crypt (enigma) z BSD
Miroslav BENES
miroslav_benes na zdas.cz
Pátek Únor 10 13:01:56 CET 2006
>Existuje miliarda variaci na toto tema, ostatne jsme se o tom
>presvedcili v tomto threadu dostatecne. ;-) Osobne bych nelamal veci
>pres koleno a komplikoval si zivot kompilaci dodatecneho softwaru.
>Vzdyt prece existuje protokol SSH ? Ten zajisti takove ty veci jako je
>autenticita, integrita prenasenych dat a taktez duvernost.
>Vzdyt tez existuje vrstva SSL ? Jako prostrednika tak muzete pouzit
>napr. stunnel.
>
>
.. ale neprojde přes firewall (bez nutnosti změnit jeho konfiguraci),
což není ideální.
FTP server je od toho, aby se na něj a z něj (transparetně) přenášely
soubory, které jsou kontrolovány antivirem. Stejně tak veškerý provoz na
ftp je kontrolován, dokumentován ..
Pokud by se použil přenos šifrovaným spojením, pak se ztrácí možnost
dohledu. Takto je nastavena politika fw a já ji sím respektovat.
Obzvlášť když to jde řešit i jinými způsoby, jak se ukázalo.
>Chcete-li zasifrovat prenesena data na cilovem stroji, vyuzijte program
>openssl ( s tim se setkate jak na FBSD, tak na Linuxu )
>
>
Asi máte pravdu - zkusím zapátrat i tímto směrem.
Vycházel jsem z toho, že na vnitřní síti se některé zálohy kryptují
právě pomocí gpg (takto to kdysi zprovoznil kolega), hledal jsem na BSD
náhradu .. a skončil u enigmy.
Ale openssl je opradu na obojím a asi by to mělo pro tyto potřeby stačit.
>Nelamte si hlavu s PGP nebo GnuPG; samozrejme, ze vam mohou tyto
>aplikace pomoci, ale v zasade se jedna ve vasem pripade o pouziti
>"kladiva na otevreni dveri".
>
>
V mém případě se jednalo o ulehčení práce, protože jsem (pro další
linuxové severy) toto nevymýšlel, ale jenom obšlehnul používané řešení
ze serverů, které se už takto zálohují delší dobu :)
Mimochodem když už jsme nakousli openssl, šel by zprovoznit tento postup ? :
- na jednotlivých serverech vygeneruji dvojice klíčů
- veřejnou část tam nechám, soukromé klíče dám na jeden společný stroj
(koncový zálohovací uzel) - nejlíp spojit do jednoho balíku
- servery budou svoje data kryptovat veřejným klíčem (který jim
zůstal). V případě průniku se (z hlediska uložených dat) nic neděje,
protože veřejný klíč, který by útočním zíslal, mu není k ničemu
(vycházím z předpokladu, že ze soukromého klíče se dá vypočítat veřejná
část, takže to nemůže být postaveno naopak). S ním si tedy neroluští ani
"svoje" starší zálohy ani zálohy z jiných serverů, pokud by se mu
dostaly do ruky
- na centrálním úložišti by se pak obsah kteréhokoliv kryptovaného
archivu dal přečíst - a v ideálním případě by si openssl dohledal i
správný klíč z těch, které zná
Je to takto eálné ? Pokud ne, proč ?
Pokud ano, stačí odpověď "ano". Tuto oblast nemám ještě dostatečně
nastudovanou a tohle je příležitost, jak to napravit.
Další informace o konferenci Linux