Accesso ai file crittografati (dm-crypt / LUKS) tramite l'app Web

0

Sono un principiante dei problemi di crittografia e sto cercando di risolvere alcune domande.

Per un'applicazione distribuita abbiamo bisogno di distribuire un server al di fuori della nostra azienda con file PDF sensibili su di esso. Questo perché quei file devono essere accessibili tramite un altro sistema (flotta tablet), e l'enorme quantità di questi file scartare l'accesso attraverso la rete dai nostri server.

Sto scavando nella soluzione dm-crypt / LUKS che sembra rispondere ai miei problemi, anche se ho alcune domande:

  • Un'app java, distribuita tramite tomcat, sarà in grado di accedere senza problemi a quei file? La mia ipotesi è sì se avvio Tomcat con sudo, ma ancora, novizio ...
  • Posso prendere in considerazione il montaggio del volume tramite l'app web? sono considerando il recupero della password nella partizione crittografata tramite un servizio Web e memorizza la password su uno dei nostri server.
  • Quanto è grave il sovraccarico di decodificare quei file al volo? il
    i dati crittografati saranno accessibili simultaneamente da 4-5 utenti
    recupero di circa 50 MB (dimensioni decrittografate) di dati.

Thx in anticipo per il tuo aiuto

    
posta Nikolai 07.11.2016 - 10:23
fonte

1 risposta

2
> Will a java app be able to seamlessly access those files?

Sì, e per questo non è necessario sudo (NON ESEGUIRE MAI UN PREFERITO COME ROOT). Una volta aperta e montata la partizione di luks, il software applicativo vede solo un normale file system.

> Can I consider mounting the volumen through a webapp?

Il montaggio richiede i permessi di root, quindi devi stare molto attento quando scrivi la webapp. Idealmente, scrivi un piccolo eseguibile suid che fa il montaggio con una password specifica, e chiamalo dalla webapp, dando alla webapp nessun privilegio speciale. Fai molta attenzione alla gestione della passphrase: se non stai attento, la passphrase potrebbe finire in un log sul server o essere visualizzabile sul sistema in esecuzione unter / proc.

> How bad is the overhead for decrypting on the fly?

Per soli da 4 a 5 utenti che decodificano solo 50 MB di dati ciascuno, non si noterà l'utilizzo di CPU aggiuntivo causato dalla decrittografia.

Nota: finché il server viene eseguito con la partizione aperta, chiunque abbia accesso al server sarà ovviamente in grado di leggere tutti i file crittografati. Luks protegge solo i dati a riposo (ad es. Quando qualcuno prende gli hard disk dal tuo server e scappa via con loro).

    
risposta data 07.11.2016 - 11:02
fonte

Leggi altre domande sui tag