Passthrough Dateiverschlüsselung

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
Zeilentaucher
Beiträge: 5
Registriert: 10.09.2017 12:04:30
Wohnort: Schweiz

Passthrough Dateiverschlüsselung

Beitrag von Zeilentaucher » 01.01.2018 22:42:09

Hallo Zusammen

Ich bin auf der Suche nach einer Lösung, automatisch Dateien mit einem Public Key zu verschlüsseln und zwar ohne dass eine Datei zuerst unverschlüsselt gespeichert werden muss.

Folgendes Szenario
Verschiedene Geräte von verschiedenen Kunden laden ihre Konfigurationsdateien per FTP, TFTP oder was auch immer auf einen Server hoch. Da sollen nun die Dateien (am besten je nach Ordner) automatisch mit einem Public Key verschlüsselt werden, so dass nur Personen mit dem Private Key den Inhalt lesen können. Die unverschlüsselte Datei soll dazu am besten gar nie auf der Festplatte gespeichert werden.

Folgende Punkte hatte ich bisher verworfen
  • Verschlüsselte Disk
    optional, aber kein guter Schutz wenn der Server online ist. Sobald wer auf dem Server ist, kann er auch alle bereits gespeicherten Dateien auslesen
  • Dateien zuerst unverschlüsselt speichern und dann per z.B. Cronjob verschlüsseln
    Dateien liegen unverschlüsselt auf dem Server, wenn auch nur für eine beschränkte Zeit. Weiteres Problem ist, dass man nicht recht weiss, wann eine Datei fertig hochgeladen ist.
Kennt ihr eine Lösung die sich hierzu anbieten würde? Wichtig: Natürlich sollen auf dem Server die Dateien nur verschlüsselt werden und nicht lesbar sein. Sonst könnte man sich den ganzen Spass sparen.

Gruss und Dank
Zeilentaucher

Benutzeravatar
Tintom
Moderator
Beiträge: 3029
Registriert: 14.04.2006 20:55:15
Wohnort: Göttingen

Re: Passthrough Dateiverschlüsselung

Beitrag von Tintom » 01.01.2018 23:00:18

Zeilentaucher hat geschrieben: ↑ zum Beitrag ↑
01.01.2018 22:42:09
Verschiedene Geräte von verschiedenen Kunden laden ihre Konfigurationsdateien per FTP, TFTP oder was auch immer auf einen Server hoch.
vs.
Zeilentaucher hat geschrieben: ↑ zum Beitrag ↑
01.01.2018 22:42:09
Wichtig: Natürlich sollen auf dem Server die Dateien nur verschlüsselt werden und nicht lesbar sein. Sonst könnte man sich den ganzen Spass sparen.
Du solltest den Aufbau überdenken. FTP überträgt z.B. unverschlüsselt, daher könntest du dir den gesamten Aufwand sparen.

TomL

Re: Passthrough Dateiverschlüsselung

Beitrag von TomL » 01.01.2018 23:02:25

GPG kann pipes verarbeiten... sowohl "in" als auch "out".... jedes für sich, aber auch beides gleichzeitig. Allerdings befürchte ich, dass es einigermaßen kompliziert sein wird, sich in den Prozess des FTP-Servers einzuklinken... und zwar zwischen Daten empfangen und Datei schreiben.

Ich glaube, eine bessere Lösung wäre es, die Datei schon beim Kunden zu verschlüsseln und damit bereits verschlüsselt zu senden. Dazu brauchen alle Kunden zum Verschlüsseln nur den Pubkey und der einzige, der entschlüsseln kann, ist der, der den Private-Key hat.

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Passthrough Dateiverschlüsselung

Beitrag von breakthewall » 02.01.2018 00:59:16

Das was du suchst, müsste als Funktionalität bereits im FTP-Server enthalten sein. Eher unwahrscheinlich, ausser man macht es selbst.

