Si consiglia di consigliare i migliori documenti per condividere i dati crittografati con utenti finali non tecnici

2

Esistono uno o più documenti di "buone pratiche" che coprono in un linguaggio semplice e chiaro come condividere i dati tra un personale di supporto non tecnico e utenti non tecnici di varie organizzazioni?

La nostra situazione: disponiamo di personale tecnico esperto in crittografia, PKI, utilizzo chiave e gestione delle chiavi. E personale non tecnico che non lo è.

Abbiamo mandati / richieste per lo scambio di dati crittografati con gli utenti finali. Sul lato scontrino, offriamo una chiave PGP pubblica e possiamo decodificare i dati localmente in un ambiente sicuro. Incoraggiamo (ma non richiediamo) utenti a crittografare i dati inviati a noi.

Questa domanda sorge sul lato mittente. I clienti e gli ambienti normativi variano (finanza, energia, sanità, servizi, governo), così come le piattaforme degli utenti finali (principalmente PC, alcuni Mac, altri).

Mi sto orientando verso due suggerimenti:

  1. Il client crea, se necessario, una coppia di chiavi PGP e condivide la chiave pubblica con noi. Noi criptiamo i dati contro questo, li spediamo con mezzi appropriati e decifrano i dati.
  2. Utilizziamo uno strumento di crittografia a chiave simmetrica appropriato e accettabile (ad esempio: file WinZIP) e condividiamo la password fuori banda.

Non dover generare tutto il testo pertinente sarebbe un bonus.

Ciò che ho trovato sono riferimenti che non sono particolarmente rilevanti perché:

  • Sono molto datati (anni '90 / primi anni 2000), riferimenti tecnici PGP / GPG.
  • Sono più recenti, ma generalmente riferimenti specifici per Linux / Ubuntu (usa 'em, come' em, ma la maggior parte dei nostri utenti si trova altrove).
  • Non rispondono al caso di necessità aziendali o all'importanza della gestione delle chiavi per PKI nella lingua che è probabile che un utente finale comprenda.
posta Dr. Edward Morbius 24.07.2012 - 21:44
fonte

3 risposte

2

Modifica: ha interpretato erroneamente la tua domanda. La mia soluzione originale era come possono fornirti crittografati, vuoi come inviare loro un file crittografato ...

Direi che SFTP è un'opzione; una volta sul loro capo, dovrebbe essere loro la responsabilità di assicurarlo. Se il server è protetto, l'ounous è su di essi una volta ottenuto il file o dovrebbero specificare cosa funziona per loro. Allo stesso tempo, se hai fatto qualcosa di veramente conveniente da usare potresti essere in grado di ottenere una soluzione dalla tua parte.

Potresti provare la suite desktop PGP che può creare file e zip sicuri. Se ti interessa davvero della sicurezza, non utilizzerai le password di base di winzip: dovrai comunque utilizzare le coppie di chiavi o scambiare una chiave symetics. Vorrei anche raccomandare di provare TrueCrypt. Puoi farlo con una password o con keypair. Poiché TrueCrypt può essere eseguito in modalità "viaggiatore" senza installazione, è possibile precaricarlo con le chiavi private necessarie per aprire i file e inviare loro la versione pre-caricata (l'open source è quindi tutto a posto). Avrebbero solo bisogno di montare il vero archivio criptato che li hai inviati e funzionano con esso proprio come se fosse un disco. Probabilmente potresti anche installare uno script sul loro lato in modo che trascinino un contenitore di TrueCrypt sul file batch e lo monti automaticamente con la coppia di chiavi.

Potrebbero esserci anche alcuni crittografi / packer autoestraenti là fuori dove eseguono semplicemente l'eseguibile. In definitiva, però, non è possibile controllare la politica su sistemi di entità esterne e probabilmente copieranno i file altrove e dovrebbe essere loro responsabilità mantenerli protetti una volta ricevuti (a meno che non si abbiano requisiti contrattuali diversi).

Lasciando la risposta originale per altri che potrebbero passare un giorno:

Una cosa che potresti provare è SFTP. Non sono sicuro se hai bisogno di crittografia a riposo, ma puoi gestirlo utilizzando uno script quando i file arrivano o i file di archiviazione del server in un disco crittografato. Fornisci agli utenti finali WinSCP (presumo che chiunque lavori su Linux sia abbastanza tecnico da fare ciò che vuoi), distribuisca la chiave, dia loro un nome utente e una password. Probabilmente potresti scrivere anche un documento di una pagina. Questa è la soluzione che di solito raccomando e raccomando a un cliente in passato che ha dovuto ottenere molti file di dati dai propri clienti.

