittografia simmetrica sarebbe altrettanto sicuro. Sto favorendo un approccio a chiave pubblica perché posso automatizzare la crittografia senza memorizzare la password.

Le chiavi private o la password possono essere trasferite ragionevolmente al di fuori della banda e vorrei che i dati fossero illeggibili senza le chiavi per l'archiviazione a lungo termine.

Modifica : immagino che il grosso problema con i backup accessibili pubblicamente sia la chiave. Non voglio che i dati siano leggibili in cinque anni. Anche andare a 2048 bit non mi garantisce che un ricercatore intelligente non si presenta con un nuovo attacco.

Suppongo che se avessi bisogno di almeno 20 anni, 4096 o anche 8192 bit sono ragionevoli?

Anche l'entropia per la generazione è un fattore che sto osservando, ma ho una fonte di casualità abbastanza buona (non un PRNG) e sto solo verificando come GPG può usarlo.

Qualunque altra cosa che devo considerare?

Modifica II : il pubblico di destinazione sono io e due colleghi, quindi presumo che dopo aver consultato un HowTo scritto da me, gli altri due saranno in grado di utilizzare GPG4Win.

Sto cercando di proteggere dagli utenti che leggono i file, ovviamente. I file saranno semi-disponibili per un pubblico più ampio (si pensi a una rete aziendale in cui ogni workstation è parzialmente parte di un filesystem replicato distribuito come GlusterFS). Devo anche proteggere l'integrità dei file, non tanto la loro disponibilità (Gluster si prende cura di questo).

    
posta josen 07.06.2011 - 14:18
fonte

2 risposte

12

GnuPG è davvero la strada da percorrere. Una build di Windows esiste presso Gpg4win .

L'uso di chiavi asimmetriche significa che qualunque cosa crittografa i dati (il sistema di backup) non ha bisogno di conoscere alcun elemento di dati privato , quindi il suo compromesso non consente a un utente malintenzionato di decrittografare i backup precedenti. Inoltre, puoi crittografare l'archivio relativamente a diverse chiavi pubbliche (questo non ingrandirà i dati di molto), consentendo così di "revocare" potenzialmente le persone (se decidi che una delle tue tre persone dovrebbe non è più possibile decodificare i backup, basta interrompere la crittografia dei backup per quanto riguarda la sua chiave pubblica, senza dover cambiare nulla per gli altri due).

    
risposta data 07.06.2011 - 14:39
fonte
2

Affinché i file siano leggibili da tre individui, i tre sarebbero

1) ha bisogno della stessa chiave (il che significa che è possibile utilizzare la crittografia simmetrica o asimmetrica) 2) utilizzare chiavi separate con copie dei file crittografati per ciascun utente - NB Vedi anche la risposta di Thomas - sembra suggerire che GPG supporti la crittografia di più target, anche se non mi è familiare. 3) usa la stessa chiave ma con tre copie usando differenti passphrase

In alternativa potresti usare un algoritmo di crittografia del quorum (con una sufficienza minima di 1) - ma non conosco alcun prodotto che implementa questo, per non parlare del software compatibile per piattaforme diverse.

Potresti anche dare un'occhiata ai Certificati SSL howto che descrive come usare x509 certificati per la crittografia / decrittografia dei file (simile a GPG ma con una migliore gestione centralizzata delle chiavi).

HTH

    
risposta data 07.06.2011 - 14:55
fonte

Leggi altre domande sui tag