Soluzioni per decrittografare i dati sull'accesso

1

Voglio memorizzare i dati sensibili sul mio server linux (pubblico). Inoltre, voglio essere in grado di accedere ai dati da diverse posizioni e diversi OS senza problemi. Ho pensato di usare una (semplice) forma web, magari anche una condivisione di samba che è nascosta dietro una VPN. Poiché desidero accedere ai dati in modo molto scarsamente utile, preferirei anche un sistema in cui i dati sono sempre crittografati e decifrati solo se desidero accedervi.

La maggior parte delle soluzioni per la crittografia dei dati che ho trovato non sembrano soddisfare il secondo criterio: il modo in cui ho capito sistemi come LUKS o EncFS, di solito contengono una copia decifrata dei file. Inoltre, mi piacerebbe avere un sistema snello, che non arriva con molto overhead. Probabilmente Owncloud farebbe qualcosa di simile a quello che sto cercando, ma ha anche molta amministrazione.

Dopo aver riflettuto sul problema qualche volta mi è venuta in mente la seguente idea:

Codifica

  • Cifra i dati usando una chiave casuale e EncFS
  • Cripta la chiave utilizzando RSA e il mio certificato pubblico e inseriscilo in un sito Web (pubblico?).
  • Dimentica la chiave.

di accesso ai dati

  • Apri il sito web e copia e incolla il codice
  • Decrittografa la chiave usando un certificato privato e una smart-card
  • Inserisci la chiave decrittografata in una casella di testo sul sito web
  • Ora uno script monta l'EncFs-Volume in una condivisione samba (vedi sopra) o in una directory della pagina web che è protetta usando .htaccess.

Quanto sarebbe sicuro un tale sistema? Suppongo che la parte critica sia quella in cui i dati sono decifrati, ma accessibili. Le mie domande ora sono le seguenti:

  • Ho trascurato qualcosa nel sistema che genera problemi di sicurezza?
  • Quanto è sicura la protezione .htaccess su un server Web nginx? Ci sono modi per migliorare la parte in cui accedo ai file?
  • Se ci dovessero essere soluzioni esistenti al mio problema che non ho trovato, per favore dimmelo.

In attesa di tue notizie!

    
posta check0104 04.05.2015 - 13:49
fonte

1 risposta

0

Un paio di suggerimenti:

  • L'utilizzo di SAMBA riduce significativamente la sicurezza. per quello che proponete SSH sarebbe una soluzione migliore (quando si utilizzano le chiavi pubbliche)
  • nginx NON usa .htaccess (e htaccess è orribile per prestazioni e sicurezza). è necessario configurare tutto nelle direttive host (virtuali). (quindi in / etc / nginx / sites-disponibili per la maggior parte * NIX'es)
  • Quando utilizzi SSH potresti usare una shell e la crittografia GPG potrebbe essere utilizzata per proteggere il tuo file (con il vantaggio di non dover rivelare il tuo certificato pubblico, che potrebbe suggerire a un utente malintenzionato, prima di entrare nel tuo sistema, che tu sia utilizzandolo per la crittografia di un file specifico)
  • Usabilità saggia la soluzione è un sacco di passaggi. molti dei quali non aggiungono alcuna (ulteriore) sicurezza. Ti suggerirei di esaminare le jail / chroot per ulteriori livelli di protezione.
risposta data 04.05.2015 - 14:01
fonte

Leggi altre domande sui tag