ここには実際的な状況があります。私の会社は、一部のFTP
サーバープロバイダーです。クライアント。クライアントはFTP
サーバーでファイルを共有しており、これまでのところアクセス管理とプライバシーポリシーに問題はありません。
最近、クライアントはファイルを暗号化したいと考えています。 1つの理由でファイル: “ FTPサーバー管理者がファイルにアクセスすることを望まない“。
また、当社はデジタル署名でFTP認証方式を強化したいと考えています。FTPサーバーにファイルを送信するためにPGP暗号化を実装できることは知っていますが、問題は、暗号化されたファイルが受信されると、サーバーによって秘密鍵で復号化されることです。
パブリックキーインフラストラクチャを導入することにより、デジタル署名を使用してFTPサーバーにログオンするには、各クライアントにスマートカードが必要になりますが、そうではありません。クライアントが受信者の公開鍵に基づいてファイルを暗号化することが可能です。複数のファイル受信者がいて、1つのファイルを数十の公開鍵を使用して暗号化する必要がある場合があります。これには永遠に時間がかかります。
つまり、私の質問は「この状況で展開できるFTPサーバー上のファイルを暗号化するソリューションはありますか?“どんな助けでも大歓迎です。
コメント
- 質問への回答ではありませんが、FTPパスワードは平文で送信されるため、FTPを使用しないでください。 theterribletriviumが回答で述べているように、暗号化された転送プロトコルを使用します。それはSCP、FTPS、またはSFTPのようなものになります。
- BobBrownとSteffanUllrichはどちらも真面目です。 Steffenはあなたの実際の質問に答えますが、Bobは良い点を述べています。つまり、クライアントは暗号化に責任を持つ必要があります。 7-zipのようなアーカイバは、圧縮されているかどうかに関係なく、暗号化されたアーカイブを簡単に作成できます。これは、クライアントの'アップロードルーチンの一部として、Pythonまたは場合によってはPHPを介してスクリプト化することもできます。 BobBrown 'のポイントについては、クライアントが機密性があると考えている場合は、FTPを使用しないでください。この状況では、暗号化された代替手段が絶対に必要です。
- @BobBrownええ、前述したように、ログオンサービス用にPK対応機能を開発しています。そのため、認証用のデジタル署名を使用したパスワード送信はありません。
- クライアントは実際に自分で暗号化する必要があります。たとえば、FTPの代わりにSSHを使用することも'悪い考えです。ただし、ゼロナレッジサービスの概念を確認することをお勧めします: en.wikipedia.org/wiki/Zero_knowledge
- 質問A23149577 'を正しく理解している場合、質問は次のようになります。ディスクへの着信データストリームを暗号化して復号化できるFTP(FTPSまたはSFTP)サーバーソフトウェアはありますかFTPサーバーソフトウェアを実行しているシステムのローカルユーザーがディスク上の顧客の'データにアクセスできないように、ディスクからユーザーへの送信データストリーム。これは正当な質問であり、データ暗号化の責任を顧客に負わせたり、A23149577 'のワークフローを再設計したりしても答えられません。これに対する肯定的な回答の利点は、処理の自動化が容易になることです。
回答
最近、クライアントは1つの理由でファイルを暗号化したいと考えています。「FTPサーバー管理者がファイルにアクセスすることを望まない」。
この要件ではサーバー側で暗号化を実行しないでください。そうしないと、管理者が取得する可能性があります。暗号化される前のコンテンツ。もちろん、パスワード/キーの管理にもクライアントのみがアクセスできる必要があります。
これにより、クライアント側に暗号化のみが残ります。たとえば、次のようないくつかの解決策があります。パスワードで保護されたアーカイブなど。または、PGPを使用して、公開キーの交換を容易にするプライベートPGPキーサーバーを設定することでクライアントを支援することもできます。もちろん、キー自体はクライアント自体によって生成され、秘密キーは次の場所に保持される必要があります。クライアント側。
コメント
- ご回答ありがとうございます。暗号化はクライアント側で行う必要があり、パスワードで保護された圧縮はここで最も単純な状況。たとえば、対称暗号化を使用せず、電子メールを介して鍵を交換する、より自動化されたソリューションを考え出すつもりでした。
- クライアントは、PGPのような実績のある非対称暗号化も使用できます。この場合、ファイルを共有するためにピアから公開鍵を取得するだけで済みます。公開鍵の共有を容易にするために鍵サーバーをセットアップすることもできますが、秘密鍵を安全に保つために、鍵の生成とサーバーへの公開はクライアントが再度行う必要があります。
- このソリューションが最適だと思います。このモデルでは、クライアント間の対称鍵交換について心配する必要がなくなったためです。回答ありがとうございます
- '回答にアイデアを追加しました。
回答
私の提案は、クライアントに独自の暗号化パスワードまたは証明書を管理させることです。特定のFTPクライアントでは、例として暗号化の使用が許可されます: http://www.coreftp.com/docs/web1/FTP_Encryption.htm 。データの転送に実際に何らかの暗号化を使用していることを確認したいのですが、それについては言及していません。また、バニラFTPはデフォルトで暗号化を使用していないため、一部もカバーされていることを確認したいと思います。 。
コメント
- 実際、現在のFTPサーバーはSSH接続を使用しており、'ほぼ安全です。ただし、前述したように、デジタル署名と公開鍵インフラストラクチャを介した認証に移行しているため、ログオンシステムの安全性が高まります。状況に応じて、何らかのカスタムSFTPを実装する必要があるかもしれません。