Minulla on tässä käytännön tilanne, yritykseni on FTP palvelintarjoaja joillekin asiakkaita. Asiakkaat jakavat tiedostoja FTP palvelimellamme, eikä heillä ole toistaiseksi ollut ongelmia käyttöoikeuksien hallinnan ja tietosuojakäytäntöjen kanssa.
Viime aikoina asiakkaamme haluavat salata tiedostot tiedostot yhdestä syystä: ” He eivät halua, että FTP-palvelimen järjestelmänvalvojalla on pääsy tiedostoihinssa ”.
Yrityksemme haluaa myös parantaa FTP-todennusmenetelmäämme digitaalisella allekirjoituksella.Tiedän, että voimme toteuttaa PGP-salauksen tiedoston lähettämiseksi FTP-palvelimelle, mutta ongelmana on, että salatut tiedostot vastaanotetaan, palvelin purkaa ne yksityisellä avaimellaan ja sitten järjestelmänvalvojalla on täysi pääsy kyseisiin tiedostoihin.
Julkisen avaimen infrastruktuurin käyttöönotolla jokaisella asiakkaalla on oltava älykortti voidakseen kirjautua FTP-palvelimeen digitaalisella allekirjoituksella. Mutta se ei ole asiakkaidemme on mahdollista salata tiedostot vastaanottimen julkisen avaimen perusteella. Koska voi olla tilanne, että tiedostojen vastaanottajia on useita ja yksi tiedosto tulisi salata käyttämällä kymmeniä julkisia avaimia, joka kestää ikuisesti!
Joten, kysymykseni kuuluu: ” Onko tässä tilanteessa käytettävä ratkaisu FTP-palvelimen tiedostojen salaamiseen? ” Jokainen apu olisi erittäin arvostettu.
Kommentit
- Ei vastausta kysymykseesi, mutta sinun ei pitäisi käyttää FTP: tä ollenkaan, koska FTP-salasana lähetetään selkeästi. Kuten theterribletrivium sanoo vastauksessaan, käytä salattua siirtoprotokollaa. Se olisi jotain SCP: tä, FTPS: ää tai SFTP: tä.
- BobBrown ja Steffan Ullrich ovat molemmat kuolleita. Steffen vastaa todelliseen kysymykseesi, mutta Bob esittää hyvän asian. Eli asiakkaiden on vastattava salauksesta. Arkistoijat, kuten 7-zip, tekevät salatuista arkistoista pakattuja tai ei. Tämä voidaan myös komentosarja Pythonin tai mahdollisesti PHP: n kautta osana asiakkaan ' latausrutiinia. BobBrown ' -kohdasta – jos asiakkaasi pitävät sitä arkaluontoisena, heidän ei todellakaan pitäisi käyttää FTP: tä. Salattu vaihtoehto on selkeä tarve tässä tilanteessa.
- @BobBrown Joo, kuten mainitsin, kehitämme PK-yhteensopivia toimintoja kirjautumispalveluumme. Joten salasanasiirtoa ei ole, meillä on digitaalinen allekirjoitus todennusta varten.
- Asiakkaidesi pitäisi todellakin salata se itse, ja esim. SSH: n käyttäminen FTP: n kanssa ei ole ainakaan ' ta huono idea. Haluat kuitenkin tarkastella nollatietopalvelujen käsitettä: fi.wikipedia.org/wiki/Zero_knowledge
- Jos ymmärrän kysymyksen A23149577 ' s oikein, kysymyksen on tarkoitus olla: Onko olemassa FTP (onko FTPS vai SFTP) palvelinohjelmisto, joka voi salata saapuvan tietovirran levylle ja purkaa salauksen lähtevä tietovirta levyltä käyttäjälle siten, että FTP-palvelinohjelmistoa käyttävän järjestelmän paikallisilla käyttäjillä ei ole pääsyä asiakkaan ' -tietoihin levyllä. Tämä on oikeutettu kysymys, johon ei saada vastausta heittämällä vastuuta tietojen salauksesta asiakkaalle tai suunnittelemalla A23149577 ' -työnkulun uudelleen. Positiivisen vastauksen etuna on käsittelyn automatisoinnin helpottaminen
vastaus
Viime aikoina asiakkaamme haluavat salata tiedostot yhdestä syystä: ”He eivät halua, että FTP-palvelimen järjestelmänvalvojalla on pääsy tiedostoihinssa”.
Tämän vaatimuksen mukaisesti salausta ei tule tehdä palvelinpuolella . Muuten järjestelmänvalvoja voisi vain napata sisältöä ennen kuin se salataan. Ja tietysti salasanojen / avainten hallinnan pitäisi olla myös vain asiakkaan käytettävissä.
Tämä jättää asiakkaan puolelle vain salauksen. Sille on useita ratkaisuja, kuten Voit myös käyttää PGP: tä ja auttaa asiakkaita perustamalla yksityisen PGP-avainpalvelimen julkisten avainten vaihdon helpottamiseksi. Avainten itsensä tulisi tietysti luoda itse ja yksityinen avain tulisi pitääasiakkaan puolella.
Kommentit
- Kiitos vastauksestasi, tiedän, että salaus on tehtävä asiakkaan puolella ja salasanasuojattu pakkaus on yksinkertaisin tilanne täällä. Tarkoitin keksimään automaattisempia ratkaisuja, joissa ei käytetä esimerkiksi symmetristä salausta ja avainten vaihtoa sähköpostitse.
- Asiakkaat voivat käyttää myös todistettua epäsymmetristä salausta, kuten PGP. Tässä tapauksessa heidän täytyy vain saada julkinen avain vertaisilta jakamaan tiedosto.Julkisten avainten jakamisen helpottamiseksi sinun on ehkä määritettävä avainpalvelin, mutta asiakkaan on tehtävä avainluonti ja julkaiseminen palvelimelle uudelleen yksityisen avaimen suojaamiseksi.
- Uskon, että tämä ratkaisu on paras, koska tässä mallissa emme ole enää huolissamme symmetrisestä avaimenvaihdosta asiakkaiden välillä. Kiitos vastauksestasi
- Olen ' lisännyt idean vastaukseen.
Vastaus
Ehdotan, että asiakkaasi hallinnoivat omaa salaussalasanaa tai varmenteita. Tietyt FTP-asiakkaat sallivat salauksen käytön esimerkkinä: http://www.coreftp.com/docs/web1/FTP_Encryption.htm . Haluan kuitenkin varmistaa, että käytät tosiasiallisesti jonkin tyyppistä salausta heidän tietojensa siirtoon. Et mainitse sitä ja koska vanilja-FTP ei käytä salausta oletusarvoisesti, haluan olla varma, että osa on myös katettu .
Kommentit
- Nykyinen FTP-palvelimemme käyttää SSH-yhteyttä ja se ' on melkein turvallinen, mutta kuten mainitsin, siirrymme todentamiseen digitaalisen allekirjoituksen ja julkisen avaimen infrastruktuurin kautta, mikä auttaa meitä parantamaan kirjautumisjärjestelmäämme. Ehkä joudumme kuitenkin toteuttamaan jonkinlaisen mukavan SFTP: n tilanteeseemme.