PGP Command Line 8
Вопрос к специалистам:
Возможно ли с помощью PGP Command Line 8 создать сервер в интернете, который будет действовать как ftp, но каждый клиент будет хранить на нем файлы в зашифрованном виде.
Т.е. Клиенту дается папка, и все что в ней шифруется его ключом, естественно админам сервера эта информация не должна быть доступной.
С уважением,
lucker.
комментариев: 11558 документов: 1036 редакций: 4118
PGPCL не предназначен для клиент-серверной передачи данных — это сервер-серверное решение. Собственно, и стоимость лицензии зависит прежде всего от количества используемых открытых ключей (т.е. от числа взаимодействующих серверов).
Чтобы добиться желаемого результата, Вам нужен не PGPCL на сервере, а batch-связка из GnuPG и ftp-клиента на стороне пользователя. Пользователь скармливает файл скрипту, который вначале шифрует его с помощью GnuPG ключом пользователя, а затем с помощью ftp-клиента отправляет на сервер. Аналогично, может быть второй скрипт, производящий обратную процедуру. В этом случае удовлетворяются все поставленные цели: файлы хранятся на сервере в зашифрованном виде, не могут быть прочитаны админом, не могут быть прослушаны в ходе ftp-транзакций, а соорудить это всё можно, не потратив ни копейки.
комментариев: 5 документов: 1 редакций: 0
Спасибо за подробный ответ.
Конечно у меня возникает вопрос, как соорудить эту связку?
Использовать буду скорее Linux/FreeBSD
и на сколько это возможно быстро реализовать на Windows Server 2000/2003?
* А возможно ли прозрачное шифрование для пользовалеля?
Т.е.:
1. он работает с word/excel документом на сервере – он видит их обычными файлами
2. все его данные/изменения передаются по SSL тунелю
3. на сервере они хранятся/сохраняются в зашифрованном виде
комментариев: 11558 документов: 1036 редакций: 4118
К слову, SSL в такой схеме нужен только для аутентификации клиентов и сервера. Поскольку зашифрование / расшифрование производится на машине пользователя, риска прослушки нет.
комментариев: 5 документов: 1 редакций: 0
Да действительно, я к этому выводу тоже пришел.
Да, Вы правы.
Хм, 8) вопрос исчерпан.
Спасибо.
комментариев: 9796 документов: 488 редакций: 5664
Насколько жесткие требования к тому, чтобы шифрование осуществлялось именно на машине клиента?
Если у Вас некоторая организация, то внутри своей сети можно поставить Unix-сервер, на котором пользователи будут хранить свои файлы и видеть их прозрачным образом (SAMBA+SSL+Stunnel???).
А уже этот внутренний сервер будет все прозрачно шифровать и передавать из внутренней защищенной сети данные на хранение на "недоверенный" ftp-сервер в Интернете или внешней сети. Естественно сам внутренний сервер будет самой уязвимой точкой в случае взлома и его админ всегда сможет все файлы видеть в открытом виде, но зато за пределами сети данные будут передаваться и хранится в зашифрованном виде.
"Защита по периметру" со всеми ее достоинствами и недостатками так сказать.
комментариев: 5 документов: 1 редакций: 0
Именно так.
Это обязательное требование.
Теперь рассматриваю способы создания такого клиента,
если не API, то интересно на уровне браузера IE6 это можно сделать? И как? 8)
комментариев: 9796 документов: 488 редакций: 5664
Как-то это нехорошо. Браузер это дыра в систему, а IE наверное тем более для серьезных вещей не предназначен.
Тут как раз в разделе новостей обсуждается девятая бета PGP, где реализовано прозрачное шифрование папок в виде zip-архива.
Если это сделано как в Unix'ах (EncFS) – есть две разных директории – в одной мы види файлы открытым текстом, а вдругой в зашифрованном, тогда это может быть для Вас решением. Зашифрованный каталог можно экспортировать и на удаленный сервер, а все шифрование будет на стороне клиента. Может еще потребуется все-таки промежуточный сервер который сможет прозрачно монтировать SMBfs->sFTPfs, но на нем все файлы уже будут зашифрованными, все шифрование будет на стороне клиента.
А вот если нельзя одновременно видеть содержимое каталога и в открытом и зашифрованном виде, тогда не получится.
P. S.
Тогда криптография – это наука о том, как сделать вашу информацию максимально некрасиво выглядящей для ваших вероятных противников. И наоборот.
комментариев: 73 документов: 1 редакций: 0
Если каждая группа файлов должна быть доступна только одному пользователю, то в чём смысл их удалённого хранения? Мобильный юзер? Пусть возит с собой.
комментариев: 5 документов: 1 редакций: 0
8)
Точно!!!
**А такой вариант хранения файлов: как metadata в SQL SERVER DATABASE?
Т.е. они зашифрованным контентом падают в SQL базу данных,
Это будет эффективнее?**
комментариев: 5 документов: 1 редакций: 0
Уже можно сформулировать,
ЗАДАЧА: Хранить именно зашифрованный контент файлов на удаленных серверах, и иметь к ним свободный/простой доступ типа ПРОВОДНИКА Windows.
Интересно выслушать эффективные решения, этой задачи 8)