Mám zde praktickou situaci, moje společnost je pro některé poskytovatel FTP
serveru klienty. Klienti sdílejí své soubory na našem FTP
serveru a dosud neměli problém se správou přístupu a zásadami ochrany osobních údajů.
V poslední době chtějí naši klienti šifrovat své soubory z jednoho důvodu: „ Nechtějí, aby měl správce FTP serveru přístup k jejich souborům „.
Naše společnost také chce vylepšit naši metodu ověřování FTP pomocí digitálního podpisu. Vím, že můžeme implementovat šifrování PGP pro odesílání souborů na FTP server, ale problém je, když přijímají šifrované soubory, které budou dešifrovány serverem s jeho soukromým klíčem a poté má správce k těmto souborům plný přístup.
Nasazením infrastruktury veřejných klíčů musí mít každý klient čipovou kartu, aby se mohl přihlásit k serveru FTP pomocí digitálního podpisu. je možné, aby naši klienti šifrovali své soubory na základě veřejného klíče příjemce. Protože může nastat situace, že existuje několik příjemců souborů a jeden by měl zašifrovat jeden soubor pomocí desítek veřejných klíčů, což trvá věčně!
Takže moje otázka zní: „ Existuje řešení pro šifrování souborů na serveru FTP, které lze v této situaci nasadit? “ Jakákoli pomoc by byla velmi oceněna.
Komentáře
- Není to odpověď na vaši otázku, ale neměli byste vůbec používat FTP, protože heslo FTP se přenáší čistě. Jak říká theterribletrivium v odpovědi, použijte šifrovaný přenosový protokol. To by bylo něco jako SCP, FTPS nebo SFTP.
- BobBrown a Steffan Ullrich jsou oba mrtví. Steffen odpovídá na vaši aktuální otázku, ale Bob má dobrou poznámku. To znamená, že za šifrování musí být zodpovědní sami klienti. Díky archivátorům, jako je 7-zip, je triviální vytvářet šifrované archivy, komprimované či nikoli. To by také mohlo být skriptováno přes Python nebo případně PHP jako součást rutiny nahrávání klienta '. Pokud jde o BobBrown ' s – pokud to vaši klienti považují za citlivé, určitě by neměli používat FTP. Šifrovaná alternativa je v této situaci jednoznačnou potřebou.
- @BobBrown Ano, jak jsem již zmínil, vyvíjíme pro naši přihlašovací službu funkčnost PK-Enabled. Neexistuje tedy žádný přenos hesla, k ověření máme digitální podpis.
- Vaši klienti by si to měli sami šifrovat a pomocí např. SSH místo FTP také není ' špatný nápad. Možná se však budete chtít podívat na koncept Zero-knowledge services: en.wikipedia.org/wiki/Zero_knowledge
- Pokud správně rozumím otázce A23149577 ' s, měla by otázka znít: Existuje serverový software FTP (ať už FTPS nebo SFTP), který dokáže zašifrovat příchozí datový proud na disk a dešifrovat odchozí datový proud z disku na uživatele, aby místní uživatelé systému, na kterém je spuštěn software FTP Server, neměli přístup k datům zákazníka ' na disku. Toto je legitimní otázka, na kterou neodpovídá přenesení odpovědnosti za šifrování dat na zákazníka nebo přepracování pracovního postupu A23149577 ' s. Výhodou kladné odpovědi na tuto skutečnost je usnadnění automatizace zpracování
odpovědi
V poslední době chtějí naši klienti šifrovat své soubory z jednoho důvodu: „Nechtějí, aby měl správce FTP serveru přístup k jejich souborům.“
S tímto požadavkem by šifrování nemělo být prováděno na straně serveru . Jinak by správce mohl jednoduše obsah před zašifrováním. A správa hesel / klíčů by samozřejmě měla být přístupná pouze klientovi.
Tímto způsobem se ponechá pouze šifrování na straně klienta. Existuje několik řešení, například archivy chráněné heslem atd. Nebo je možné použít PGP a pomoci klientům nastavením soukromého serveru klíčů PGP, který usnadní výměnu veřejných klíčů. Samotné klíče by samozřejmě měly být generovány samotným klientem a soukromý klíč by měl být uchován nana straně klienta.
Komentáře
- Děkuji za vaši odpověď, jsem si vědom, že šifrování by mělo být prováděno na straně klienta a kompresí chráněnou heslem je nejjednodušší situace zde. Chtěl jsem přijít s automatičtějšími řešeními, která nepoužívají například symetrické šifrování a výměnu klíčů prostřednictvím e-mailu.
- Klienti mohou také použít osvědčené asymetrické šifrování, jako je PGP. V takovém případě pouze potřebují získat veřejný klíč od partnera ke sdílení souboru.Pro usnadnění sdílení veřejných klíčů můžete nastavit klíčový server, ale generování a publikování klíčů na serveru musí klient provést znovu, aby byl soukromý klíč zabezpečen.
- Věřím, že toto řešení je nejlepší, protože v tomto modelu se již neobáváme o symetrickou výměnu klíčů mezi klienty. Děkuji za odpověď
- Přidal jsem nápad k odpovědi.
Odpovědět < „b307f4aaea“>
/ h2>
Navrhuji, aby vaši klienti spravovali vlastní šifrovací heslo nebo certifikáty. Někteří klienti FTP povolí použití šifrování, například: http://www.coreftp.com/docs/web1/FTP_Encryption.htm . Chci se ujistit, že pro přenos svých dat skutečně používáte nějaký typ šifrování. Nezmiňujete to a protože vanilkový FTP ve výchozím nastavení šifrování nepoužívá, chci mít jistotu, že je zahrnuta také část .
Komentáře
- Náš aktuální server FTP ve skutečnosti používá připojení SSH a je ' téměř zabezpečené, ale jak jsem již zmínil, přecházíme k ověřování pomocí digitálního podpisu a infrastruktury veřejného klíče, což nám pomáhá zvyšovat bezpečnost našeho přihlašovacího systému. Možná však musíme pro naši situaci implementovat nějaký pečlivý SFTP.