Strategia per la crittografia prima dello storage cloud

Question

Strategia per la crittografia prima dello storage cloud

#1 da (1 voti)

1

Ci scusiamo se è stato chiesto in precedenza.

Sto cercando di crittografare i documenti prima di archiviarli nel cloud.

Ci sarà una memoria separata per i metadati, che potrebbe essere interna o ospitata sul cloud.

La mia strategia sarebbe quella di generare una nuova chiave simmetrica per ogni documento (o un gruppo di documenti se la generazione di chiavi è costosa), e quindi per crittografare la chiave utilizzata con un'altra chiave "globale" (simmetrica o asimmetrica) e registrarla crittografata chiave nella memoria dei metadati.

I documenti sono sicuri fino a quando la chiave globale non viene compromessa, ma potrebbe semplificare la gestione delle chiavi poiché la modifica della chiave globale implica la ricodifica della chiave utilizzata solo nei metadati, piuttosto che dover codificare il documento ospitato nel cloud.

Questa sembra una strategia sensata, o ce n'è una migliore che potresti raccomandare?

storage encryption key-management

posta toolkit 08.04.2015 - 01:10

fonte

1 risposta

Leggi altre domande sui tag storage encryption key-management

Impostazione di una rete Ad-Hoc sicura Rilevamento VPN con client installato [chiuso]

score 1 · Answer 1

Per prima cosa, non è un problema utilizzare una chiave simmetrica diversa per ogni documento, la generazione è semplice, basta generare una stringa casuale da 16-64 byte, una questione di un millisecondo (soprattutto).

Come minacce credo che consideri il tuo hoster su cloud e chiunque riesca a mettere le mani sui documenti.

L'approccio che proponi dovrebbe funzionare.
Il documento deve essere crittografato e autenticato utilizzando una modalità AEAD come AES-GCM.
Aggiungi un'intestazione (che può essere archiviata nella memoria dei metadati, indipendentemente da dove), che è autenticata e crittografata (utilizzando una modalità AEAD come AES-GCM) usando la tua chiave master.

Scenario 1: lo fai per l'accesso personale. È possibile memorizzare i metadati localmente o nel cloud, non farà la differenza.
È necessario utilizzare la derivazione della chiave basata su password per ricavare la chiave master dalla propria password. La chiave master sarà simmetrica e verrà utilizzata per crittografare + autenticare / decodificare + verificare l'intestazione del file.

Scenario 2: lo fai per un'azienda o un gruppo più ampio di persone. Dovresti andare con il cloud-hosting dei meta-dati in modo che tutti possano accedere, se necessario.
Memorizzi l'intestazione crittografata come descritto sopra.
Dare a tutti una copia della chiave master, in modo che possano crittografarla utilizzando la propria password (sempre usando la crittografia autenticata + PBKDF)