crypt (enigma) z BSD

[Vladimir Dvorak]

Miroslav BENES wrote:

>
>> Existuje miliarda variaci na toto tema, ostatne jsme se o tom
>> presvedcili v tomto threadu dostatecne. ;-) Osobne bych nelamal veci
>> pres koleno a komplikoval si zivot kompilaci dodatecneho softwaru.
>> Vzdyt prece existuje protokol SSH ? Ten zajisti takove ty veci jako je
>> autenticita, integrita prenasenych dat a taktez duvernost.
>> Vzdyt tez existuje vrstva SSL ? Jako prostrednika tak muzete pouzit
>> napr. stunnel.
>>  
>>
> .. ale neprojde přes firewall (bez nutnosti změnit jeho konfiguraci),
> což není ideální.

Zamita se. Pokud pres firewall projdete az do DMZ k serveru na port 21,
potom samozrejme muzete pred jednadvacitku posadit stunnel nebo ssh.
Otazkou je, aby tato uprava nemela negativni dopad na stavajici operace
s vaseim ftp serverem; potom byste skutecne musel pouzit u vaseho ftp
serveru napr. STARTTLS ficuru, ktera by umoznila volitelne data sifrovat.

> FTP server je od toho, aby se na něj a z něj (transparetně) přenášely
> soubory, které jsou kontrolovány antivirem. Stejně tak veškerý provoz
> na ftp je kontrolován, dokumentován ..

Nyni vasemu pozadavku prestavam rozumet...
Vas dotaz znel:
<cite>
Potřeboval bych z FreeBSD serverů přenášet data. Jako nejschůdnější se
jeví ftp protokol.
Mám ale problém s tím, že bych rád tyto data přenášel kryptovaná.
</cite>

Jde vam tedy o sifrovani nebo ne ? Pokud v ceste je nejaky transparentni
antivir, pak sifrovani ho odstreli a antivir bude tudiz k nicemu. Takze
tady je odpoved spise na organizacni urovni, nikoliv administracni.

> Pokud by se použil přenos šifrovaným spojením, pak se ztrácí možnost
> dohledu. Takto je nastavena politika fw a já ji sím respektovat.
> Obzvlášť když to jde řešit i jinými způsoby, jak se ukázalo.
>
To mate pravdu.

>
>> Chcete-li zasifrovat prenesena data na cilovem stroji, vyuzijte program
>> openssl ( s tim se setkate jak na FBSD, tak na Linuxu )
>>  
>>
> Asi máte pravdu - zkusím zapátrat i tímto směrem.
> Vycházel jsem z toho, že na vnitřní síti se některé zálohy kryptují
> právě pomocí gpg (takto to kdysi zprovoznil kolega), hledal jsem na
> BSD náhradu .. a skončil u enigmy.
> Ale openssl je opradu na obojím a asi by to mělo pro tyto potřeby stačit.
>
>
>> Nelamte si hlavu s PGP nebo GnuPG; samozrejme, ze vam mohou tyto
>> aplikace pomoci, ale v zasade se jedna ve vasem pripade o pouziti
>> "kladiva na otevreni dveri".
>>  
>>
> V mém případě se jednalo o ulehčení práce, protože jsem (pro další
> linuxové severy) toto nevymýšlel, ale jenom obšlehnul používané řešení
> ze serverů, které se už takto zálohují delší dobu :)
>
>
> Mimochodem když už jsme nakousli openssl, šel by zprovoznit tento
> postup ? :
>
> - na jednotlivých serverech vygeneruji dvojice klíčů
> - veřejnou část tam nechám, soukromé klíče dám na jeden společný stroj
> (koncový zálohovací uzel) - nejlíp spojit do jednoho balíku
> - servery budou svoje data kryptovat veřejným klíčem (který jim
> zůstal). V případě průniku se (z hlediska uložených dat) nic neděje,
> protože veřejný klíč, který by útočním zíslal, mu není k ničemu
> (vycházím z předpokladu, že ze soukromého klíče se dá vypočítat
> veřejná část, takže to nemůže být postaveno naopak).

Tak to opravdu nefunguje. Jak muzete z cisla vypocitat jine cislo ??

> S ním si tedy neroluští ani "svoje" starší zálohy ani zálohy z jiných
> serverů, pokud by se mu dostaly do ruky
> - na centrálním úložišti by se pak obsah kteréhokoliv kryptovaného
> archivu dal přečíst - a v ideálním případě by si openssl dohledal i
> správný klíč z těch, které zná
>
> Je to takto eálné ? Pokud ne, proč ?
> Pokud ano, stačí odpověď "ano". Tuto oblast nemám ještě dostatečně
> nastudovanou a tohle je příležitost, jak to napravit.

Tato konstrukce se mi zda opravdu velice komplikovana.

Vladimir Dvorak