Am o situație practică aici, compania mea este un furnizor de servere FTP clienți. Clienții își partajează fișierele pe serverul nostru FTP și nu au avut până acum nicio problemă cu gestionarea accesului și politicile de confidențialitate.

Recent, clienții noștri doresc să-și cripteze fișiere dintr-un motiv: „ Nu doresc ca administratorul serverului FTP să aibă acces la fișierele lor „.

De asemenea, compania noastră dorește să îmbunătățească metoda noastră de autentificare FTP cu semnătură digitală. Știu că putem implementa criptarea PGP pentru trimiterea fișierului către serverul FTP, dar problema este când primesc fișiere criptate, acestea vor fi decriptate de server cu cheia sa privată și apoi administratorul are acces complet la acele fișiere.

Prin implementarea infrastructurii cheii publice, fiecare client trebuie să aibă un card inteligent pentru a se conecta la serverul FTP cu semnătură digitală. Dar nu este este posibil ca clienții noștri să își cripteze fișierele pe baza cheii publice a receptorului. Deoarece ar putea exista o situație în care există mai mulți destinatari de fișiere și ar trebui să criptați un singur fișier folosind zeci de chei publice care durează pentru totdeauna!

Deci, întrebarea mea este: „ Există o soluție pentru a cripta fișiere pe serverul FTP care poate fi implementată în această situație? ” Orice ajutor ar fi foarte apreciat.

Comentarii

  • Nu este răspunsul la întrebarea dvs., dar nu ar trebui să utilizați deloc FTP, deoarece parola FTP este transmisă în format clar. După cum spune theterribletrivium într-un răspuns, utilizați un protocol de transfer criptat. Ar fi ceva de genul SCP, FTPS sau SFTP.
  • BobBrown și Steffan Ullrich sunt amândoi morți. Steffen răspunde la întrebarea dvs. reală, dar Bob face un punct bun. Adică, clienții trebuie să fie responsabili ei înșiși pentru criptare. Arhivatorii precum 7-zip fac banală crearea de arhive criptate, comprimate sau nu. Acest lucru poate fi, de asemenea, scriptat prin Python sau, eventual, PHP ca parte a rutinei de încărcare a clientului ‘. În ceea ce privește punctul BobBrown ‘ – dacă clienții dvs. consideră că este sensibil, cu siguranță nu ar trebui să utilizeze FTP. O alternativă criptată este o nevoie clară în această situație.
  • @BobBrown Da, așa cum am menționat, dezvoltăm funcționalitatea PK-Enabled pentru serviciul nostru de conectare. Deci, nu există o transmisie de parolă, avem semnătură digitală pentru autentificare.
  • Clienții dvs. ar trebui într-adevăr să o cripteze singuri și folosind, de exemplu, SSH în loc de FTP, de asemenea, în ‘ o idee proastă. Cu toate acestea, vă recomandăm să aruncați o privire asupra conceptului de servicii Zero-knowledge: en.wikipedia.org/wiki/Zero_knowledge
  • Dacă înțeleg corect întrebarea A23149577 ‘, întrebarea este menită să fie: Există un software server FTP (indiferent dacă este FTPS sau SFTP) care poate cripta fluxul de date primite pe disc și decripta fluxul de date de ieșire de pe disc către utilizator, astfel încât utilizatorii locali ai sistemului care rulează software-ul FTP Server să nu aibă acces la datele clientului ‘ de pe disc. Aceasta este o întrebare legitimă la care nu se răspunde răspândind responsabilitatea criptării datelor către client sau reproiectând fluxul de lucru A23149577 ‘. Avantajele unui răspuns pozitiv la acest lucru este facilitarea automatizării manipulării

Răspuns

Recent, clienții noștri doresc să-și cripteze fișierele dintr-un motiv: „Nu doresc ca administratorul serverului FTP să aibă acces la fișierele lor”.

Cu această cerință criptarea nu ar trebui să se facă la partea serverului . În caz contrar, un administrator ar putea apuca conținutul înainte ca acesta să fie criptat. Și, bineînțeles, gestionarea parolelor / cheilor ar trebui să fie, de asemenea, accesibilă numai clientului.

Acest lucru lasă doar criptarea din partea clientului. Există mai multe soluții pentru acesta, cum ar fi arhive protejate prin parolă etc. Sau, s-ar putea folosi PGP și ajuta clienții prin configurarea unui server de chei PGP privat pentru a facilita schimbul de chei publice. Cheile în sine ar trebui, desigur, generate de clientul în sine și cheia privată ar trebui să fie păstrată lapartea clientului.

Comentarii

  • Vă mulțumim pentru răspunsul dvs., știu că criptarea trebuie făcută în partea clientului, iar compresia protejată prin parolă este cea mai simplă situație de aici. Am intenționat să vin cu soluții mai automate care să nu folosească criptarea simetrică și schimbul de chei prin e-mail, de exemplu.
  • Clienții pot folosi, de asemenea, criptarea asimetrică dovedită, cum ar fi PGP. În acest caz, trebuie doar să obțină cheia publică de la partener pentru a partaja un fișier.Pentru a facilita partajarea cheilor publice, este posibil să configurați un server de chei, dar generarea și publicarea cheilor pe server trebuie să fie făcută de client din nou pentru a menține cheia privată în siguranță.
  • Cred că această soluție este cea mai bună, deoarece în acest model nu ne mai îngrijorează schimbul de chei simetric între clienți. Vă mulțumim pentru răspunsul dvs.
  • Am ‘ am adăugat ideea la răspuns.

Răspuns

Sugestia mea este ca clienții dvs. să gestioneze propriile parole de criptare sau certificate. Anumiți clienți FTP vor permite utilizarea criptării, ca exemplu: http://www.coreftp.com/docs/web1/FTP_Encryption.htm . Vreau să mă asigur că, de fapt, utilizați un anumit tip de criptare pentru tranzitul datelor lor. Nu o menționați și, deoarece FTP vanilat nu folosește criptarea în mod implicit, vreau să fiu sigur că și partea este acoperită .

Comentarii

  • De fapt, serverul nostru FTP actual utilizează conexiune SSH și este ‘ aproape sigur, dar, așa cum am menționat, trecem la autentificare prin semnătură digitală și infrastructură cu cheie publică, ceea ce ne ajută să ne securizăm sistemul de conectare. Poate că trebuie să implementăm un fel de SFTP personalizat pentru situația noastră.

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *