Jeg har en praktisk situation her, mit firma er en FTP
serverudbyder for nogle kunder. Kunderne deler deres filer på vores FTP
server og har hidtil ikke haft noget problem med adgangsstyring og fortrolighedspolitikker.
For nylig ønsker vores kunder at kryptere deres filer af en grund: “ De ønsker ikke FTP-serveradministrator har adgang til deres filer “.
Vores firma ønsker også at forbedre vores FTP-godkendelsesmetode med digital signatur. Jeg ved, at vi kan implementere PGP-kryptering til at sende fil til FTP-server, men problemet er, når krypterede filer modtager, de vil blive dekrypteret af serveren med sin private nøgle og derefter har administratoren fuld adgang til disse filer.
Ved implementering af offentlig nøgleinfrastruktur skal hver klient have et chipkort for at logge på FTP-server med digital signatur. Men det er ikke muligt for vores klienter at kryptere deres filer baseret på modtagerens offentlige nøgle. Fordi der kan være en situation, at der er flere filmodtagere, og man skal kryptere en enkelt fil ved hjælp af snesevis af offentlige nøgler, som tager for evigt!
Så mit spørgsmål er: “ Er der en løsning til at kryptere filer på FTP-server, som kan implementeres i denne situation? ” Enhver hjælp vil blive meget værdsat.
Kommentarer
- Ikke svaret på dit spørgsmål, men du bør slet ikke bruge FTP, fordi FTP-adgangskoden overføres i klar. Som theterribletrivium siger i et svar, brug en krypteret overførselsprotokol. Det ville være noget som SCP, FTPS eller SFTP.
- BobBrown og Steffan Ullrich er begge dødløse. Steffen svarer på dit aktuelle spørgsmål, men Bob gør et godt punkt. Det vil sige, at klienterne selv skal være ansvarlige for kryptering. Arkiver som 7-zip gør det trivielt at oprette krypterede arkiver, komprimerede eller ej. Dette kunne også scriptes via Python eller muligvis PHP som en del af klientens ' s upload rutine. Med hensyn til BobBrown ' s punkt – hvis dine kunder anser det for følsomt, bør de bestemt ikke bruge FTP. Et krypteret alternativ er et bestemt behov i denne situation.
- @BobBrown Ja, som jeg nævnte, udvikler vi PK-aktiveret funktionalitet til vores login-service. Så der er ingen adgangskodetransmission, vi har digital signatur til godkendelse.
- Dine klienter burde faktisk kryptere det selv, og ved hjælp af f.eks. SSH i stedet for FTP, er det også ain ' en dårlig idé. Det kan dog være en god idé at tage et kig på begrebet nul-viden-tjenester: da.wikipedia.org/wiki/Zero_knowledge
- Hvis jeg forstår spørgsmålet A23149577 ' s korrekt, er spørgsmålet beregnet til at være: Er der FTP (hvad enten FTPS eller SFTP) serversoftware, der kan kryptere den indgående datastrøm til disk og dekryptere den udgående datastrøm fra disk til bruger, så lokale brugere af systemet, der kører FTP-serversoftwaren, ikke har adgang til kundens ' -data på disken. Dette er et legitimt spørgsmål, der ikke besvares ved at kaste ansvaret for datakryptering på kunden eller redesigne A23149577 ' s arbejdsgang. Fordelene ved et positivt svar på dette er at lette automatiseringen af håndteringen
Svar
For nylig ønsker vores kunder at kryptere deres filer af en grund: “De vil ikke have FTP-serveradministrator har adgang til deres filer”.
Med dette krav skal krypteringen ikke foretages på serversiden . Ellers kan en administrator bare gribe fat indholdet, før det bliver krypteret. Og selvfølgelig skal administrationen af adgangskoderne / nøglerne kun være tilgængelig for klienten.
Dette efterlader kun kryptering på klientsiden. Der er flere løsninger til det, f.eks. adgangskodebeskyttede arkiver osv. Eller man kan bruge PGP og hjælpe klienter ved at oprette en privat PGP-nøgleserver for at gøre udveksling af offentlige nøgler lettere. Selve nøglerne skal selvfølgelig genereres af klienten selv, og den private nøgle skal opbevares vedklientsiden.
Kommentarer
- Tak for dit svar, jeg er opmærksom på, at krypteringen skal udføres på klientsiden, og komprimeringsbeskyttet komprimering er mest enkle situation her. Jeg havde til hensigt at komme med flere automatiske løsninger, som f.eks. Ikke bruger symmetrisk kryptering og udveksling af nøgler via e-mail.
- Klienter kan også bruge dokumenteret asymmetrisk kryptering som PGP. I dette tilfælde behøver de kun at få den offentlige nøgle fra peer til at dele en fil.For at lette deling af offentlige nøgler kan du oprette en nøgleserver, men nøglegenerering og udgivelse til serveren skal udføres af klienten igen for at beskytte den private nøgle.
- Jeg mener, at denne løsning er bedst, fordi vi i denne model ikke er bekymrede over symmetrisk nøgleudveksling mere mellem klienter. Tak for dit svar
- Jeg ' har føjet idéen til svaret.
Svar
Mit forslag er at få dine kunder til at administrere deres egen krypteringsadgangskode eller certifikater. Visse FTP-klienter tillader brug af kryptering som et eksempel: http://www.coreftp.com/docs/web1/FTP_Encryption.htm . Jeg vil dog være sikker på, at du faktisk bruger en eller anden form for kryptering til transmission af deres data. Du nævner det ikke, og da vanille FTP ikke bruger kryptering som standard, vil jeg være sikker på, at en del også er dækket .
Kommentarer
- Faktisk bruger vores nuværende FTP-server SSH-forbindelse, og den ' er næsten sikker, men som jeg nævnte, bevæger vi os til autentificering via digital signatur og offentlig nøgleinfrastruktur, som hjælper os med at gøre vores log-on-system mere sikkert. Måske er vi nødt til at implementere en slags tilpasset SFTP for vores situation. >