Eine mögliche Lösung könnte sein, den Speicherort des FTP-Servers in eine Ramdisk wie /dev/shm zu legen. Und alles was dort temporär abgelegt wird, befindet sich niemals auf der Festplatte, womit jene Daten beim Löschen endgültig weg sind. Man könnte sich hierfür auch ein Programm bzw. Shellscript erstellen, was dieses Verzeichnis laufend überwacht, vorhandene Daten via Public-Key verschlüsselt, verschiebt und die Originale schlicht löscht. Das würde das Problem an sich lösen.

Nur dabei gilt es zu beachten, dass man niemals größere Datenmengen mit asymmetrischen Verschlüsselungsverfahren verschlüsselt. Insbesondere RSA arbeitet nur mit 8 Byte Blöcken, was die Wirksamkeit der Verschlüsselung gefährden kann, wenn die maximale Nachrichtenlänge überschritten wird. Darum werden asymmetrische Verschlüsselungsverfahren idR. auch nur für sicheren Schlüsselaustausch verwendet. Bei größeren Datenmengen besser eine Kombination mit symmetrischen Verschlüsselungsverfahren nutzen.

Ansonsten wären die Anmerkungen von TomL vernünftigere Lösungen.

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Passthrough Dateiverschlüsselung

Beitrag von schwedenmann » 02.01.2018 09:29:24

Hallo


Ev. kannst du das mitAES-pipe vor der d atenübertragung realisieren.
https://almnet.de/privacy-handbuch/priv ... ch_39c.htm

AES-pipe kann auch gpg nutzen.

mfg
schwedenmann

uname
Beiträge: 12044
Registriert: 03.06.2008 09:33:02

Re: Passthrough Dateiverschlüsselung

Beitrag von uname » 02.01.2018 12:20:53

Wenn FTP gefordert, sollte dein Kunde die Dateien vor den Transport mit dem öffentlichen Schlüssel verschlüsseln. Will er nicht? Kann er nicht? Dann werf FTP weg. Dummheit und FTP ist eine ganz schlechte Kombination.

Du kannst FTPS immerhin für den Weg verwenden, hilft aber wenig. Auch kannst du serverseitig eine Ramdisk verwenden. Toll ist das nicht. Binde deinen Kunden in dein Szenario ein. Sorg für den Schutz der Daten unabhängig von der Anwendung. Der Schutz der Daten sollte beim Kunden und nicht bei dir anfangen. Dann kannst du auch FTP verwenden.

Zeilentaucher
Beiträge: 5
Registriert: 10.09.2017 12:04:30
Wohnort: Schweiz

Re: Passthrough Dateiverschlüsselung

Beitrag von Zeilentaucher » 02.01.2018 14:14:03

Hallo Zusammen

Danke für die Inputs. Bezüglich FTP, unverschlüsselte Datenübertragung und Daten bereits vorher verschlüsseln, dies ist mir alles klar und wird wo möglich auch gemacht. Leider ist es aber auch so, dass es viele Geräte gibt, die ihre Konfigurationen weder verschlüsseln noch verschlüsselt übertragen können. Es geht mir darum, dass egal was und wie der Kunde die Daten überträgt, es auf meiner Seite stets so verschlüsselt wird, dass nur die Personen mit dem spezifischen Private Key ran können.

Die Idee mit der RAM Disk hört sich nicht so schlecht an, wäre also einen Kompromiss.

Leider kenne ich mich mit Filesystemen nicht sonderlich gut aus, gibt es ein Filesystem dass entweder direkt alle Dateien verschlüsselt oder ein Pseudo system, dass alles an ein Script (per Pipe) weiterleitet?
Evtl. kommt man so zum Ergebnis.

Gruss und Dank für eure Ideen
Zeilentaucher

DeletedUserReAsG

Re: Passthrough Dateiverschlüsselung

Beitrag von DeletedUserReAsG » 02.01.2018 14:37:36

Auf FS-Ebene gäbe es ecryptfs. Ist halt wieder kein asymmetrisches Dings, es gibt nur einen Schlüssel.

Antworten