crypt (enigma) z BSD

[Miroslav BENES]

>Existuje miliarda variaci na toto tema, ostatne jsme se o tom
>presvedcili v tomto threadu dostatecne. ;-) Osobne bych nelamal veci
>pres koleno a komplikoval si zivot kompilaci dodatecneho softwaru.
>Vzdyt prece existuje protokol SSH ? Ten zajisti takove ty veci jako je
>autenticita, integrita prenasenych dat a taktez duvernost.
>Vzdyt tez existuje vrstva SSL ? Jako prostrednika tak muzete pouzit
>napr. stunnel.
>  
>
.. ale neprojde přes firewall (bez nutnosti změnit jeho konfiguraci), 
což není ideální.
FTP server je od toho, aby se na něj a z něj (transparetně) přenášely 
soubory, které jsou kontrolovány antivirem. Stejně tak veškerý provoz na 
ftp je kontrolován, dokumentován ..
Pokud by se použil přenos šifrovaným spojením, pak se ztrácí možnost 
dohledu. Takto je nastavena politika fw a já ji sím respektovat. 
Obzvlášť když to jde řešit i jinými způsoby, jak se ukázalo.


>Chcete-li zasifrovat prenesena data na cilovem stroji, vyuzijte program
>openssl ( s tim se setkate jak na FBSD, tak na Linuxu )
>  
>
Asi máte pravdu - zkusím zapátrat i tímto směrem.
Vycházel jsem z toho, že na vnitřní síti se některé zálohy kryptují 
právě pomocí gpg (takto to kdysi zprovoznil kolega), hledal jsem na BSD 
náhradu .. a skončil u enigmy.
Ale openssl je opradu na obojím a asi by to mělo pro tyto potřeby stačit.


>Nelamte si hlavu s PGP nebo GnuPG; samozrejme, ze vam mohou tyto
>aplikace pomoci, ale v zasade se jedna ve vasem pripade o pouziti
>"kladiva na otevreni dveri".
>  
>
V mém případě se jednalo o ulehčení práce, protože jsem (pro další 
linuxové severy) toto nevymýšlel, ale jenom obšlehnul používané řešení 
ze serverů, které se už takto zálohují delší dobu :)


Mimochodem když už jsme nakousli openssl, šel by zprovoznit tento postup ? :

 - na jednotlivých serverech vygeneruji dvojice klíčů
 - veřejnou část tam nechám, soukromé klíče dám na jeden společný stroj 
(koncový zálohovací uzel) - nejlíp spojit do jednoho balíku
 - servery budou svoje data kryptovat veřejným klíčem (který jim 
zůstal). V případě průniku se (z hlediska uložených dat) nic neděje, 
protože veřejný klíč, který by útočním zíslal, mu není k ničemu 
(vycházím z předpokladu, že ze soukromého klíče se dá vypočítat veřejná 
část, takže to nemůže být postaveno naopak). S ním si tedy neroluští ani 
"svoje" starší zálohy ani zálohy z jiných serverů, pokud by se mu 
dostaly do ruky
 - na centrálním úložišti by se pak obsah kteréhokoliv kryptovaného 
archivu dal přečíst - a v ideálním případě by si openssl dohledal i 
správný klíč z těch, které zná

Je to takto eálné ? Pokud ne, proč ?
Pokud ano, stačí odpověď "ano". Tuto oblast nemám ještě dostatečně 
nastudovanou a tohle je příležitost, jak to napravit.