Jeg har en praktisk situasjon her, firmaet mitt er en FTP serverleverandør for noen klienter. Kundene deler filene sine på FTP -serveren og har hittil ikke hatt noe problem med tilgangsadministrasjon og personvernregler.

Nylig vil våre klienter kryptere filer av en grunn: « De vil ikke at FTP-serveradministrator har tilgang til filene sine «.

Dessuten ønsker vårt firma å forbedre vår FTP-godkjenningsmetode med digital signatur. Jeg vet at vi kan implementere PGP-kryptering for sending av filer til FTP-server, men problemet er at når krypterte filer mottas, blir de dekryptert av serveren med sin private nøkkel og så har administratoren full tilgang til disse filene.

Ved distribusjon av offentlig nøkkelinfrastruktur, må hver klient ha et smartkort for å kunne logge på FTP-serveren med digital signatur. Men det er ikke mulig for våre kunder å kryptere filene sine basert på mottakerens offentlige nøkkel. Fordi det kan være en situasjon at det er flere filmottakere, og man bør kryptere en enkelt fil ved hjelp av dusinvis av offentlige nøkler som tar evig tid!

Så mitt spørsmål er: « Er det en løsning for å kryptere filer på FTP-server som kan distribueres i denne situasjonen? » Enhver hjelp vil bli satt stor pris på.

Kommentarer

  • Ikke svaret på spørsmålet ditt, men du bør ikke bruke FTP i det hele tatt fordi FTP-passordet overføres tydelig. Som theterribletrivium sier i et svar, bruk en kryptert overføringsprotokoll. Det ville være noe sånt som SCP, FTPS eller SFTP.
  • BobBrown og Steffan Ullrich er begge dødt. Steffen svarer på det faktiske spørsmålet ditt, men Bob gir et godt poeng. Det vil si at klientene selv må være ansvarlige for kryptering. Arkiver som 7-zip gjør det trivielt å lage krypterte arkiver, komprimert eller ikke. Dette kan også skriptes via Python eller muligens PHP som en del av klientens ' opplastingsrutine. Når det gjelder BobBrown ' poeng – hvis kundene dine anser det som sensitivt, bør de absolutt ikke bruke FTP. Et kryptert alternativ er et klart behov i denne situasjonen.
  • @BobBrown Ja, som jeg nevnte, utvikler vi PK-Enabled-funksjonalitet for vår påloggingstjeneste. Så det er ingen passordoverføring, vi har digital signatur for autentisering.
  • Klientene dine burde faktisk kryptere det selv, og bruke f.eks. SSH i stedet for FTP, er også ain ' en dårlig idé. Det kan imidlertid være lurt å ta en titt på konseptet Zero-knowledge services: en.wikipedia.org/wiki/Zero_knowledge
  • Hvis jeg forstår spørsmålet A23149577 ' er riktig, er spørsmålet ment å være: Er det FTP (enten FTPS eller SFTP) serverprogramvare som kan kryptere den innkommende datastrømmen til disk og dekryptere den utgående datastrømmen fra disk til bruker, slik at lokale brukere av systemet som kjører FTP Server-programvaren ikke har tilgang til kundens ' data på disken. Dette er et legitimt spørsmål som ikke besvares ved å kaste ansvaret for datakryptering på kunden eller redesigne A23149577 ' s arbeidsflyt. Fordelene med et positivt svar på dette er tilrettelegging for å automatisere håndteringen

Svar

Nylig vil våre klienter kryptere filene sine av en grunn: «De vil ikke at FTP-serveradministrator har tilgang til filene sine».

Med dette kravet bør ikke kryptering gjøres på serversiden . Ellers kan en administrator bare ta tak i innholdet før det blir kryptert. Og selvfølgelig bør administrasjonen av passordene / nøklene også være tilgjengelig for klienten.

Dette etterlater bare kryptering på klientsiden. Det er flere løsninger for det, som passordbeskyttede arkiver osv. Eller man kan bruke PGP og hjelpe klienter ved å sette opp en privat PGP-nøkkelserver for å gjøre utveksling av offentlige nøkler lettere. Selve nøklene skal selvfølgelig genereres av klienten selv, og den private nøkkelen skal oppbevares påklientsiden.

Kommentarer

  • Takk for svaret ditt, jeg er klar over at krypteringen skal gjøres på klientsiden, og passordbeskyttet komprimering er mest enkle situasjonen her. Jeg hadde tenkt å komme med flere automatiske løsninger som ikke bruker symmetrisk kryptering og utveksling av nøkkel via for eksempel e-post.
  • Klienter kan også bruke bevist asymmetrisk kryptering som PGP. I dette tilfellet trenger de bare å hente den offentlige nøkkelen fra jevnaldrende for å dele en fil.For å lette deling av offentlige nøkler kan du konfigurere en nøkkel server, men nøkkelgenerering og publisering til serveren må gjøres av klienten igjen for å holde den private nøkkelen sikker.
  • Jeg tror denne løsningen er best, fordi vi i denne modellen ikke er bekymret for symmetrisk nøkkelutveksling lenger mellom klienter. Takk for svaret
  • Jeg ' har lagt ideen til svaret.

Svar

Mitt forslag er å la kundene administrere sine egne krypteringspassord eller -sertifikater. Enkelte FTP-klienter tillater bruk av kryptering, som et eksempel: http://www.coreftp.com/docs/web1/FTP_Encryption.htm . Jeg vil forsikre meg om at du faktisk bruker en slags kryptering for overføring av dataene deres. Du nevner det ikke, og siden vanilje FTP ikke bruker kryptering som standard, vil jeg være sikker på at delen også er dekket .

Kommentarer

  • Faktisk bruker vår nåværende FTP-server SSH-tilkobling, og den er ' nesten sikker, men som jeg nevnte, går vi over til autentisering via digital signatur og offentlig nøkkelinfrastruktur som hjelper oss med å gjøre påloggingssystemet vårt sikrere. Kanskje vi må implementere en slags tilpasset SFTP for vår situasjon.

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *