Log-Dateien verschlüsseln

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
sergej2018

Log-Dateien verschlüsseln

Beitrag von sergej2018 » 26.02.2018 21:10:13

Hallo zusammen,

das Logrotate eines meiner Server mache ich "händisch" nachts per cronjob.
Die Logs werden dabei in tar.bz2 gepackt, mit Datum versehen usw...

Laut Firmenpolitik müssen die Logs verschlüsselt werden, sodass sie - außer bei Bedarf - niemand einsehen kann.
Dazu soll das entstandene Archiv also verschlüsselt werden. Dass die jeweils aktuellen Logs weiterhin live eingesehen werden können etc. ist erstmal egal.

Ich hatte folgendes vor: Archiv wie gewohnt erstellen lassen und dann mittels Public-Key per GPG verschlüsseln:

Code: Alles auswählen

gpg --encrypt --cipher-algo AES256 --digest-algo SHA512 --recipient mail@domain.bla --output logs.tar.bz2.gpg logs.tar.bz2
Ist das so sicher? Habt ihr eine bessere Idee?
Der Vorteil dieser Methode ist: Auf den Server wird nur der Public-Key importiert, den Private-Key hat nur der Chef. So muss ich kein Passwort oder ähnliches in einem Skript hinterlegen.

Habe bisher keinerlei Erfahrung mit GPG, daher meine Frage...

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Log-Dateien verschlüsseln

Beitrag von breakthewall » 27.02.2018 00:12:05

Diese Kommandozeile wäre sicher wie sie ist. Aber zur Information liegt das primär an gpg selbst, da hier nur Hybridverschlüsselung zum Einsatz kommt. Das heisst, die Daten werden grundlegend symmetrisch verschlüsselt, auch wenn asymmetrische Verschlüsselungsverfahren genutzt werden, die normalerweise für sich alleine, nicht für so eine Aufgabe geeignet und mitunter unsicher wären. Somit werden Daten bspw. mit AES verschlüsselt, und der jeweilige Session-Key wird mittels asymmetrischem Verschlüsselungsverfahren verschlüsselt. Von daher ist es bei gpg kein Risiko, Daten auf diese Weise zu verschlüsseln.

Zusätzlich würde ich Dir raten, die tar Archive nicht mit Bzip2 zu komprimieren, sondern ohne Kompression zu speichern. Denn gpg komprimiert schon von Haus aus ziemlich effizient.

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: Log-Dateien verschlüsseln

Beitrag von HZB » 01.03.2018 11:47:02

Wie wäre es mit einem zentralen LOG Host wo nur Dein Chef Zugriff hat ?

sergej2018

Re: Log-Dateien verschlüsseln

Beitrag von sergej2018 » 01.03.2018 13:46:05

Alles klar, vielen Dank für deine Antwort!

Dann werde ich einfach alles so lassen, wie es ist :)
Denn ob mit bz2 nun "doppelt" komprimiert wird oder nicht... macht bei den paar MB keinen großen Unterschied.

Zwei Dinge noch: Was genau macht das SHA512 hier? Denn es wird ja nichts unterschrieben?

Außerdem WÜRDE ich aber gern noch die Dateien unterschreiben, damit man ihre Unverändertheit ggfs. kryptographisch überprüfen kann.
Was muss ich dazu tun?

@HZB: Ginge, wär hier aber schwer zu bauen. Zumal unser Chef auch kein IT-Experte ist ;-) Er könnte sich die Kiste also nicht selbst verwalten.

Edit: Das geht aber garnicht ohne privaten Schlüssel... Gibt's da irgendeine Möglichkeit, denn der private Key soll auf dem System ja gerade NICHT abgelegt werden.

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: Log-Dateien verschlüsseln

Beitrag von HZB » 01.03.2018 17:02:13

sergej2018 hat geschrieben: ↑ zum Beitrag ↑
01.03.2018 13:46:05
Alles klar, vielen Dank für deine Antwort!

Dann werde ich einfach alles so lassen, wie es ist :)
Denn ob mit bz2 nun "doppelt" komprimiert wird oder nicht... macht bei den paar MB keinen großen Unterschied.

Zwei Dinge noch: Was genau macht das SHA512 hier? Denn es wird ja nichts unterschrieben?

Außerdem WÜRDE ich aber gern noch die Dateien unterschreiben, damit man ihre Unverändertheit ggfs. kryptographisch überprüfen kann.
Was muss ich dazu tun?

@HZB: Ginge, wär hier aber schwer zu bauen. Zumal unser Chef auch kein IT-Experte ist ;-) Er könnte sich die Kiste also nicht selbst verwalten.

Edit: Das geht aber garnicht ohne privaten Schlüssel... Gibt's da irgendeine Möglichkeit, denn der private Key soll auf dem System ja gerade NICHT abgelegt werden.
Ich bin jetzt nicht der Spezialist. Aber ich glaube was Du dann meinst geht in die Richtung Hardware Security Module
https://de.wikipedia.org/wiki/Hardware-Sicherheitsmodul

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Log-Dateien verschlüsseln

Beitrag von breakthewall » 01.03.2018 22:20:03

Eine doppelte Kompression wäre nur unnötiger Overhead. Das wirst besonders bei anderen Datenmengen richtig spüren. Zudem ist Bzip2 ein veraltetes Verfahren, was im Vergleich zu gzip oder lzma, ziemlich ineffizient ist.

Das Hashverfahren dient wie üblich der Verifikation der Daten, und ist sozusagen ein verkürzter Fingerabdruck dieser Daten. Eine kryptographische Signatur dagegen, basiert idR. auf einem Public-Key-Verfahren, um Daten mit einer bestimmten Identität zu verifizieren. Zusätzlich fügt gpg allen Daten zufälligen Code hinzu, wodurch Manipulationen an den Daten erkannt werden. Würde man eine mittels gpg verschlüsselte Datei nun irgendwo willkürlich verändern, dann würde man unweigerlich beim entschlüsseln eine Warnung auslösen, die auf eine Manipulation hinweist. Von daher kann man sich sicher sein, dass hier nichts unbemerkt verändert werden kann.

sergej2018

Re: Log-Dateien verschlüsseln

Beitrag von sergej2018 » 02.03.2018 08:11:32

Hm...
Gerade mal ausprobiert:

logs.tar.bz2.gpg -> 76 MB
logs.tar.gpg -> 91 MB

Also das Komprimieren mag ja schneller gehen, aber effizienter ist es definitiv nicht.

Alles klar, also sind die Daten mit - in diesem Fall - SHA512 schon verifiziert und ich kann eig alles so lassen, wie es nun ist?

breakthewall
Beiträge: 507
Registriert: 30.12.2016 23:48:51

Re: Log-Dateien verschlüsseln

Beitrag von breakthewall » 02.03.2018 08:56:02

Die eine Datei wird einmal und die andere doppelt komprimiert. Zudem hat Effizienz nicht ausschließlich etwas mit der Dateigröße zutun, sondern zielt auch auf Sicherheit und Fehleranfälligkeit ab. Von Haus aus komprimiert gpg mit mittlerer Stärke "-z 6 (1-9)", während tar in Verbindung mit Bzip2, die maximale Kompression "-9 bzw. --best" anwendet. Ein Vergleich von Äpfeln und Birnen. :roll:

Antworten