Trovo che molte organizzazioni usino l'FTP regolare, quindi l'SFTP sembra simile; winscp o persino Filezilla sono simili a un file system e hanno il drag and drop. Ogni utente può avere una cartella di rilascio, ecc; puoi forzare le modifiche chiave e le modifiche della password su un intervallo. Il software sul lato utente è gratuito.

Potresti anche provare a convincerli a comprare oa pagare il conto per qualcosa come gli strumenti desktop PGP e fargli creare contenitori e inviarli via email ... ma probabilmente avranno ancora il file in chiaro sulla loro parte, quindi non qualsiasi protezione reale sul client. Puoi gestire la sicurezza come vuoi quando ricevi il file.

    
risposta data 25.07.2012 - 06:20
fonte
1

Faccio il modo in cui, su due postazioni fisicamente sicure, ho configurato i server cloud con un sito Web HTTPS che consente il caricamento e il download di file e sul backend c'è OpenSSL con un keystore pubblico. Tale servizio non è rivolto a Internet tranne che per la copia di file crittografata. Ci sono anche molti altri livelli di sicurezza sulla macchina e le restrizioni di sicurezza per gli utenti sono applicate con SQL Security o LDAP.

Le appliance scambiano dati solo per l'archivio crittografato, mentre la chiave viene copiata una sola volta.

Il server o l'account possono essere semplicemente isolati per loro, creati sul tuo, sul cloud o sul loro server, e questo ti aiuta ad evitare la maggior parte delle difficoltà tecniche.

Fondamentalmente è richiesta la memoria isolata, per la quale esiste localizzazione fisica, server cloud separato, account UNIX / Windows isolato, dati SQL isolati, file system isolato tramite utente, criteri di rete / firewall limitati, gestione utenti / gruppi.

Almeno occorrono almeno due server, uno contenente la chiave privata utilizzata per la crittografia e l'altro che contiene la chiave per la crittografia eseguita dal cliente.

Copiando i dati uno da un altro si scambiano solo i dati crittografati.

Inalternativa,nonèdifficilecreareappdesktopmultipiattaformaC#/Javapergestirelagestionedellechiavieilcaricamento/scaricamentodeifile(sincronizzazionedell'archiviocrittografato).

AncheFlashèmultipiattaforma,funzionadirettamenteconilserverwebegestiscegliupload/downloaddifilecomeiPlayerDesktop,ancheivideosonocriptati.ÈAIRepuoicollegarestrumentiesternicomeOpenSSL.

Ora,selovuoidavverodifantasia,ehaiminiatureecosìvia,haibisognodibrowserdidocumenti,generatorediminiatureecosìvia,quindic'èunnumeromaggioredifile,maquestoèfattibilein2-3settimaneinclusoAdobeeFormatidiOfficeinuso,ivideopossonoesseregestiticonffmpegeanchequestimetadatidevonoesserecrittografati.

Ancorapuoitrovareun'appsimilechefalostesso.LasincronizzazionedeifilepotrebbeesseresemplicecomecartellasuSSH.Sehaibisognoditrasferimentidifiledigrandidimensioni,questopuòessereancorapiùutile,eseutilizziuncloudstorageserio,puoiriempireterrabytes(ancheconquestaappflash,a30-100MBps).

    
risposta data 25.07.2012 - 08:39
fonte
0

Onestamente, la soluzione migliore che ho trovato è questa. Configuriamo un programma di posta per funzionare normalmente. L'altro era completamente configurato per eseguire la crittografia dell'e-mail per l'individuo. Non dovevano sapere nulla. Crypto è astratto. È rivestito di tecnologia (magia) e la maggior parte delle persone non vuole provare a capirlo se non è necessario. Invece di cercare di forzarli a dar da mangiare a chateau brion (sp?), Trova un modo per fare questa funzione per loro. Pensa all'automazione. Fornire una distribuzione live preconfigurata di linux che non è altro che il clic sulle icone. Lo scripting è tuo amico.

    
risposta data 25.07.2012 - 06:20
fonte

Leggi altre domande sui tag