Gibt es eine Möglichkeit, Daten in einem verschlüsselten Container zu packen ohne dass das Passwort auf dem System liegt und ohne das ein Nutzereingriff, bspw. zur Passworteingabe, nötig ist?
Genauer gefragt, wie kann man Daten auf einem (v)Server sicher ablegen?
dm-crypt erstellt doch solche Container, aber entweder man muss das Passwort neben den Container deponieren oder man muss sich einloggen und das Passwort für den Zugriff eingeben.
Gibt es noch andere Möglichkeiten, die ich übersehen habe?
Gruß,
Thomas
Daten verschlüsselt auf vServer ablegen
Re: Daten verschlüsselt auf vServer ablegen
Hallo !
Du könntest per script :
ein Keyfile aus dem Netz laden,
Container öffnen,
Daten hineneinkopieren,
Container schliessen,
Keyfile löschen.
Jede Form der Automation ohne manuellen Eingriff ist -imho- sinnfrei :
das ist so,als ob der Schlüssel zur Tür unter der Fußmatte liegt.
Gruß
Byte
Du könntest per script :
ein Keyfile aus dem Netz laden,
Container öffnen,
Daten hineneinkopieren,
Container schliessen,
Keyfile löschen.
Jede Form der Automation ohne manuellen Eingriff ist -imho- sinnfrei :
das ist so,als ob der Schlüssel zur Tür unter der Fußmatte liegt.
Gruß
Byte
-
duese
- Beiträge: 651
- Registriert: 12.07.2006 15:27:20
- Lizenz eigener Beiträge: GNU Free Documentation License
-
Kontaktdaten:
Re: Daten verschlüsselt auf vServer ablegen
Das war auch mein bisheriger Stand. Aber da das Script auf dem Server liegt, kann sich ein "Angreifer" das Script ansehen und sich von der dort angegebenen Adresse das Keyfile herunterladen... Da liegt die Fußmatte quasi ausser Haus...bytezero hat geschrieben:Jede Form der Automation ohne manuellen Eingriff ist -imho- sinnfrei :
das ist so,als ob der Schlüssel zur Tür unter der Fußmatte liegt.
//Edit:
Ein manueller Eingriff wäre dann akzeptabel, wenn er sehr leicht durchgeführt werden kann. Z.B. über ein abgesichertes Webfrontend. Gibt es da fertige Lösungen?
Gruß,
Thomas
Re: Daten verschlüsselt auf vServer ablegen
Die einfachste, aber vllt nicht pratikabelste Lösung wäre wahrscheinlich die Daten auf dem lokalen Rechner zu verschlüsseln und die verschlüsselten Daten auf den vserver zu kopieren (zB mit gpg verschlüsseln)
Ansonsten könntest du mit einer Art "remote dongle" arbeiten. Damit meine ich einen dongle (zB USB-Key) wie du ihn bei der Verschlüsselung lokal verwenden würdest, der lokal vorliegt und auf den der vserver dann über eine sichere Verbindung (zB ssh) zugreift für die Entschlüsselung.
In irgendeinem Moment musst du aber auf jeden Fall als authorisierte Person den Schlüssel zur Verfügung stellen (ob per Passworteingabe oder per dongle ist letzten Endes egal), und, was imho noch wichtiger ist, nach dem Gebrauch muss der Container auf jeden Fall wieder geschlossen werden, sonst macht die Verschlüsselung ja keinen Sinn.
gruß,
npi
Ansonsten könntest du mit einer Art "remote dongle" arbeiten. Damit meine ich einen dongle (zB USB-Key) wie du ihn bei der Verschlüsselung lokal verwenden würdest, der lokal vorliegt und auf den der vserver dann über eine sichere Verbindung (zB ssh) zugreift für die Entschlüsselung.
In irgendeinem Moment musst du aber auf jeden Fall als authorisierte Person den Schlüssel zur Verfügung stellen (ob per Passworteingabe oder per dongle ist letzten Endes egal), und, was imho noch wichtiger ist, nach dem Gebrauch muss der Container auf jeden Fall wieder geschlossen werden, sonst macht die Verschlüsselung ja keinen Sinn.
gruß,
npi
"Bis zur Unendlichkeit, und noch viel weiter!"
--Buzz, Toystory
--Buzz, Toystory